驗證線上端點的用戶端

發行項
05/21/2024

適用於：Azure CLI ml 延伸模組 v2 (目前)Python SDK azure-ai-ml v2 (目前)

本文說明如何驗證用戶端，以在線上端點執行控制平面和資料平面作業。

控制平面作業會控制端點並加以變更。控制平面作業包括線上端點和線上部署的建立、讀取、更新及刪除 (CRUD) 作業。

資料平面作業會使用資料與線上端點互動，而不會變更端點。例如，資料平面作業可能包含將評分要求傳送至線上端點並取得回應。

必要條件

遵循本文中的步驟之前，請確定您已滿足下列必要條件：

Azure Machine Learning 工作區。如果您沒有工作區資源，請依快速入門：建立工作區資源一文中的步驟來建立工作區資源。
Azure CLI 與 ml 延伸模組或 Azure Machine Learning Python SDK v2：
- 若要安裝 Azure CLI 和擴充功能，請參閱安裝、設定和使用 CLI (v2)。
  
  重要
  
  本文中的 CLI 範例假設您使用 Bash (或相容的) 殼層。例如，從 Linux 系統或 Windows 子系統 Linux 版。
- 若要安裝 Python SDK v2，請使用下列命令：
```
pip install azure-ai-ml azure-identity
```
  若要將現有的 SDK 安裝更新為最新版本，請使用下列命令：
```
pip install --upgrade azure-ai-ml azure-identity
```
  如需詳細資訊，請參閱安裝適用於 Azure Machine Learning 的 Python SDK 第 2 版。

準備使用者身分識別

您需要使用者身分識別，才能在線上端點執行控制平面作業 (也就是 CRUD 作業) 和資料平面作業 (也就是傳送評分要求)。您可以針對控制平面和資料平面作業使用相同的使用者身分識別或不同的使用者身分識別。在本文中，您會針對控制平面和資料平面作業使用相同的使用者身分識別。

若要在 Microsoft Entra ID 下建立使用者身分識別，請參閱設定驗證。您稍後需要身分識別識別碼。

對身分識別指派權限

在本節中，您會將權限指派給您用來與端點互動的使用者身分識別。您可以從使用內建角色或建立自訂角色開始。然後您會將角色指派給使用者身分識別。

使用內建角色

AzureML Data Scientist內建角色可用來管理及使用端點和部署，其使用萬用字元來包含下列控制平面 RBAC 動作：

Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action

以及包含下列資料平面 RBAC 動作：

Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action

Azure Machine Learning Workspace Connection Secrets Reader 內建角色可選擇性地用來從工作區連線存取祕密，且其包含下列控制平面 RBAC 動作：

Microsoft.MachineLearningServices/workspaces/connections/listsecrets/action
Microsoft.MachineLearningServices/workspaces/metadata/secrets/read

如果您使用這些內建角色，則此步驟不需要採取任何動作。

(選擇性) 建立自訂角色

如果您使用內建角色或其他預先建立的自訂角色，則可以略過此步驟。

藉由建立角色的 JSON 定義，定義自訂角色的範圍和動作。例如，下列角色定義可讓使用者在指定工作區下，對線上端點執行 CRUD。

custom-role-for-control-plane.json：

{
    "Name": "Custom role for control plane operations - online endpoint",
    "IsCustom": true,
    "Description": "Can CRUD against online endpoints.",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action"
    ],
    "NotActions": [
    ],
    "AssignableScopes": [
        "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
    ]
}

下列角色定義可讓使用者在指定工作區下，將評分要求傳送給線上端點。

custom-role-for-scoring.json：

{
    "Name": "Custom role for scoring - online endpoint",
    "IsCustom": true,
    "Description": "Can score against online endpoints.",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/action"
    ],
    "NotActions": [
    ],
    "AssignableScopes": [
        "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
    ]
}

使用 JSON 定義來建立自訂角色：
```
az role definition create --role-definition custom-role-for-control-plane.json --subscription <subscriptionId>

az role definition create --role-definition custom-role-for-scoring.json --subscription <subscriptionId>
```
注意

