المصادقة لنقاط النهاية المدارة عبر الإنترنت

مقالة
01/11/2024

ينطبق على:ملحق ML Azure CLI v2 (الحالي)Python SDK azure-ai-ml v2 (الحالي)

تشرح هذه المقالة مفاهيم الهوية والإذن في سياق نقاط النهاية عبر الإنترنت. نبدأ بمناقشة معرفات Microsoft Entra التي تدعم Azure RBAC. اعتمادا على الغرض من هوية Microsoft Entra، نشير إليها إما كهوية مستخدم أو هوية نقطة نهاية.

هوية المستخدم هي معرف Microsoft Entra الذي يمكنك استخدامه لإنشاء نقطة نهاية ونشرها أو استخدامها للتفاعل مع نقاط النهاية أو مساحات العمل. بمعنى آخر، يمكن اعتبار الهوية هوية مستخدم إذا كانت تصدر طلبات إلى نقاط النهاية أو عمليات النشر أو مساحات العمل. ستحتاج هوية المستخدم إلى أذونات مناسبة لتنفيذ عمليات وحدة التحكم ولوحة البيانات على نقاط النهاية أو مساحات العمل.

هوية نقطة النهاية هي معرف Microsoft Entra الذي يقوم بتشغيل حاوية المستخدم في عمليات النشر. بمعنى آخر، إذا كانت الهوية مقترنة بنقطة النهاية وتستخدم لحاوية المستخدم للنشر، فإنها تسمى هوية نقطة النهاية. ستحتاج هوية نقطة النهاية أيضا إلى أذونات مناسبة لحاوية المستخدم للتفاعل مع الموارد حسب الحاجة. على سبيل المثال، ستحتاج هوية نقطة النهاية إلى الأذونات المناسبة لسحب الصور من Azure Container Registry أو للتفاعل مع خدمات Azure الأخرى.

بشكل عام، سيكون لهوية المستخدم وهوية نقطة النهاية متطلبات إذن منفصلة. لمزيد من المعلومات حول إدارة الهويات والأذونات، راجع كيفية مصادقة العملاء لنقاط النهاية عبر الإنترنت. لمزيد من المعلومات حول الحالة الخاصة لإضافة إذن إضافي للأسرار تلقائيا، راجع أذونات إضافية لهوية المستخدم.

القيد

مصادقة معرف Microsoft Entra (aad_token) مدعومة لنقاط النهاية المدارة عبر الإنترنت فقط. بالنسبة لنقاط نهاية Kubernetes عبر الإنترنت، يمكنك استخدام مفتاح أو رمز Azure التعلم الآلي المميز (aml_token).

الأذونات المطلوبة لهوية المستخدم

عند تسجيل الدخول إلى مستأجر Azure باستخدام حساب Microsoft الخاص بك (على سبيل المثال، باستخدام az login)، يمكنك إكمال خطوة مصادقة المستخدم (المعروفة باسم authn) ويتم تحديد هويتك كمستخدم. الآن، لنفترض أنك تريد إنشاء نقطة نهاية عبر الإنترنت ضمن مساحة عمل، ستحتاج إلى الإذن المناسب للقيام بذلك. هذا هو المكان الذي يأتي فيه التخويل (المعروف عادة باسم authz).

التحكم بعمليات وحدة التحكم

التحكم في عمليات مستوى التحكم وتغيير نقاط النهاية عبر الإنترنت. تتضمن هذه العمليات عمليات الإنشاء والقراءة والتحديث والحذف (CRUD) على نقاط النهاية عبر الإنترنت وعمليات النشر عبر الإنترنت. بالنسبة إلى نقاط النهاية والنشر عبر الإنترنت، تنتقل طلبات تنفيذ عمليات وحدة التحكم إلى مساحة عمل Azure التعلم الآلي.

مصادقة عمليات وحدة التحكم

لعمليات وحدة التحكم، لديك طريقة واحدة لمصادقة عميل إلى مساحة العمل: باستخدام رمز Microsoft Entra المميز.

