Ověřování klientů pro online koncové body

PLATÍ PRO:Rozšíření Azure CLI ml v2 (aktuální)Python SDK azure-ai-ml v2 (aktuální)

Tento článek popisuje, jak ověřovat klienty za účelem provádění operací roviny řízení a roviny dat na online koncových bodech.

Operace řídicí roviny řídí koncový bod a mění ho. Operace řídicí roviny zahrnují operace vytvoření, čtení, aktualizace a odstranění (CRUD) u online koncových bodů a online nasazení.

Operace roviny dat používá data k interakci s online koncovým bodem beze změny koncového bodu. Operace roviny dat se například může skládat z odeslání žádosti o bodování do online koncového bodu a získání odpovědi.

Požadavky

Než budete postupovat podle kroků v tomto článku, ujistěte se, že máte následující požadavky:

• Pracovní prostor služby Azure Machine Learning. Pokud ho nemáte, vytvořte ho pomocí kroků v rychlém startu : Vytvoření článku o prostředcích pracovního prostoru.

• Azure CLI a ml rozšíření nebo Azure Machine Učení Python SDK v2:

  • Pokud chcete nainstalovat Azure CLI a rozšíření, přečtěte si téma Instalace, nastavení a použití rozhraní příkazového řádku (v2).

    Důležité

    Příklady rozhraní příkazového řádku v tomto článku předpokládají, že používáte prostředí Bash (nebo kompatibilní). Například ze systému Linux nebo Subsystém Windows pro Linux.

  • K instalaci sady Python SDK v2 použijte následující příkaz:

    pip install azure-ai-ml azure-identity
    

    Pokud chcete aktualizovat existující instalaci sady SDK na nejnovější verzi, použijte následující příkaz:

    pip install --upgrade azure-ai-ml azure-identity
    

    Další informace najdete v tématu Instalace sady Python SDK v2 pro azure machine Učení.

Omezení

Koncové body s ověřovacím režimem Microsoft Entra tokenu (aad_token) nepodporují bodování pomocí rozhraní příkazového řádkuaz ml online-endpoint invoke, sady SDK ml_client.online_endpoints.invoke()nebo karet Test nebo Využívání studio Azure Machine Learning. Místo toho použijte obecnou sadu Python SDK nebo použijte rozhraní REST API k předání tokenu řídicí roviny. Další informace najdete v tématu Skóre dat pomocí klíče nebo tokenu.

Příprava identity uživatele

Potřebujete identitu uživatele k provádění operací řídicí roviny (tj. operací CRUD) a operací roviny dat (tj. odesílání žádostí o bodování) na online koncovém bodu. Pro operace řídicí roviny a roviny dat můžete použít stejnou identitu uživatele nebo různé identity uživatelů. V tomto článku použijete stejnou identitu uživatele pro operace řídicí roviny i roviny dat.

Pokud chcete vytvořit identitu uživatele v rámci ID Microsoft Entra, přečtěte si téma Nastavení ověřování. ID identity budete potřebovat později.

Přiřazení oprávnění k identitě

V této části přiřadíte oprávnění identitě uživatele, kterou používáte pro interakci s koncovým bodem. Začnete buď použitím předdefinované role, nebo vytvořením vlastní role. Potom přiřadíte roli identitě uživatele.

Použití předdefinované role

Předdefinovaná AzureML Data Scientistrole se dá použít ke správě a používání koncových bodů a nasazení a k zahrnutí následujících akcí RBAC řídicí roviny používá zástupné cardy:

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action

a zahrnout následující akci RBAC roviny dat:

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action

Azure Machine Learning Workspace Connection Secrets Reader Volitelně můžete předdefinované role použít pro přístup k tajným kódům z připojení pracovního prostoru a zahrnují následující akce RBAC řídicí roviny:

• Microsoft.MachineLearningServices/workspaces/connections/listsecrets/action
• Microsoft.MachineLearningServices/workspaces/metadata/secrets/read

Pokud použijete tyto předdefinované role, není v tomto kroku potřeba žádná akce.

