Çevrimiçi uç noktalar için istemcilerin kimliğini doğrulama

ŞUNLAR IÇIN GEÇERLIDIR: Azure CLI ml uzantısı v2 (geçerli)Python SDK azure-ai-ml v2 (geçerli)

Bu makale, çevrimiçi uç noktalarda denetim düzlemi ve veri düzlemi işlemleri gerçekleştirmek için istemcilerin kimliğini doğrulamayı kapsar.

Denetim düzlemi işlemi bir uç noktayı denetler ve değiştirir. Denetim düzlemi işlemleri, çevrimiçi uç noktalarda ve çevrimiçi dağıtımlarda oluşturma, okuma, güncelleştirme ve silme (CRUD) işlemlerini içerir.

Veri düzlemi işlemi , uç noktayı değiştirmeden çevrimiçi uç noktayla etkileşime geçmek için verileri kullanır. Örneğin veri düzlemi işlemi, çevrimiçi uç noktaya puanlama isteği gönderme ve yanıt alma işlemlerinden oluşabilir.

Önkoşullar

Bu makaledeki adımları takip etmeden önce aşağıdaki önkoşullara sahip olduğunuzdan emin olun:

• Azure Machine Learning çalışma alanı. Yoksa, oluşturmak için Hızlı Başlangıç: Çalışma alanı kaynakları oluşturma makalesindeki adımları kullanın.

• Azure CLI ve ml uzantısı veya Azure Machine Learning Python SDK v2:

  • Azure CLI ve uzantısını yüklemek için bkz . CLI'yı (v2) yükleme, ayarlama ve kullanma.

    Önemli

    Bu makaledeki CLI örneklerinde Bash (veya uyumlu) kabuğu kullandığınız varsayılır. Örneğin, bir Linux sisteminden veya Linux için Windows Alt Sistemi.

  • Python SDK v2'yi yüklemek için aşağıdaki komutu kullanın:

    pip install azure-ai-ml azure-identity
    

    SDK'nın mevcut yüklemesini en son sürüme güncelleştirmek için aşağıdaki komutu kullanın:

    pip install --upgrade azure-ai-ml azure-identity
    

    Daha fazla bilgi için bkz . Azure Machine Learning için Python SDK v2'yi yükleme.

Sınırlamalar

Microsoft Entra belirteci (aad_token) kimlik doğrulama moduna sahip uç noktalar, Azure Machine Learning stüdyosu CLIaz ml online-endpoint invoke, SDK ml_client.online_endpoints.invoke()veya Test et veya Kullan sekmelerini kullanarak puanlamayı desteklemez. Bunun yerine genel bir Python SDK'sı kullanın veya denetim düzlemi belirtecini geçirmek için REST API kullanın. Daha fazla bilgi için bkz . Anahtarı veya belirteci kullanarak verileri puanla.

Kullanıcı kimliği hazırlama

Çevrimiçi uç noktada denetim düzlemi işlemleri (CRUD işlemleri) ve veri düzlemi işlemleri (puanlama istekleri gönderme) gerçekleştirmek için bir kullanıcı kimliğine ihtiyacınız vardır. Denetim düzlemi ve veri düzlemi işlemleri için aynı kullanıcı kimliğini veya farklı kullanıcı kimliklerini kullanabilirsiniz. Bu makalede, hem denetim düzlemi hem de veri düzlemi işlemleri için aynı kullanıcı kimliğini kullanırsınız.

Microsoft Entra Id altında bir kullanıcı kimliği oluşturmak için bkz . Kimlik doğrulamasını ayarlama. Kimlik kimliğine daha sonra ihtiyacınız olacak.

Kimliğe izin atama

Bu bölümde, uç noktayla etkileşime geçmek için kullandığınız kullanıcı kimliğine izinler atarsınız. Yerleşik bir rol kullanarak veya özel bir rol oluşturarak başlarsınız. Bundan sonra, rolü kullanıcı kimliğinize atarsınız.