اعتمادا على حالة الاستخدام الخاصة بك، يمكنك الاختيار من بين العديد من مهام سير عمل المصادقة للحصول على هذا الرمز المميز. تحتاج هوية المستخدم أيضا إلى عنصر تحكم وصول مناسب يستند إلى دور Azure (Azure RBAC) مسموح به للوصول إلى مواردك.

تخويل لعمليات وحدة التحكم

بالنسبة لعمليات وحدة التحكم، تحتاج هوية المستخدم إلى عنصر تحكم وصول مناسب يستند إلى دور Azure (Azure RBAC) يسمح له بالوصول إلى مواردك. على وجه التحديد، بالنسبة لعمليات CRUD على نقاط النهاية والنشر عبر الإنترنت، تحتاج إلى الهوية لتعيين الدور مع الإجراءات التالية:

العملية	دور Azure RBAC المطلوب	النطاق الذي تم تعيين الدور له
إنشاء/تحديث العمليات على نقاط النهاية والنشر عبر الإنترنت	المالك أو المساهم أو أي دور يسمح `Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write`	workspace
حذف العمليات على نقاط النهاية والنشر عبر الإنترنت	المالك أو المساهم أو أي دور يسمح `Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete`	workspace
إنشاء/تحديث/حذف العمليات على نقاط النهاية والنشر عبر Azure التعلم الآلي studio	المالك أو المساهم أو أي دور يسمح `Microsoft.Resources/deployments/write`	مجموعة الموارد حيث تنتمي مساحة العمل
قراءة العمليات على نقاط النهاية والنشر عبر الإنترنت	المالك أو المساهم أو أي دور يسمح `Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read`	workspace
إحضار رمز Azure التعلم الآلي المميز (`aml_token`) لاستدعاء نقاط النهاية عبر الإنترنت (كل من المدارة وKubernetes) من مساحة العمل	المالك أو المساهم أو أي دور يسمح `Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action`	نقطة النهاية
إحضار مفتاح لاستدعاء نقاط النهاية عبر الإنترنت (كل من المدارة وKubernetes) من مساحة العمل	المالك أو المساهم أو أي دور يسمح `Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action`	نقطة النهاية
إعادة إنشاء المفاتيح لنقاط النهاية عبر الإنترنت (كل من المدارة وKubernetes)	المالك أو المساهم أو أي دور يسمح `Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action`	نقطة النهاية
إحضار رمز Microsoft Entra المميز (`aad_token`) لاستدعاء نقاط النهاية المدارة عبر الإنترنت	لا يتطلب دورا.	غير قابل للتطبيق

إشعار

يمكنك إحضار رمز Microsoft Entra المميز (aad_token) مباشرة من معرف Microsoft Entra بمجرد تسجيل الدخول، ولا تحتاج إلى إذن Azure RBAC إضافي على مساحة العمل.

أذونات إضافية لهوية المستخدم عند فرض الوصول إلى المتاجر السرية الافتراضية

إذا كنت تنوي استخدام ميزة إدخال البيانات السرية، وأثناء إنشاء نقاط النهاية الخاصة بك، قمت بتعيين العلامة لفرض الوصول إلى المتاجر السرية الافتراضية، يجب أن يكون لدى هوية المستخدم الإذن لقراءة البيانات السرية من اتصالات مساحة العمل.

عند إنشاء نقطة النهاية بهوية معينة من قبل النظام (SAI) وتعيين العلامة لفرض الوصول إلى المخازن السرية الافتراضية، يجب أن يكون لدى هوية المستخدم أذونات لقراءة البيانات السرية من اتصالات مساحة العمل عند إنشاء نقطة النهاية وإنشاء النشر (النشرات) ضمن نقطة النهاية. يضمن هذا التقييد أن هوية المستخدم التي لها إذن قراءة الأسرار فقط يمكنها منح هوية نقطة النهاية الإذن لقراءة الأسرار.