(Volitelné) Vytvoření vlastní role

Tento krok můžete přeskočit, pokud používáte předdefinované role nebo jiné předpřipravené vlastní role.

1. Definujte obor a akce pro vlastní role vytvořením definic JSON rolí. Například následující definice role umožňuje uživateli provést CRUD online koncový bod v rámci zadaného pracovního prostoru.

   custom-role-for-control-plane.json:

   {
       "Name": "Custom role for control plane operations - online endpoint",
       "IsCustom": true,
       "Description": "Can CRUD against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
       ]
   }
   

   Následující definice role uživateli umožňuje odesílat žádosti o bodování do online koncového bodu v rámci zadaného pracovního prostoru.

   custom-role-for-scoring.json:

   {
       "Name": "Custom role for scoring - online endpoint",
       "IsCustom": true,
       "Description": "Can score against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
       ]
   }
   

2. K vytvoření vlastních rolí použijte definice JSON:

   az role definition create --role-definition custom-role-for-control-plane.json --subscription <subscriptionId>
   
   az role definition create --role-definition custom-role-for-scoring.json --subscription <subscriptionId>
   

   Poznámka:

   K vytváření vlastních rolí potřebujete jednu ze tří rolí:

   • vlastník
   • správce uživatelských přístupů
   • vlastní role s oprávněním Microsoft.Authorization/roleDefinitions/write (k vytvoření, aktualizaci nebo odstranění vlastních rolí) a Microsoft.Authorization/roleDefinitions/read oprávnění (k zobrazení vlastních rolí).

   Další informace o vytváření vlastních rolí najdete v tématu Vlastní role Azure.

3. Ověřte definici role:

   az role definition list --custom-role-only -o table
   
   az role definition list -n "Custom role for control plane operations - online endpoint"
   az role definition list -n "Custom role for scoring - online endpoint"
   
   export role_definition_id1=`(az role definition list -n "Custom role for control plane operations - online endpoint" --query "[0].id" | tr -d '"')`
   
   export role_definition_id2=`(az role definition list -n "Custom role for scoring - online endpoint" --query "[0].id" | tr -d '"')`
   

Přiřazení role k identitě

1. Pokud používáte AzureML Data Scientist předdefinované role, přiřaďte roli identitě uživatele pomocí následujícího kódu.

   az role assignment create --assignee <identityId> --role "AzureML Data Scientist" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

2. Pokud používáte Azure Machine Learning Workspace Connection Secrets Reader předdefinované role, můžete k přiřazení role k identitě uživatele použít následující kód.

   az role assignment create --assignee <identityId> --role "Azure Machine Learning Workspace Connection Secrets Reader" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

3. Pokud používáte vlastní roli, přiřaďte k identitě uživatele následující kód.

   az role assignment create --assignee <identityId> --role "Custom role for control plane operations - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   
   az role assignment create --assignee <identityId> --role "Custom role for scoring - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

   Poznámka:

   Pokud chcete přiřadit vlastní role identitě uživatele, potřebujete jednu ze tří rolí:

   • vlastník
   • správce uživatelských přístupů
   • vlastní role, která umožňuje Microsoft.Authorization/roleAssignments/write oprávnění (přiřazení vlastních rolí) a Microsoft.Authorization/roleAssignments/read (zobrazení přiřazení rolí).

   Další informace o různých rolích Azure a jejich oprávněních najdete v tématu Role Azure a Přiřazení rolí Azure pomocí webu Azure Portal.

4. Potvrďte přiřazení role:

   az role assignment list --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

Získání tokenu Microsoft Entra pro operace řídicí roviny

Tento krok proveďte, pokud plánujete provádět operace řídicí roviny s rozhraním REST API, které bude token používat přímo.