若要建立自訂角色，您需要以下三個角色其中之一：
- 擁有者
- 使用者存取管理員
- 具有 Microsoft.Authorization/roleDefinitions/write 權限 (可建立/更新/刪除自訂角色) 的自訂角色，以及 Microsoft.Authorization/roleDefinitions/read 權限 (可檢視自訂角色) 的自訂角色。
如需建立自訂角色的詳細資訊，請參閱 Azure 自訂角色。

驗證角色定義：

az role definition list --custom-role-only -o table

az role definition list -n "Custom role for control plane operations - online endpoint"
az role definition list -n "Custom role for scoring - online endpoint"

export role_definition_id1=`(az role definition list -n "Custom role for control plane operations - online endpoint" --query "[0].id" | tr -d '"')`

export role_definition_id2=`(az role definition list -n "Custom role for scoring - online endpoint" --query "[0].id" | tr -d '"')`

將角色指派給身分識別

如果您使用 AzureML Data Scientist 內建角色，請使用下列程式碼將角色指派給使用者身分識別。

az role assignment create --assignee <identityId> --role "AzureML Data Scientist" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

如果您使用 Azure Machine Learning Workspace Connection Secrets Reader 內建角色，請選擇性地使用下列程式碼將角色指派給使用者身分識別。

az role assignment create --assignee <identityId> --role "Azure Machine Learning Workspace Connection Secrets Reader" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

如果您使用自訂角色，請使用下列程式碼將角色指派給使用者身分識別。
```
az role assignment create --assignee <identityId> --role "Custom role for control plane operations - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

az role assignment create --assignee <identityId> --role "Custom role for scoring - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
```
注意

若要將自訂角色指派給使用者身分識別，您需要以下三個角色其中之一：
- 擁有者
- 使用者存取管理員
- 允許 Microsoft.Authorization/roleAssignments/write 權限 (指派自訂角色) 和 Microsoft.Authorization/roleAssignments/read (檢視角色指派) 的自訂角色。
如需不同 Azure 角色及其權限的詳細資訊，請參閱使用 Azure 角色和使用 Azure 入口網站指派 Azure 角色。

確認角色指派：

az role assignment list --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

取得控制平面作業的 Microsoft Entra 權杖

如果您打算使用 REST API 執行控制平面作業，則執行此步驟，這會直接使用權杖。

如果您打算使用其他方式，例如 Azure Machine Learning CLI (v2)、Python SDK (v2) 或 Azure Machine Learning 工作室，則不需要手動取得 Microsoft Entra 權杖。相反地，在登入期間，您的使用者身分識別已經通過驗證，而且會自動為您擷取和傳遞權杖。

您可以從 Azure 資源端點為控制平面擷取 Microsoft Entra 權杖：https://management.azure.com。

登入Azure。
```
az login
```
如果您想要使用特定身分識別，請使用下列程式碼以身分識別登入：
```
az login --identity --username <identityId>
```

使用此內容來取得權杖。

export CONTROL_PLANE_TOKEN=`(az account get-access-token --resource https://management.azure.com --query accessToken | tr -d '"')`

從 Azure 虛擬機器

您可以根據 Azure VM 的受控識別取得權杖 (當 VM 啟用受控識別時)。

若要為 Azure VM 上的控制平面作業取得 Microsoft Entra 權杖 (aad_token)，請將要求提交至 Azure 資源端點 management.azure.com 的 Azure Instance Metadata Service (IMDS) 端點：
```
export CONTROL_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
```
提示