Yerleşik rol kullanma

AzureML Data ScientistYerleşik rol, uç noktaları ve dağıtımları yönetmek ve kullanmak için kullanılabilir ve aşağıdaki denetim düzlemi RBAC eylemlerini eklemek için joker karakterler kullanır:

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action

ve aşağıdaki veri düzlemi RBAC eylemini dahil etmek için:

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action

İsteğe bağlı olarak, Azure Machine Learning Workspace Connection Secrets Reader yerleşik rol çalışma alanı bağlantılarından gizli dizilere erişmek için kullanılabilir ve aşağıdaki denetim düzlemi RBAC eylemlerini içerir:

• Microsoft.MachineLearningServices/workspaces/connections/listsecrets/action
• Microsoft.MachineLearningServices/workspaces/metadata/secrets/read

Bu yerleşik rolleri kullanıyorsanız, bu adımda herhangi bir eyleme gerek yoktur.

(İsteğe bağlı) Özel rol oluşturma

Yerleşik roller veya önceden oluşturulmuş diğer özel roller kullanıyorsanız bu adımı atlayabilirsiniz.

1. Rollerin JSON tanımlarını oluşturarak özel rollerin kapsamını ve eylemlerini tanımlayın. Örneğin, aşağıdaki rol tanımı kullanıcının belirtilen çalışma alanı altında bir çevrimiçi uç nokta CRUD yapmasına olanak tanır.

   custom-role-for-control-plane.json:

   {
       "Name": "Custom role for control plane operations - online endpoint",
       "IsCustom": true,
       "Description": "Can CRUD against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
       ]
   }
   

   Aşağıdaki rol tanımı, kullanıcının belirtilen çalışma alanı altındaki çevrimiçi bir uç noktaya puanlama istekleri göndermesine olanak tanır.

   scoring.json için custom-role::

   {
       "Name": "Custom role for scoring - online endpoint",
       "IsCustom": true,
       "Description": "Can score against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
       ]
   }
   

2. Özel roller oluşturmak için JSON tanımlarını kullanın:

   az role definition create --role-definition custom-role-for-control-plane.json --subscription <subscriptionId>
   
   az role definition create --role-definition custom-role-for-scoring.json --subscription <subscriptionId>
   

   Dekont

   Özel roller oluşturmak için üç rolden birine ihtiyacınız vardır:

   • sahip
   • kullanıcı erişim yöneticisi
   • (özel rolleri oluşturmak/güncelleştirmek/silmek için) ve Microsoft.Authorization/roleDefinitions/read izni olan özel bir rol Microsoft.Authorization/roleDefinitions/write (özel rolleri görüntülemek için).

   Özel roller oluşturma hakkında daha fazla bilgi için bkz . Azure özel rolleri.

3. Rol tanımını doğrulayın:

   az role definition list --custom-role-only -o table
   
   az role definition list -n "Custom role for control plane operations - online endpoint"
   az role definition list -n "Custom role for scoring - online endpoint"
   
   export role_definition_id1=`(az role definition list -n "Custom role for control plane operations - online endpoint" --query "[0].id" | tr -d '"')`
   
   export role_definition_id2=`(az role definition list -n "Custom role for scoring - online endpoint" --query "[0].id" | tr -d '"')`
   

Rolü kimliğe atama

1. Yerleşik rolü kullanıyorsanız AzureML Data Scientist , rolü kullanıcı kimliğinize atamak için aşağıdaki kodu kullanın.

   az role assignment create --assignee <identityId> --role "AzureML Data Scientist" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

2. İsteğe bağlı olarak, yerleşik rolü kullanıyorsanız Azure Machine Learning Workspace Connection Secrets Reader , rolü kullanıcı kimliğinize atamak için aşağıdaki kodu kullanın.

   az role assignment create --assignee <identityId> --role "Azure Machine Learning Workspace Connection Secrets Reader" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

3. Özel bir rol kullanıyorsanız, rolü kullanıcı kimliğinize atamak için aşağıdaki kodu kullanın.

   az role assignment create --assignee <identityId> --role "Custom role for control plane operations - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   
   az role assignment create --assignee <identityId> --role "Custom role for scoring - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

   Dekont

   Kullanıcı kimliğine özel roller atamak için üç rolden birine ihtiyacınız vardır:

   • sahip
   • kullanıcı erişim yöneticisi
   • izin (özel roller atamak için) ve Microsoft.Authorization/roleAssignments/read (rol atamalarını görüntülemek için) izin veren Microsoft.Authorization/roleAssignments/write özel bir rol.