Pokud plánujete používat jiné způsoby, jako je Azure Machine Učení CLI (v2), Sada Python SDK (v2) nebo studio Azure Machine Learning, nemusíte token Microsoft Entra získat ručně. Při přihlašování by se už vaše identita uživatele ověřila a token se automaticky načte a předá se vám.

Token Microsoft Entra pro operace řídicí roviny můžete načíst z koncového bodu prostředku Azure: https://management.azure.com.

Azure CLI

1. Přihlaste se do Azure.

   az login
   

2. Pokud chcete použít konkrétní identitu, přihlaste se pomocí následujícího kódu:

   az login --identity --username <identityId>
   

3. Tento kontext použijte k získání tokenu.

   export CONTROL_PLANE_TOKEN=`(az account get-access-token --resource https://management.azure.com --query accessToken | tr -d '"')`
   

REST

Z virtuálního počítače Azure

Token můžete získat na základě spravované identity pro virtuální počítač Azure (když virtuální počítač povolí spravovanou identitu).

1. Pokud chcete získat token Microsoft Entra (aad_token) pro operaci řídicí roviny na virtuálním počítači Azure, odešlete požadavek do koncového bodu služby Azure Instance Metadata Service (IMDS) pro koncový bod management.azure.comprostředku Azure:

   export CONTROL_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
   

   Tip

   K extrakci tokenu z výstupu jq JSON se nástroj používá jako příklad. K tomuto účelu však můžete použít jakýkoli vhodný nástroj.

   Další informace o získávání tokenů na základě spravovaných identit najdete v tématu Získání tokenu pomocí protokolu HTTP.

Z výpočetní instance

Token můžete získat, pokud používáte výpočetní instanci pracovního prostoru Azure Machine Učení. Pokud chcete token získat, musíte předat ID klienta a tajný klíč spravované identity výpočetní instance do koncového bodu spravované identity spravovaného systému (MSI), který je nakonfigurovaný místně ve výpočetní instanci. Koncový bod MSI, ID klienta a tajný klíč můžete získat z proměnných MSI_ENDPOINTprostředí a DEFAULT_IDENTITY_CLIENT_IDMSI_SECRETv uvedeném pořadí. Pokud pro výpočetní instanci povolíte spravovanou identitu, nastaví se tyto proměnné automaticky.

1. Získejte token pro koncový bod management.azure.com prostředku Azure z výpočetní instance pracovního prostoru:

   export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
   

Python

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://management.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

Další informace najdete v tématu Získání tokenu pomocí klientské knihovny identit Azure.

Studio

Studio nezpřístupňuje token Microsoft Entra.

(Volitelné) Ověření koncového bodu prostředku a ID klienta pro token Microsoft Entra

Po načtení tokenu Microsoft Entra můžete ověřit, že je token pro správný koncový bod management.azure.com prostředku Azure a správné ID klienta dekódováním tokenu prostřednictvím jwt.ms, který vrátí odpověď JSON s následujícími informacemi:

{
    "aud": "https://management.azure.com",
    "oid": "<your-object-id>"
}

Vytvoření koncového bodu

Následující příklad vytvoří koncový bod s identitou přiřazenou systémem (SAI) jako identitou koncového bodu. Sai je výchozí typ identity spravované identity pro koncové body. Některé základní role se automaticky přiřazují pro sai. Další informace o přiřazení role pro identitu přiřazenou systémem najdete v tématu Automatické přiřazení role pro identitu koncového bodu.

Azure CLI

Rozhraní příkazového řádku nevyžaduje explicitní zadání tokenu řídicí roviny. Místo toho vás rozhraní příkazového řádku ověří během přihlašování a token se automaticky načte a předá vám.