若要從 JSON 輸出擷取權杖，jq 公用程式可作為範例使用。不過，您可以針對此目的使用任何適當的工具。

如需根據受控識別取得權杖的詳細資訊，請參閱使用 HTTP 取得權杖。

從計算執行個體

如果您使用 Azure Machine Learning 工作區的計算執行個體，您可以取得權杖。若要取得權杖，您必須將計算執行個體受控識別的用戶端識別碼和祕密傳遞至在計算執行個體本機設定的受控系統識別 (MSI) 端點。您可以分別從環境變數 MSI_ENDPOINT、DEFAULT_IDENTITY_CLIENT_ID 和 MSI_SECRET 取得 MSI 端點、用戶端識別碼和祕密。如果您啟用計算執行個體的受控識別，這些變數會自動設定。

從工作區的計算執行個體取得 Azure 資源端點 management.azure.com 的權杖：

export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://management.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

如需詳細資訊，請參閱使用 Azure 身分識別用戶端程式庫取得權杖。

(選擇性) 確認 Microsoft Entra 權杖的資源端點和用戶端識別碼

擷取 Microsoft Entra 權杖之後，您可以透過 jwt.ms 解碼權杖 (這會傳回 JSON 回應並提供下列資訊)，以驗證權杖是否適用於正確的 Azure 資源端點 management.azure.com 和正確的用戶端識別碼：

{
    "aud": "https://management.azure.com",
    "oid": "<your-object-id>"
}

建立端點

下列範例會建立具有系統指派的身分識別 (SAI) 作為端點身分識別的端點。 SAI 是端點受控識別的預設身分識別類型。某些基本角色會自動指派給 SAI。如需系統指派的身分識別角色指派的詳細資訊，請參閱端點身分識別的自動角色指派。

CLI 不需要您明確提供控制平面權杖。相反地，CLI az login 會在登入期間對您進行驗證，而且會自動為您擷取並傳遞權杖。

建立端點定義 YAML 檔案。

endpoint.yml：

$schema: https://azuremlschemas.azureedge.net/latest/managedOnlineEndpoint.schema.json
name: my-endpoint
auth_mode: aad_token

您可以針對金鑰驗證將 auth_mode 取代為 key，或針對 Azure Machine Learning 權杖驗證取代為 aml_token。在此範例中，您會針對 Microsoft Entra 權杖驗證使用 aad_token。
```
az ml online-endpoint create -f endpoint.yml
```

檢查端點的狀態：

az ml online-endpoint show -n my-endpoint

如果您想要在建立端點時覆寫 auth_mode (例如覆寫為 aad_token)，請執行下列程式碼：
```
az ml online-endpoint create -n my-endpoint --auth_mode aad_token
```
如果您要更新現有的端點並指定 auth_mode (例如，指定為 aad_token)，請執行下列程式碼：
```
az ml online-endpoint update -n my-endpoint --set auth_mode=aad_token
```

REST API 需要您明確提供控制平面權杖。使用您稍早擷取的控制平面權杖。

建立或更新端點：

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export LOCATION=<LOCATION_NAME>
export API_VERSION=2023-04-01

response=$(curl --location --request PUT "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
--data-raw "{
    \"identity\": {
       \"type\": \"systemAssigned\"
    },
    \"properties\": {
        \"authMode\": \"AADToken\"
    },
    \"location\": \"$LOCATION\"
}")

echo $response

您可以針對金鑰驗證將 authMode 取代為 key，或針對 Azure Machine Learning 權杖驗證取代為 AMLToken。在此範例中，您會針對 Microsoft Entra 權杖驗證使用 AADToken。

取得線上端點的目前狀態：

response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
)

echo $response

Python SDK 不需要您明確提供控制平面權杖。相反地，SDK MLClient 會在登入期間對您進行驗證，而且會自動為您擷取並傳遞權杖。

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    ManagedOnlineEndpoint,
    ManagedOnlineDeployment,
    Model,
    Environment,
    CodeConfiguration,
)
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<AML_WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

endpoint = ManagedOnlineEndpoint(
    name="my-endpoint",
    description="this is a sample online endpoint",
    auth_mode="aad_token",
    tags={"foo": "bar"},
)
ml_client.online_endpoints.begin_create_or_update(endpoint).result()