   Farklı Azure rolleri ve izinleri hakkında daha fazla bilgi için bkz . Azure rolleri ve Azure Portal kullanarak Azure rolleri atama.

4. Rol atamasını onaylayın:

   az role assignment list --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

Denetim düzlemi işlemleri için Microsoft Entra belirtecini alma

Doğrudan belirteci kullanacak rest API ile denetim düzlemi işlemleri gerçekleştirmeyi planlıyorsanız bu adımı gerçekleştirin.

Azure Machine Learning CLI (v2), Python SDK (v2) veya Azure Machine Learning stüdyosu gibi başka yollar kullanmayı planlıyorsanız Microsoft Entra belirtecini el ile almanız gerekmez. Bunun yerine, oturum açma sırasında kullanıcı kimliğiniz zaten doğrulanır ve belirteç sizin için otomatik olarak alınır ve geçirilir.

Denetim düzlemi işlemleri için Microsoft Entra belirtecini Azure kaynak uç noktasından alabilirsiniz: https://management.azure.com.

Azure CLI

1. Azure'da oturum açın.

   az login
   

2. Belirli bir kimlik kullanmak istiyorsanız, kimlikle oturum açmak için aşağıdaki kodu kullanın:

   az login --identity --username <identityId>
   

3. Belirteci almak için bu bağlamı kullanın.

   export CONTROL_PLANE_TOKEN=`(az account get-access-token --resource https://management.azure.com --query accessToken | tr -d '"')`
   

REST

Azure sanal makinesinden

Belirteci bir Azure VM'nin yönetilen kimliğine göre alabilirsiniz (VM yönetilen kimliği etkinleştirdiğinde).

1. Azure VM'sinde denetim düzlemi işlemi için Microsoft Entra belirtecini (aad_token) almak için isteği Azure kaynak uç noktası için Azure Örnek Meta Veri Hizmeti (I AVH) uç noktasına management.azure.comgönderin:

   export CONTROL_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
   

   Bahşiş

   JSON çıkışından belirteci ayıklamak jq için yardımcı programı örnek olarak kullanılır. Ancak, bu amaçla uygun herhangi bir aracı kullanabilirsiniz.

   Yönetilen kimlikleri temel alan belirteçler hakkında daha fazla bilgi için bkz . HTTP kullanarak belirteç alma.

İşlem örneğinden

Azure Machine Learning çalışma alanının işlem örneğini kullanıyorsanız belirteci alabilirsiniz. Belirteci almak için istemci kimliğini ve işlem örneğinin yönetilen kimliğinin gizli dizisini işlem örneğinde yerel olarak yapılandırılan yönetilen sistem kimliği (MSI) uç noktasına geçirmeniz gerekir. MSI uç noktasını, istemci kimliğini ve gizli diziyi sırasıyla , DEFAULT_IDENTITY_CLIENT_IDve MSI_SECRETortam değişkenlerinden MSI_ENDPOINTalabilirsiniz. İşlem örneği için yönetilen kimliği etkinleştirirseniz bu değişkenler otomatik olarak ayarlanır.

1. Çalışma alanının işlem örneğinden Azure kaynak uç noktası management.azure.com için belirteci alın:

   export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
   

Python

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://management.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

Daha fazla bilgi için bkz . Azure kimlik istemci kitaplığını kullanarak belirteç alma.

Studio

Stüdyo, Microsoft Entra belirtecini kullanıma sunmaz.