1. Vytvořte soubor YAML definice koncového bodu.

   endpoint.yml:

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineEndpoint.schema.json
   name: my-endpoint
   auth_mode: aad_token
   

2. Můžete nahradit auth_mode ověřováním klíčů nebo aml_token ověřováním key tokenů azure machine Učení. V tomto příkladu použijete aad_token pro ověřování tokenů Microsoft Entra.

   az ml online-endpoint create -f endpoint.yml
   

3. Zkontrolujte stav koncového bodu:

   az ml online-endpoint show -n my-endpoint
   

4. Pokud chcete při vytváření koncového bodu přepsat auth_mode (například na aad_token) následující kód:

   az ml online-endpoint create -n my-endpoint --auth_mode aad_token
   

5. Pokud chcete aktualizovat existující koncový bod a zadat auth_mode (například na), aad_tokenspusťte následující kód:

   az ml online-endpoint update -n my-endpoint --set auth_mode=aad_token
   

REST

Volání rozhraní REST API vyžaduje, abyste explicitně zadali token řídicí roviny. Použijte token řídicí roviny, který jste získali dříve.

1. Vytvoření nebo aktualizace koncového bodu:

   export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
   export RESOURCE_GROUP=<RESOURCE_GROUP>
   export WORKSPACE=<AML_WORKSPACE_NAME>
   export ENDPOINT_NAME=<ENDPOINT_NAME>
   export LOCATION=<LOCATION_NAME>
   export API_VERSION=2023-04-01
   
   response=$(curl --location --request PUT "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
   --header "Content-Type: application/json" \
   --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
   --data-raw "{
       \"identity\": {
          \"type\": \"systemAssigned\"
       },
       \"properties\": {
           \"authMode\": \"AADToken\"
       },
       \"location\": \"$LOCATION\"
   }")
   
   echo $response
   

   Můžete nahradit authMode ověřováním klíčů nebo AMLToken ověřováním key tokenů azure machine Učení. V tomto příkladu použijete AADToken pro ověřování tokenů Microsoft Entra.

2. Získejte aktuální stav online koncového bodu:

   response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
   --header "Content-Type: application/json" \
   --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
   )
   
   echo $response
   

Python

Sada Python SDK nevyžaduje, abyste explicitně zadali token řídicí roviny. Sada SDK MLClient vás místo toho ověří během přihlášení a token se automaticky načte a předá vám.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    ManagedOnlineEndpoint,
    ManagedOnlineDeployment,
    Model,
    Environment,
    CodeConfiguration,
)
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<AML_WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

endpoint = ManagedOnlineEndpoint(
    name="my-endpoint",
    description="this is a sample online endpoint",
    auth_mode="aad_token",
    tags={"foo": "bar"},
)
ml_client.online_endpoints.begin_create_or_update(endpoint).result()

Můžete nahradit auth_mode ověřováním klíčů nebo aml_token ověřováním key tokenů azure machine Učení. V tomto příkladu použijete aad_token pro ověřování tokenů Microsoft Entra.

Studio

Studio nevyžaduje, abyste explicitně zadali token řídicí roviny, protože studio by vás už při přihlašování ověřilo, a token se automaticky načte a předá vám.

Další informace o nasazení online koncových bodů najdete v tématu Nasazení modelu ML s online koncovým bodem (přes Studio).

Vytvoření nasazení

Pokud chcete vytvořit nasazení, přečtěte si téma Nasazení modelu ML s online koncovým bodem nebo použití REST k nasazení modelu jako online koncového bodu. V tom, jak vytváříte nasazení pro různé režimy ověřování, není žádný rozdíl.

Azure CLI

Následující kód je příkladem vytvoření nasazení. Další informace o nasazení online koncových bodů najdete v tématu Nasazení modelu ML s online koncovým bodem (prostřednictvím rozhraní příkazového řádku).