您可以針對金鑰驗證將 auth_mode 取代為 key，或針對 Azure Machine Learning 權杖驗證取代為 aml_token。在此範例中，您會針對 Microsoft Entra 權杖驗證使用 aad_token。

建立部署

若要建立部署，請參閱使用線上端點部署 ML 模型或使用 REST 將模型部署為線上端點。針對不同驗證模式建立部署的方式並無不同。

以下程式碼為示範如何建立部署的範例。如需部署線上端點的詳細資訊，請參閱使用線上端點部署 ML 模型 (透過 CLI)

建立部署定義 YAML 檔案。

blue-deployment.yml：

$schema: https://azuremlschemas.azureedge.net/latest/managedOnlineDeployment.schema.json
name: blue
endpoint_name: my-aad-auth-endp1
model:
  path: ../../model-1/model/
code_configuration:
  code: ../../model-1/onlinescoring/
  scoring_script: score.py
environment: 
  conda_file: ../../model-1/environment/conda.yml
  image: mcr.microsoft.com/azureml/openmpi4.1.0-ubuntu20.04:latest
instance_type: Standard_DS3_v2
instance_count: 1

使用 YAML 檔案建立部署。針對此範例，將所有流量設定為前往新部署。
```
az ml online-deployment create -f blue-deployment.yml --all-traffic
```

取得端點的評分 URI

如果您打算使用 CLI 來叫用端點，則不需要明確地取得評分 URI，因為 CLI 會為您處理。不過，您仍然可以使用 CLI 來取得評分 URI，以便將其與其他通道搭配使用，例如 REST API。

scoringUri=$(az ml online-endpoint show -n my-endpoint --query "scoring_uri")

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export API_VERSION=2023-04-01
response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")
scoringUri=$(echo $response | jq -r '.properties' | jq -r '.scoringUri')

echo $response
echo $scoringUri

如果您打算使用 Python SDK 來叫用端點，則不需要明確地取得評分 URI，因為 SDK 會為您處理。不過，您仍然可以使用 SDK 來取得評分 URI，以便將其與其他通道搭配使用，例如 REST API。

scoring_uri = ml_client.online_endpoints.get(name=endpoint_name).scoring_uri

取得資料平面作業的金鑰或權杖

金鑰或權杖可用於資料平面作業，即使取得金鑰或權杖的程序是控制平面作業也一樣。換句話說，您可以使用控制平面權杖來取得您稍後用來執行資料平面作業的金鑰或權杖。

取得金鑰或 Azure Machine Learning 權杖需要將正確的角色指派給提出要求的使用者身分識別，如控制平面作業的授權中所述。取得 Microsoft Entra 權杖不需要任何額外的角色進行使用者身分識別。

如果您打算使用 CLI 來叫用端點，則不需要明確地取得資料平面作業的金鑰或權杖，因為 CLI 會為您處理。不過，您仍然可以使用 CLI 來取得資料平面作業的金鑰或權杖，以便可以將其與其他通道搭配使用，例如 REST API。

若要取得資料平面作業的金鑰或權杖，請使用 az ml online-endpoint get-credentials 命令。此命令會傳回 JSON 輸出，其中包含金鑰、權杖和/或其他資訊。

提示

若要從 JSON 輸出擷取特定資訊，CLI 命令的 --query 參數會作為範例使用。不過，您可以針對此目的使用任何適當的工具。

當端點的 auth_mode 為 key 時

金鑰會在 primaryKey 和 secondaryKey 欄位中傳回。

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query primaryKey)
export DATA_PLANE_TOKEN2=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query secondaryKey)

當端點的 auth_mode 為 aml_token 時

權杖會在 accessToken 欄位中傳回。
權杖到期時間會在 expiryTimeUtc 欄位中傳回。
權杖重新整理時間會在 refreshAfterTimeUtc 欄位中傳回。

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)
export REFRESH_AFTER_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query refreshAfterTimeUtc)