(İsteğe bağlı) Microsoft Entra belirtecinin kaynak uç noktasını ve istemci kimliğini doğrulama

Microsoft Entra belirtecini aldıktan sonra jwt.ms aracılığıyla belirtecin kodunu çözerek belirtecin doğru Azure kaynak uç noktası management.azure.com ve doğru istemci kimliği için olduğunu doğrulayabilirsiniz; bu da aşağıdaki bilgileri içeren bir json yanıtı döndürür:

{
    "aud": "https://management.azure.com",
    "oid": "<your-object-id>"
}

Uç nokta oluşturma

Aşağıdaki örnek, uç nokta kimliği olarak sistem tarafından atanan kimlik (SAI) ile uç noktayı oluşturur. SAI, uç noktalar için yönetilen kimliğin varsayılan kimlik türüdür. Sai için bazı temel roller otomatik olarak atanır. Sistem tarafından atanan bir kimlik için rol ataması hakkında daha fazla bilgi için bkz . Uç nokta kimliği için otomatik rol ataması.

Azure CLI

CLI, denetim düzlemi belirtecini açıkça sağlamanızı gerektirmez. Bunun yerine, CLI oturum açma sırasında kimliğinizi doğrular ve belirteç sizin için otomatik olarak alınır ve geçirilir.

1. Bir uç nokta tanımı YAML dosyası oluşturun.

   endpoint.yml:

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineEndpoint.schema.json
   name: my-endpoint
   auth_mode: aad_token
   

2. değerini anahtar kimlik doğrulaması için veya aml_token Azure Machine Learning belirteci kimlik doğrulaması için ile key değiştirebilirsinizauth_mode. Bu örnekte, Microsoft Entra belirteci kimlik doğrulaması için kullanacaksınızaad_token.

   az ml online-endpoint create -f endpoint.yml
   

3. Uç noktanın durumunu denetleyin:

   az ml online-endpoint show -n my-endpoint
   

4. Uç nokta oluştururken geçersiz kılmak auth_mode (örneğin, için aad_token) istiyorsanız aşağıdaki kodu çalıştırın:

   az ml online-endpoint create -n my-endpoint --auth_mode aad_token
   

5. Mevcut uç noktayı güncelleştirmek ve belirtmek auth_mode istiyorsanız (örneğin, için aad_token) aşağıdaki kodu çalıştırın:

   az ml online-endpoint update -n my-endpoint --set auth_mode=aad_token
   

REST

REST API çağrısı, denetim düzlemi belirtecini açıkça sağlamanızı gerektirir. Daha önce aldığınız denetim düzlemi belirtecini kullanın.

1. Uç nokta oluşturma veya güncelleştirme:

   export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
   export RESOURCE_GROUP=<RESOURCE_GROUP>
   export WORKSPACE=<AML_WORKSPACE_NAME>
   export ENDPOINT_NAME=<ENDPOINT_NAME>
   export LOCATION=<LOCATION_NAME>
   export API_VERSION=2023-04-01
   
   response=$(curl --location --request PUT "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
   --header "Content-Type: application/json" \
   --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
   --data-raw "{
       \"identity\": {
          \"type\": \"systemAssigned\"
       },
       \"properties\": {
           \"authMode\": \"AADToken\"
       },
       \"location\": \"$LOCATION\"
   }")
   
   echo $response
   

   değerini anahtar kimlik doğrulaması için veya AMLToken Azure Machine Learning belirteci kimlik doğrulaması için ile key değiştirebilirsinizauthMode. Bu örnekte, Microsoft Entra belirteci kimlik doğrulaması için kullanacaksınızAADToken.

2. Çevrimiçi uç noktanın geçerli durumunu alın:

   response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
   --header "Content-Type: application/json" \
   --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
   )
   
   echo $response
   

Python

Python SDK'sı, denetim düzlemi belirtecini açıkça sağlamanızı gerektirmez. Bunun yerine, SDK MLClient oturum açma sırasında kimliğinizi doğrular ve belirteç sizin için otomatik olarak alınır ve geçirilir.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    ManagedOnlineEndpoint,
    ManagedOnlineDeployment,
    Model,
    Environment,
    CodeConfiguration,
)
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<AML_WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

endpoint = ManagedOnlineEndpoint(
    name="my-endpoint",
    description="this is a sample online endpoint",
    auth_mode="aad_token",
    tags={"foo": "bar"},
)
ml_client.online_endpoints.begin_create_or_update(endpoint).result()

değerini anahtar kimlik doğrulaması için veya aml_token Azure Machine Learning belirteci kimlik doğrulaması için ile key değiştirebilirsinizauth_mode. Bu örnekte, Microsoft Entra belirteci kimlik doğrulaması için kullanacaksınızaad_token.