1. Vytvořte soubor YAML definice nasazení.

   blue-deployment.yml:

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineDeployment.schema.json
   name: blue
   endpoint_name: my-aad-auth-endp1
   model:
     path: ../../model-1/model/
   code_configuration:
     code: ../../model-1/onlinescoring/
     scoring_script: score.py
   environment: 
     conda_file: ../../model-1/environment/conda.yml
     image: mcr.microsoft.com/azureml/openmpi4.1.0-ubuntu20.04:latest
   instance_type: Standard_DS3_v2
   instance_count: 1
   

2. Vytvořte nasazení pomocí souboru YAML. V tomto příkladu nastavte veškerý provoz na nové nasazení.

   az ml online-deployment create -f blue-deployment.yml --all-traffic
   

REST

Další informace o nasazení online koncových bodů pomocí REST najdete v tématu Použití REST k nasazení modelu jako online koncového bodu.

Python

Další informace o nasazení online koncových bodů najdete v tématu Nasazení modelu ML s online koncovým bodem (prostřednictvím sady SDK).

Studio

Další informace o nasazení online koncových bodů najdete v tématu Nasazení modelu ML s online koncovým bodem (přes Studio).

Získání hodnoticího identifikátoru URI pro koncový bod

Azure CLI

Pokud chcete k vyvolání koncového bodu použít rozhraní příkazového řádku, není nutné explicitně získat identifikátor URI bodování, protože ho rozhraní příkazového řádku zpracovává za vás. Pomocí rozhraní příkazového řádku ale můžete získat identifikátor URI bodování, abyste ho mohli použít s jinými kanály, jako je rozhraní REST API.

scoringUri=$(az ml online-endpoint show -n my-endpoint --query "scoring_uri")

REST

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export API_VERSION=2023-04-01
response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")
scoringUri=$(echo $response | jq -r '.properties' | jq -r '.scoringUri')

echo $response
echo $scoringUri

Python

Pokud chcete k vyvolání koncového bodu použít sadu Python SDK, nemusíte explicitně získat identifikátor URI bodování, protože ji za vás sada SDK zpracovává. Přesto ale můžete pomocí sady SDK získat identifikátor URI bodování, abyste ho mohli použít s jinými kanály, jako je rozhraní REST API.

scoring_uri = ml_client.online_endpoints.get(name=endpoint_name).scoring_uri

Studio

Pokud plánujete použít studio k vyvolání koncového bodu, nemusíte získat identifikátor URI bodování explicitně, protože ho studio zpracovává za vás. Přesto ale můžete pomocí studia získat identifikátor URI bodování, abyste ho mohli použít s jinými kanály, jako je rozhraní REST API.

Identifikátor URI bodování najdete na kartě Podrobnosti na stránce koncového bodu.

Získání klíče nebo tokenu pro operace roviny dat

Klíč nebo token lze použít pro operace roviny dat, i když proces získání klíče nebo tokenu je operace řídicí roviny. Jinými slovy, pomocí tokenu řídicí roviny získáte klíč nebo token, který později použijete k provádění operací roviny dat.

Získání klíče nebo tokenu Azure Machine Učení vyžaduje, aby byla identita uživatele, která ji požaduje, přiřazena správná role, jak je popsáno v autorizaci operací řídicí roviny. Identita uživatele k získání tokenu Microsoft Entra nepotřebuje žádné další role.

Azure CLI

Klíč nebo token Učení počítače Azure

Pokud plánujete použít rozhraní příkazového řádku k vyvolání koncového bodu a pokud je koncový bod nastavený tak, aby používal režim ověřování klíče nebo tokenu azure machine Učení (aml_token), nemusíte token roviny dat získat explicitně, protože ho rozhraní příkazového řádku zpracovává za vás. Pomocí rozhraní příkazového řádku ale můžete získat token roviny dat, abyste ho mohli použít s jinými kanály, jako je rozhraní REST API.

Pokud chcete získat klíč nebo token azure machine Učení (aml_token), použijte příkaz az ml online-endpoint get-credentials. Tento příkaz vrátí dokument JSON, který obsahuje klíč nebo token azure machine Učení.