當端點的 auth_mode 為 aad_token 時

權杖會在 accessToken 欄位中傳回。
權杖到期時間會在 expiryTimeUtc 欄位中傳回。

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)

若要取得數據平面作業的金鑰或權杖，請選擇正確的 API，視端點的 auth_mode 而定。 API 會傳回包含金鑰和權杖的 JSON 輸出。

提示

jq 公用程式用來示範如何從 JSON 輸出擷取特定資訊。不過，您可以針對此目的使用任何適當的工具。

當端點的 auth_mode 為 key 時

使用 listkeys API。
金鑰會在 primaryKey 和 secondaryKey 欄位中傳回。

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/listkeys?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.primaryKey')

當端點的 auth_mode 為 aml_token 時

使用 token API。
權杖會在 accessToken 欄位中傳回。
權杖到期時間會在 expiryTimeUtc 欄位中傳回
權杖重新整理時間會在 refreshAfterTimeUtc 欄位中傳回

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/token?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.accessToken')
export EXPIRY_TIME_UTC=$(echo $response | jq -r '.expiryTimeUtc')
export REFRESH_AFTER_TIME_UTC=$(echo $response | jq -r '.refreshAfterTimeUtc')

當端點的 auth_mode 為 aad_token 時

使用 IMDS 端點或 MSI 端點，視您要求權杖的位置而定。
權杖會在 accessToken 欄位中傳回。
權杖到期時間會在 expiryTimeUtc 欄位中傳回

從 Azure 虛擬機器

您可以根據 Azure VM 的受控識別取得權杖 (當 VM 啟用受控識別時)。

若要透過受控識別為 Azure VM 上的資料平面作業取得 Microsoft Entra 權杖 (aad_token)，請將要求提交至 Azure 資源端點 ml.azure.com 的 Azure Instance Metadata Service (IMDS) 端點：

export DATA_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
export EXPIRY_TIME_UTC=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.expiryTimeUtc' )`

如需根據受控識別取得權杖的詳細資訊，請參閱使用 HTTP 取得權杖。

從計算執行個體

從工作區的計算執行個體取得 Azure 資源端點 ml.azure.com 的權杖：

export DATA_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
export EXPIRY_TIME_UTC=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.expiryTimeUtc' )`

重要

不同於控制平面作業的 Microsoft Entra 權杖，其是從 management.azure.com 擷取的，而資料平面作業的 Microsoft Entra 權杖是從 Azure 資源端點 ml.azure.com 擷取的。

如果您打算使用 SDK 來叫用端點，則不需要明確地取得資料平面作業的金鑰或權杖，因為 SDK 會為您處理。不過，您仍然可以使用 SDK 來取得資料平面作業的金鑰或權杖，以便可以將其與其他通道搭配使用，例如 REST API。

若要取得資料平面作業的金鑰或權杖，請使用 OnlineEndpointOperations 類別中的 get_keys 方法。這個方法會傳回包含金鑰和權杖的物件。

當端點的 auth_mode 為 key 時

金鑰會在 primary_key 和 secondary_key 欄位中傳回。

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).primary_key
DATA_PLANE_TOKEN2 = ml_client.online_endpoints.get_keys(name=endpoint_name).secondary_key

當端點的 auth_mode 為 aml_token 時

權杖會在 access_token 欄位中傳回。
權杖到期時間會在 expiry_time_utc 欄位中傳回。
權杖重新整理時間會在 refresh_after_time_utc 欄位中傳回。

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc
REFRESH_AFTER_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).refresh_after_time_utc

當端點的 auth_mode 為 aad_token 時

權杖會在 access_token 欄位中傳回。
權杖到期時間會在 expiry_time_utc 欄位中傳回。

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc

如需詳細資訊，請參閱使用 Azure 身分識別用戶端程式庫取得權杖。

確認 Microsoft Entra 權杖的資源端點和用戶端識別碼

取得 Entra 權杖之後，您可以透過 jwt.ms 解碼權杖 (這會傳回 JSON 回應並提供下列資訊)，以驗證權杖是否適用於正確的 Azure 資源端點 ml.azure.com 和正確的用戶端識別碼：