Studio

Stüdyo oturum açma sırasında kimliğinizi doğrular ve belirteç sizin için otomatik olarak alınır ve geçirilirken, stüdyo, denetim düzlemi belirtecini açıkça sağlamanıza gerek duymaz.

Çevrimiçi uç noktaları dağıtma hakkında daha fazla bilgi için bkz . Çevrimiçi uç nokta ile ML modeli dağıtma (Studio aracılığıyla)

Dağıtım oluşturma

Dağıtım oluşturmak için bkz. Çevrimiçi uç nokta ile ML modeli dağıtma veya Modeli çevrimiçi uç nokta olarak dağıtmak için REST kullanma. Farklı kimlik doğrulama modları için dağıtım oluşturma yönteminizde fark yoktur.

Azure CLI

Aşağıdaki kod, bir dağıtımın nasıl oluşturulacağını gösteren bir örnektir. Çevrimiçi uç noktaları dağıtma hakkında daha fazla bilgi için bkz . Çevrimiçi uç nokta ile ML modeli dağıtma (CLI aracılığıyla)

1. Dağıtım tanımı YAML dosyası oluşturun.

   blue-deployment.yml:

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineDeployment.schema.json
   name: blue
   endpoint_name: my-aad-auth-endp1
   model:
     path: ../../model-1/model/
   code_configuration:
     code: ../../model-1/onlinescoring/
     scoring_script: score.py
   environment: 
     conda_file: ../../model-1/environment/conda.yml
     image: mcr.microsoft.com/azureml/openmpi4.1.0-ubuntu20.04:latest
   instance_type: Standard_DS3_v2
   instance_count: 1
   

2. YAML dosyasını kullanarak dağıtımı oluşturun. Bu örnek için tüm trafiği yeni dağıtıma ayarlayın.

   az ml online-deployment create -f blue-deployment.yml --all-traffic
   

REST

REST kullanarak çevrimiçi uç noktaları dağıtma hakkında daha fazla bilgi için bkz . Modeli çevrimiçi uç nokta olarak dağıtmak için REST kullanma.

Python

Çevrimiçi uç noktaları dağıtma hakkında daha fazla bilgi için bkz . Çevrimiçi uç nokta ile ML modeli dağıtma (SDK aracılığıyla)

Studio

Çevrimiçi uç noktaları dağıtma hakkında daha fazla bilgi için bkz . Çevrimiçi uç nokta ile ML modeli dağıtma (Studio aracılığıyla)

Uç nokta için puanlama URI'sini alma

Azure CLI

Uç noktayı çağırmak için CLI kullanmayı planlıyorsanız, CLI bunu sizin için işlediğinden puanlama URI'sini açıkça almanız gerekmez. Ancak, puanlama URI'sini almak için CLI'yi kullanmaya devam edebilirsiniz; böylece REST API gibi diğer kanallarla da kullanabilirsiniz.

scoringUri=$(az ml online-endpoint show -n my-endpoint --query "scoring_uri")

REST

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export API_VERSION=2023-04-01
response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")
scoringUri=$(echo $response | jq -r '.properties' | jq -r '.scoringUri')

echo $response
echo $scoringUri

Python

Uç noktayı çağırmak için Python SDK'sını kullanmayı planlıyorsanız, SDK bunu sizin için işlediğinden puanlama URI'sini açıkça almanız gerekmez. Ancak, PUANLAMA URI'sini almak için SDK'yı kullanmaya devam edebilirsiniz; böylece REST API gibi diğer kanallarla da kullanabilirsiniz.

scoring_uri = ml_client.online_endpoints.get(name=endpoint_name).scoring_uri

Studio

Uç noktayı çağırmak için stüdyoyu kullanmayı planlıyorsanız, studio sizin için işlediğinden puanlama URI'sini açıkça almanız gerekmez. Ancak, puanlama URI'sini almak için stüdyoyu kullanmaya devam edebilirsiniz; böylece REST API gibi diğer kanallarla da kullanabilirsiniz.