Klíče se vrátí do primaryKey polí a secondaryKey polí. Následující příklad ukazuje, jak použít --query parametr k vrácení pouze primárního klíče:

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query primaryKey)

V poli se vrátí accessToken tokeny Učení Azure Machine:

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)

expiryTimeUtcrefreshAfterTimeUtc Pole také obsahují časy vypršení platnosti a aktualizace tokenu.

Token Microsoft Entra

Pokud chcete získat token Microsoft Entra (aad_token) pomocí rozhraní příkazového řádku, použijte příkaz az account get-access-token . Tento příkaz vrátí dokument JSON obsahující token Microsoft Entra.

Token Microsoft Entra se vrátí v accessToken poli:

export DATA_PLANE_TOKEN=`(az account get-access-token --resource https://ml.azure.com --query accessToken | tr -d '"')`

Poznámka:

• Rozšíření rozhraní příkazového řádku ml nepodporuje získání tokenu Microsoft Entra. Místo toho použijte az account get-access-token , jak je popsáno v předchozím kódu.
• Token pro operace roviny dat se načte z koncového bodu ml.azure.com prostředku Azure místo management.azure.comtokenu pro operace řídicí roviny.

REST

Klíč nebo token Učení počítače Azure

Získání klíče nebo tokenu azure machine Učení (aml_token):

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/token?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.accessToken')

Token Microsoft Entra

Z virtuálního počítače Azure

Token můžete získat na základě spravovaných identit pro virtuální počítač Azure (když virtuální počítač povolí spravovanou identitu).

1. Pokud chcete získat token Microsoft Entra (aad_token) pro operaci roviny dat na virtuálním počítači Azure se spravovanou identitou, odešlete požadavek do koncového bodu služby Azure Instance Metadata Service (IMDS) pro koncový bod ml.azure.comprostředku Azure:

   export DATA_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
   

   Tip

   K extrakci tokenu z výstupu jq JSON se nástroj používá jako příklad. K tomuto účelu však můžete použít jakýkoli vhodný nástroj.

   Další informace o získávání tokenů na základě spravovaných identit najdete v tématu Získání tokenu pomocí protokolu HTTP.

Z výpočetní instance

Token můžete získat, pokud používáte výpočetní instanci pracovního prostoru Azure Machine Učení. Pokud chcete token získat, musíte předat ID klienta a tajný klíč spravované identity výpočetní instance do koncového bodu spravované identity spravovaného systému (MSI), který je nakonfigurovaný místně ve výpočetní instanci. Koncový bod MSI, ID klienta a tajný klíč můžete získat z proměnných MSI_ENDPOINTprostředí a DEFAULT_IDENTITY_CLIENT_IDMSI_SECRETv uvedeném pořadí. Pokud pro výpočetní instanci povolíte spravovanou identitu, nastaví se tyto proměnné automaticky.

1. Získejte token pro koncový bod ml.azure.com prostředku Azure z výpočetní instance pracovního prostoru:

   export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
   

Python

Klíč nebo token Učení počítače Azure

Pokud plánujete použít sadu Python SDK k vyvolání koncového bodu a pokud je koncový bod nastavený tak, aby používal režim ověřování klíče nebo tokenu Azure Machine Učení (aml_token), nemusíte token roviny dat získat explicitně, protože ho sada SDK zpracovává za vás. Pomocí sady SDK ale můžete získat token roviny dat, abyste ho mohli použít s jinými kanály, jako je rozhraní REST API.

K získání klíče nebo tokenu Azure Machine Učení (aml_token) použijte metodu OnlineEndpointOperations get_keys ve třídě.

Klíče se vrátí do primary_key polí:secondary_key

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).primary_key

V poli se vrátí accessToken tokeny Učení Azure Machine:

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token

expiry_time_utcrefresh_after_time_utc Pole také obsahují časy vypršení platnosti a aktualizace tokenu.