{
    "aud": "https://ml.azure.com",
    "oid": "<your-object-id>"
}

使用金鑰或權杖為資料評分

您可以針對端點搭配金鑰、Azure Machine Learning 權杖或 Microsoft Entra 權杖使用 az ml online-endpoint invoke。 CLI 會自動處理金鑰或權杖，因此您不需要明確傳遞金鑰或權杖。

az ml online-endpoint invoke -n my-endpoint -r request.json

叫用線上端點進行評分時，請在授權標頭中傳遞金鑰、Azure Machine Learning 權杖或 Microsoft Entra 權杖。下列程式碼示範如何使用 curl 公用程式，使用金鑰或權杖來呼叫線上端點：

curl --request POST "$scoringUri" --header "Authorization: Bearer $DATA_PLANE_TOKEN" --header 'Content-Type: application/json' --data @endpoints/online/model-1/sample-request.json

金鑰、Azure Machine Learning 權杖和 Microsoft Entra 權杖支援使用 ml_client.online_endpoints.invoke() 的 Azure Machine Learning SDK。除了使用 Azure Machine Learning SDK 之外，您也可以使用泛型 Python SDK 將 POST 要求傳送至評分 URI。

呼叫線上端點以進行評分時，請在授權標頭中傳遞金鑰或權杖。下列程式碼示範如何透過泛型 Python SDK，使用金鑰或權杖來呼叫線上端點。在程式碼中，將 api_key 變數取代為您的金鑰或權杖。

import urllib.request
import json
import os

data = {"data": [
    [1,2,3,4,5,6,7,8,9,10], 
    [10,9,8,7,6,5,4,3,2,1]
]}

body = str.encode(json.dumps(data))

url = '<scoring URI as retrieved earlier>'
api_key = '<key or token as retrieved earlier>'
headers = {'Content-Type':'application/json', 'Authorization':('Bearer '+ api_key)}

req = urllib.request.Request(url, body, headers)

try:
    response = urllib.request.urlopen(req)

    result = response.read()
    print(result)
except urllib.error.HTTPError as error:
    print("The request failed with status code: " + str(error.code))

    # Print the headers - they include the requert ID and the timestamp, which are useful for debugging the failure
    print(error.info())
    print(error.read().decode("utf8", 'ignore'))

記錄和監視流量

若要在端點的診斷設定中啟用流量記錄，請遵循如何啟用/停用記錄中的步驟。

如果已啟用診斷設定，您可以檢查 AmlOnlineEndpointTrafficLogs 資料表以查看驗證模式和使用者身分識別。

Share via

驗證線上端點的用戶端

必要條件

準備使用者身分識別

對身分識別指派權限

使用內建角色

(選擇性) 建立自訂角色

將角色指派給身分識別

取得控制平面作業的 Microsoft Entra 權杖

(選擇性) 確認 Microsoft Entra 權杖的資源端點和用戶端識別碼

建立端點

建立部署

取得端點的評分 URI

取得資料平面作業的金鑰或權杖

確認 Microsoft Entra 權杖的資源端點和用戶端識別碼

使用金鑰或權杖為資料評分

金鑰或 Azure Machine Learning 權杖

記錄和監視流量

其他資源

Share via

驗證線上端點的用戶端

必要條件

準備使用者身分識別

對身分識別指派權限

使用內建角色

(選擇性) 建立自訂角色

將角色指派給身分識別

取得控制平面作業的 Microsoft Entra 權杖

(選擇性) 確認 Microsoft Entra 權杖的資源端點和用戶端識別碼

建立端點

建立部署

取得端點的評分 URI

取得資料平面作業的金鑰或權杖

確認 Microsoft Entra 權杖的資源端點和用戶端識別碼

使用金鑰或權杖為資料評分

記錄和監視流量

相關內容

其他資源