Puanlama URI'sini uç nokta sayfasının Ayrıntılar sekmesinde bulabilirsiniz.

Veri düzlemi işlemleri için anahtarı veya belirteci alma

Anahtar veya belirteci alma işlemi bir denetim düzlemi işlemi olsa da, veri düzlemi işlemleri için bir anahtar veya belirteç kullanılabilir. Başka bir deyişle, daha sonra veri düzlemi işlemlerinizi gerçekleştirmek için kullandığınız anahtarı veya belirteci almak için bir denetim düzlemi belirteci kullanırsınız.

Anahtarı veya Azure Machine Learning belirtecini almak için, denetim düzlemi işlemleri için yetkilendirme bölümünde açıklandığı gibi, bunu isteyen kullanıcı kimliğine doğru rolün atanmış olması gerekir. Kullanıcı kimliğinin Microsoft Entra belirtecini almak için ek rollere ihtiyacı yoktur.

Azure CLI

Anahtar veya Azure Machine Learning belirteci

Uç noktayı çağırmak için CLI kullanmayı planlıyorsanız ve uç nokta anahtar veya Azure Machine Learning belirtecinin (aml_token ) kimlik doğrulama modunu kullanacak şekilde ayarlandıysa, CLI bunu sizin için işlediğinden veri düzlemi belirtecini açıkça almanız gerekmez. Ancak, CLI'yi kullanarak veri düzlemi belirtecini alabilirsiniz; böylece REST API gibi diğer kanallarla da kullanabilirsiniz.

Anahtarı veya Azure Machine Learning belirtecini ()aml_token almak için az ml online-endpoint get-credentials komutunu kullanın. Bu komut, anahtarı veya Azure Machine Learning belirtecini içeren bir JSON belgesi döndürür.

Anahtarlar ve secondaryKey alanlarında döndürülürprimaryKey. Aşağıdaki örnekte yalnızca birincil anahtarı döndürmek için parametresinin nasıl kullanılacağı --query gösterilmektedir:

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query primaryKey)

Azure Machine Learning Belirteçleri şu alanda döndürülür accessToken :

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)

Ayrıca ve expiryTimeUtcrefreshAfterTimeUtc alanları belirteç süre sonu ve yenileme sürelerini içerir.

Microsoft Entra belirteci

CLI kullanarak Microsoft Entra belirtecini (aad_token) almak için az account get-access-token komutunu kullanın. Bu komut, Microsoft Entra belirtecini içeren bir JSON belgesi döndürür.

Microsoft Entra belirteci şu alanda accessToken döndürülür:

export DATA_PLANE_TOKEN=`(az account get-access-token --resource https://ml.azure.com --query accessToken | tr -d '"')`

Dekont

• CLI ml uzantısı Microsoft Entra belirtecini almayı desteklemez. Bunun yerine önceki kodda açıklandığı gibi kullanın az account get-access-token .
• Veri düzlemi işlemleri için belirteç, denetim düzlemi işlemlerinin belirtecinden management.azure.comfarklı olarak yerine Azure kaynak uç noktasından ml.azure.com alınır.

REST

Anahtar veya Azure Machine Learning belirteci

Anahtarı veya Azure Machine Learning belirtecini (aml_token) almak için:

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/token?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.accessToken')

Microsoft Entra belirteci

Azure sanal makinesinden

Belirteci bir Azure VM için yönetilen kimlikleri temel alarak alabilirsiniz (VM yönetilen kimliği etkinleştirdiğinde).