إذا لم يكن لدى هوية المستخدم أذونات لقراءة الأسرار من اتصالات مساحة العمل، ولكنها تحاول إنشاء نقطة النهاية باستخدام SAI وتعيين علامة نقطة النهاية لفرض الوصول إلى المتاجر السرية الافتراضية، يتم رفض إنشاء نقطة النهاية.
وبالمثل، إذا لم يكن لدى هوية المستخدم أذونات لقراءة البيانات السرية من اتصالات مساحة العمل، ولكنها تحاول إنشاء نشر ضمن نقطة النهاية باستخدام SAI وتعيين علامة نقطة النهاية لفرض الوصول إلى المتاجر السرية الافتراضية، يتم رفض إنشاء النشر.

عند إنشاء (1) نقطة النهاية باستخدام UAI، أو (2) لا يتم تعيين العلامة لفرض الوصول إلى مخازن البيانات السرية الافتراضية حتى إذا كانت نقطة النهاية تستخدم SAI، لا تحتاج هوية المستخدم لديك إلى أذونات لقراءة الأسرار من اتصالات مساحة العمل. في هذه الحالة، لن يتم منح هوية نقطة النهاية تلقائيا الإذن لقراءة الأسرار، ولكن لا يزال بإمكانك منح هوية نقطة النهاية هذا الإذن يدويا عن طريق تعيين الأدوار المناسبة إذا لزم الأمر. بغض النظر عما إذا كان تعيين الدور قد تم تلقائيا أو يدويا، سيستمر تشغيل الاسترداد والإقحام السري إذا قمت بتعيين متغيرات البيئة مع مراجع سرية في تعريف النشر، وسيستخدم هوية نقطة النهاية للقيام بذلك.

لمزيد من المعلومات حول إدارة التخويل إلى مساحة عمل Azure التعلم الآلي، راجع إدارة الوصول إلى Azure التعلم الآلي.

لمزيد من المعلومات حول الحقن السري، راجع إدخال البيانات السرية في نقاط النهاية عبر الإنترنت.

عمليات مستوى البيانات

لا تغير عمليات مستوى البيانات نقاط النهاية عبر الإنترنت، بل تستخدم البيانات للتفاعل مع نقاط النهاية. مثال على عملية مستوى البيانات هو إرسال طلب تسجيل نقاط إلى نقطة نهاية عبر الإنترنت والحصول على استجابة منها. بالنسبة إلى نقاط النهاية والنشر عبر الإنترنت، تنتقل طلبات تنفيذ عمليات مستوى البيانات إلى URI لتسجيل نقاط نقطة النهاية.

مصادقة عمليات مستوى البيانات

لعمليات مستوى البيانات، يمكنك الاختيار من بين ثلاث طرق لمصادقة عميل لإرسال الطلبات إلى URI لتسجيل نقطة النهاية:

المفتاح
رمز Azure التعلم الآلي المميز (aml_token)
الرمز المميز ل Microsoft Entra (aad_token)

لمزيد من المعلومات حول كيفية مصادقة العملاء لعمليات مستوى البيانات، راجع كيفية مصادقة العملاء لنقاط النهاية عبر الإنترنت.

التخويل لعمليات مستوى البيانات

بالنسبة لعمليات مستوى البيانات، يجب أن يكون لهوية المستخدم عنصر تحكم وصول مناسب يستند إلى دور Azure (Azure RBAC) مسموح به للوصول إلى مواردك، فقط إذا تم تعيين نقطة النهاية لاستخدام رمز Microsoft Entra المميز (aad_token). على وجه التحديد، لعمليات مستوى البيانات على نقاط النهاية والنشر عبر الإنترنت، تحتاج إلى الهوية لتعيين الدور مع الإجراءات التالية:

العملية	دور Azure RBAC المطلوب	النطاق الذي تم تعيين الدور له
استدعاء نقاط النهاية عبر الإنترنت باستخدام المفتاح (`key`) أو رمز Azure التعلم الآلي المميز (`aml_token`).	لا يتطلب دورا.	غير قابل للتطبيق
استدعاء نقاط النهاية المدارة عبر الإنترنت باستخدام رمز Microsoft Entra المميز (`aad_token`).	المالك أو المساهم أو أي دور يسمح `Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action`	نقطة النهاية
استدعاء نقاط نهاية Kubernetes عبر الإنترنت باستخدام رمز Microsoft Entra المميز (`aad_token`).	لا تدعم نقطة نهاية Kubernetes عبر الإنترنت الرمز المميز ل Microsoft Entra لعمليات مستوى البيانات.	غير قابل للتطبيق

الأذونات المطلوبة لهوية نقطة النهاية

يقوم التوزيع عبر الإنترنت بتشغيل حاوية المستخدم الخاصة بك مع هوية نقطة النهاية، أي الهوية المدارة المقترنة بنقطة النهاية. هوية نقطة النهاية هي معرف Microsoft Entra الذي يدعم Azure RBAC. لذلك، يمكنك تعيين أدوار Azure إلى هوية نقطة النهاية للتحكم في الأذونات المطلوبة لتنفيذ العمليات. يمكن أن تكون هوية نقطة النهاية هذه إما هوية معينة من قبل النظام (SAI) أو هوية معينة من قبل المستخدم (UAI). يمكنك أن تقرر ما إذا كنت ستستخدم SAI أو UAI عند إنشاء نقطة النهاية.

بالنسبة للهوية المعينة من قبل النظام، يتم إنشاء الهوية تلقائيا عند إنشاء نقطة النهاية، ويتم تعيين الأدوار ذات الأذونات الأساسية (مثل إذن سحب Azure Container Registry وقارئ بيانات كائن ثنائي كبير الحجم للتخزين) تلقائيا.
بالنسبة للهوية المعينة من قبل المستخدم، تحتاج إلى إنشاء الهوية أولا، ثم إقرانها بنقطة النهاية عند إنشاء نقطة النهاية. أنت أيضا مسؤول عن تعيين الأدوار المناسبة إلى UAI حسب الحاجة.

تعيين الدور التلقائي لهوية نقطة النهاية

إذا كانت هوية نقطة النهاية هي هوية معينة من قبل النظام، يتم تعيين بعض الأدوار إلى هوية نقطة النهاية للراحة.

الدور	‏‏الوصف	شرط تعيين الدور التلقائي
`AcrPull`	يسمح لهوية نقطة النهاية بسحب الصور من Azure Container Registry (ACR) المقترن بمساحة العمل.	هوية نقطة النهاية هي هوية معينة من قبل النظام (SAI).
`Storage Blob Data Reader`	يسمح لهوية نقطة النهاية بقراءة الكائنات الثنائية كبيرة الحجم من مخزن البيانات الافتراضي لمساحة العمل.	هوية نقطة النهاية هي هوية معينة من قبل النظام (SAI).
`AzureML Metrics Writer (preview)`	يسمح لهوية نقطة النهاية بكتابة المقاييس إلى مساحة العمل.	هوية نقطة النهاية هي هوية معينة من قبل النظام (SAI).
`Azure Machine Learning Workspace Connection Secrets Reader`¹	يسمح لهوية نقطة النهاية بقراءة البيانات السرية من اتصالات مساحة العمل.	هوية نقطة النهاية هي هوية معينة من قبل النظام (SAI). يتم إنشاء نقطة النهاية بعلامة لفرض الوصول إلى المتاجر السرية الافتراضية. هوية المستخدم التي تنشئ نقطة النهاية لها نفس الإذن لقراءة الأسرار من اتصالات مساحة العمل. ²

¹ لمزيد من المعلومات حول Azure Machine Learning Workspace Connection Secrets Reader الدور، راجع تعيين أذونات للهوية.