1. Yönetilen kimlikle Azure VM'sinde veri düzlemi işlemi için Microsoft Entra belirtecini (aad_token) almak için isteği Azure kaynak uç noktası için Azure Örnek Meta Veri Hizmeti (I AVH) uç noktasına ml.azure.comgönderin:

   export DATA_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
   

   Bahşiş

   JSON çıkışından belirteci ayıklamak jq için yardımcı programı örnek olarak kullanılır. Ancak, bu amaçla uygun herhangi bir aracı kullanabilirsiniz.

   Yönetilen kimlikleri temel alan belirteçler hakkında daha fazla bilgi için bkz . HTTP kullanarak belirteç alma.

İşlem örneğinden

Azure Machine Learning çalışma alanının işlem örneğini kullanıyorsanız belirteci alabilirsiniz. Belirteci almak için istemci kimliğini ve işlem örneğinin yönetilen kimliğinin gizli dizisini işlem örneğinde yerel olarak yapılandırılan yönetilen sistem kimliği (MSI) uç noktasına geçirmeniz gerekir. MSI uç noktasını, istemci kimliğini ve gizli diziyi sırasıyla , DEFAULT_IDENTITY_CLIENT_IDve MSI_SECRETortam değişkenlerinden MSI_ENDPOINTalabilirsiniz. İşlem örneği için yönetilen kimliği etkinleştirirseniz bu değişkenler otomatik olarak ayarlanır.

1. Çalışma alanının işlem örneğinden Azure kaynak uç noktası ml.azure.com için belirteci alın:

   export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
   

Python

Anahtar veya Azure Machine Learning belirteci

Uç noktayı çağırmak için Python SDK'sını kullanmayı planlıyorsanız ve uç nokta bir anahtar kimlik doğrulama modunu veya Azure Machine Learning belirtecini ()aml_token kullanacak şekilde ayarlandıysa, SDK bunu sizin için işlediğinden veri düzlemi belirtecini açıkça almanız gerekmez. Ancak, REST API gibi diğer kanallarla kullanabilmek için veri düzlemi belirtecini almak için SDK'yı kullanmaya devam edebilirsiniz.

Anahtarı veya Azure Machine Learning belirtecini ()aml_token almak için sınıfındaki get_keys yöntemini OnlineEndpointOperations kullanın.

Anahtarlar ve secondary_key alanlarında döndürülürprimary_key:

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).primary_key

Azure Machine Learning Belirteçleri şu alanda döndürülür accessToken :

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token

Ayrıca ve expiry_time_utcrefresh_after_time_utc alanları belirteç süre sonu ve yenileme sürelerini içerir.

Örneğin, almak expiry_time_utciçin:

print(ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc)

Microsoft Entra belirteci

SDK kullanarak Microsoft Entra belirtecini (aad_token) almak için Azure kimlik istemci kitaplığını kullanın:

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://ml.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

Daha fazla bilgi için bkz . Azure kimlik istemci kitaplığını kullanarak belirteç alma.

Studio

Anahtar veya Azure Machine Learning belirteci

Anahtarı veya belirteci uç nokta sayfasının Tüket sekmesinde bulabilirsiniz.

Microsoft Entra belirteci

Microsoft Entra belirteci stüdyoda gösterilmez.

Microsoft Entra belirtecinin kaynak uç noktasını ve istemci kimliğini doğrulama

Entra belirtecini aldıktan sonra jwt.ms aracılığıyla belirtecin kodunu çözerek belirtecin doğru Azure kaynak uç noktası ml.azure.com ve doğru istemci kimliği için olduğunu doğrulayabilirsiniz; bu da aşağıdaki bilgileri içeren bir json yanıtı döndürür:

{
    "aud": "https://ml.azure.com",
    "oid": "<your-object-id>"
}

Anahtarı veya belirteci kullanarak verileri puanla

Azure CLI

Anahtar veya Azure Machine Learning belirteci

Anahtar veya Azure Machine Learning belirteciyle uç noktalar için kullanabilirsiniz az ml online-endpoint invoke . CLI anahtarı veya Azure Machine Learning belirtecini otomatik olarak işler, bu nedenle açıkça geçirmeniz gerekmez.

az ml online-endpoint invoke -n my-endpoint -r request.json

Microsoft Entra belirteci

Microsoft Entra belirteciyle uç noktalar için kullanılması az ml online-endpoint invoke desteklenmez. Bunun yerine REST API kullanın ve uç noktayı çağırmak için uç noktanın puanlama URI'sini kullanın.

REST

Puanlama için çevrimiçi uç noktayı çağırırken anahtarı, Azure Machine Learning belirtecini veya Microsoft Entra belirtecini yetkilendirme üst bilgisine geçirin. Aşağıdaki kod, anahtar veya belirteç kullanarak çevrimiçi uç noktayı çağırmak için curl yardımcı programının nasıl kullanılacağını gösterir:

curl --request POST "$scoringUri" --header "Authorization: Bearer $DATA_PLANE_TOKEN" --header 'Content-Type: application/json' --data @endpoints/online/model-1/sample-request.json

Python

Anahtar veya Azure Machine Learning belirteci

Kullanan ml_client.online_endpoints.invoke() Azure Machine Learning SDK'sı anahtar veya Azure Machine Learning belirteci için desteklenir. Azure Machine Learning SDK'sını kullanmaya ek olarak, puanlama URI'sine POST isteği göndermek için genel bir Python SDK'sı da kullanabilirsiniz.

Microsoft Entra belirteci

Kullanan Azure Machine Learning SDK'sı ml_client.online_endpoints.invoke() Microsoft Entra belirteci için desteklenmez. Bunun yerine genel bir Python SDK'sı kullanın veya PUANLAMA URI'sine POST isteği göndermek için REST API kullanın.

Puanlama için çevrimiçi uç noktayı çağırırken, anahtarı veya belirteci yetkilendirme üst bilgisine geçirin. Aşağıdaki kod, genel python SDK'sı ile anahtar veya belirteç kullanarak çevrimiçi uç noktayı çağırmayı gösterir. Kodda değişkeni anahtarınızla veya belirtecinizle değiştirin api_key .

import urllib.request
import json
import os

data = {"data": [
    [1,2,3,4,5,6,7,8,9,10], 
    [10,9,8,7,6,5,4,3,2,1]
]}

body = str.encode(json.dumps(data))

url = '<scoring URI as retrieved earlier>'
api_key = '<key or token as retrieved earlier>'
headers = {'Content-Type':'application/json', 'Authorization':('Bearer '+ api_key)}

req = urllib.request.Request(url, body, headers)

try:
    response = urllib.request.urlopen(req)

    result = response.read()
    print(result)
except urllib.error.HTTPError as error:
    print("The request failed with status code: " + str(error.code))

    # Print the headers - they include the requert ID and the timestamp, which are useful for debugging the failure
    print(error.info())
    print(error.read().decode("utf8", 'ignore'))

Studio

Anahtar veya Azure Machine Learning belirteci

Dağıtımın ayrıntı sayfasının Test sekmesi anahtar veya Azure Machine Learning belirteci kimlik doğrulaması ile uç noktalar için puanlamayı destekler.

Microsoft Entra belirteci

Dağıtımın ayrıntı sayfasının Test sekmesi, Microsoft Entra belirteci kimlik doğrulaması ile uç noktalar için puanlamayı desteklemez.

Trafiği günlüğe kaydetme ve izleme

Uç noktanın tanılama ayarlarında trafik günlüğünü etkinleştirmek için Günlükleri etkinleştirme/devre dışı bırakma başlığındaki adımları izleyin.

Tanılama ayarı etkinse, kimlik doğrulama modunu ve kullanıcı kimliğini görmek için tabloyu de kontrol AmlOnlineEndpointTrafficLogs edebilirsiniz.

İlgili içerik

• Yönetilen çevrimiçi uç nokta için kimlik doğrulaması
• Çevrimiçi uç nokta kullanarak makine öğrenmesi modeli dağıtma
• Yönetilen çevrimiçi uç noktalar için ağ yalıtımını etkinleştirme