² حتى إذا كانت هوية نقطة النهاية هي SAI، إذا لم يتم تعيين علامة فرض أو لم يكن لدى هوية المستخدم الإذن، فلا يوجد تعيين دور تلقائي لهذا الدور. لمزيد من المعلومات، راجع كيفية نشر نقطة النهاية عبر الإنترنت باستخدام الحقن السري.

إذا كانت هوية نقطة النهاية هوية معينة من قبل المستخدم، فلا يوجد تعيين دور تلقائي. في هذه الحالة، تحتاج إلى تعيين الأدوار يدويا إلى هوية نقطة النهاية حسب الحاجة.

اختيار الأذونات والنطاق للتخويل

يسمح لك Azure RBAC بتحديد الأدوار وتعيينها باستخدام مجموعة من الإجراءات المسموح بها و/أو مرفوضة على نطاقات معينة. يمكنك تخصيص هذه الأدوار والنطاقات وفقا لاحتياجات عملك. تعمل الأمثلة التالية كنقطة بداية ويمكن توسيعها حسب الضرورة.

أمثلة لهوية المستخدم

للتحكم في جميع العمليات المدرجة في الجدول السابق لعمليات وحدة التحكم وجدول عمليات مستوى البيانات، يمكنك التفكير في استخدام دور AzureML Data Scientist مضمن يتضمن إجراء Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/actionsالإذن .
للتحكم في عمليات نقطة نهاية معينة، ضع في اعتبارك استخدام النطاق /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>/onlineEndpoints/<endpointName>.
للتحكم في العمليات لكافة نقاط النهاية في مساحة عمل، ضع في اعتبارك استخدام النطاق /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>.

أمثلة لهوية نقطة النهاية

للسماح لحاوية المستخدم بقراءة الكائنات الثنائية كبيرة الحجم، ضع في اعتبارك استخدام دور Storage Blob Data Reader مضمن يتضمن إجراء Microsoft.Storage/storageAccounts/blobServices/containers/blobs/readبيانات الإذن .

لمزيد من المعلومات حول إرشادات عمليات وحدة التحكم، راجع إدارة الوصول إلى Azure التعلم الآلي. لمزيد من المعلومات حول تعريف الدور والنطاق وتعيين الدور، راجع Azure RBAC. لفهم نطاق الأدوار المعينة، راجع فهم نطاق Azure RBAC.

مشاركة عبر

المصادقة لنقاط النهاية المدارة عبر الإنترنت

القيد

الأذونات المطلوبة لهوية المستخدم

التحكم بعمليات وحدة التحكم

مصادقة عمليات وحدة التحكم

تخويل لعمليات وحدة التحكم

أذونات إضافية لهوية المستخدم عند فرض الوصول إلى المتاجر السرية الافتراضية

عمليات مستوى البيانات

مصادقة عمليات مستوى البيانات

التخويل لعمليات مستوى البيانات

الأذونات المطلوبة لهوية نقطة النهاية

تعيين الدور التلقائي لهوية نقطة النهاية

اختيار الأذونات والنطاق للتخويل

الملاحظات

الملاحظات

الموارد الإضافية

مشاركة عبر

المصادقة لنقاط النهاية المدارة عبر الإنترنت

القيد

الأذونات المطلوبة لهوية المستخدم

التحكم بعمليات وحدة التحكم

مصادقة عمليات وحدة التحكم

تخويل لعمليات وحدة التحكم

أذونات إضافية لهوية المستخدم عند فرض الوصول إلى المتاجر السرية الافتراضية

عمليات مستوى البيانات

مصادقة عمليات مستوى البيانات

التخويل لعمليات مستوى البيانات

الأذونات المطلوبة لهوية نقطة النهاية

تعيين الدور التلقائي لهوية نقطة النهاية

اختيار الأذونات والنطاق للتخويل

المحتوى ذو الصلة

الملاحظات

الملاحظات

الموارد الإضافية