Pokud například chcete získat expiry_time_utc:

print(ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc)

Token Microsoft Entra

Pokud chcete získat token Microsoft Entra (aad_token) pomocí sady SDK, použijte klientskou knihovnu identit Azure:

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://ml.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

Další informace najdete v tématu Získání tokenu pomocí klientské knihovny identit Azure.

Studio

Klíč nebo token Učení počítače Azure

Klíč nebo token najdete na kartě Využití na stránce koncového bodu.

Token Microsoft Entra

Token Microsoft Entra není v sadě Studio vystavený.

Ověření koncového bodu prostředku a ID klienta pro token Microsoft Entra

Po získání tokenu Entra můžete ověřit, že je token pro správný koncový bod ml.azure.com prostředku Azure a správné ID klienta dekódováním tokenu prostřednictvím jwt.ms, což vrátí odpověď JSON s následujícími informacemi:

{
    "aud": "https://ml.azure.com",
    "oid": "<your-object-id>"
}

Určení skóre dat pomocí klíče nebo tokenu

Azure CLI

Klíč nebo token Učení počítače Azure

Můžete použít az ml online-endpoint invoke pro koncové body s klíčem nebo tokenem azure machine Učení. Rozhraní příkazového řádku zpracovává klíč nebo token azure machine Učení automaticky, takže ho nemusíte explicitně předávat.

az ml online-endpoint invoke -n my-endpoint -r request.json

Token Microsoft Entra

Použití az ml online-endpoint invoke pro koncové body s tokenem Microsoft Entra se nepodporuje. Místo toho použijte rozhraní REST API a k vyvolání koncového bodu použijte identifikátor URI bodování koncového bodu.

REST

Při vyvolání online koncového bodu pro bodování předejte klíč, token azure machine Učení nebo token Microsoft Entra v autorizační hlavičce. Následující kód ukazuje, jak pomocí nástroje curl volat online koncový bod pomocí klíče nebo tokenu:

curl --request POST "$scoringUri" --header "Authorization: Bearer $DATA_PLANE_TOKEN" --header 'Content-Type: application/json' --data @endpoints/online/model-1/sample-request.json

Python

Klíč nebo token Učení počítače Azure

Azure Machine Učení SDK se ml_client.online_endpoints.invoke() podporuje pro klíč nebo token Azure Machine Učení. Kromě použití sady Azure Machine Učení SDK můžete také použít obecnou sadu Python SDK k odeslání požadavku POST na identifikátor URI bodování.

Token Microsoft Entra

Azure Machine Učení SDK, která používáml_client.online_endpoints.invoke(), se nepodporuje pro token Microsoft Entra. Místo toho použijte obecnou sadu Python SDK nebo pomocí rozhraní REST API odešlete požadavek POST na identifikátor URI bodování.

Při volání online koncového bodu pro bodování předejte klíč nebo token v autorizační hlavičce. Následující kód ukazuje, jak volat online koncový bod pomocí klíče nebo tokenu s obecnou sadou Python SDK. V kódu nahraďte proměnnou api_key klíčem nebo tokenem.

import urllib.request
import json
import os

data = {"data": [
    [1,2,3,4,5,6,7,8,9,10], 
    [10,9,8,7,6,5,4,3,2,1]
]}

body = str.encode(json.dumps(data))

url = '<scoring URI as retrieved earlier>'
api_key = '<key or token as retrieved earlier>'
headers = {'Content-Type':'application/json', 'Authorization':('Bearer '+ api_key)}

req = urllib.request.Request(url, body, headers)

try:
    response = urllib.request.urlopen(req)

    result = response.read()
    print(result)
except urllib.error.HTTPError as error:
    print("The request failed with status code: " + str(error.code))

    # Print the headers - they include the requert ID and the timestamp, which are useful for debugging the failure
    print(error.info())
    print(error.read().decode("utf8", 'ignore'))

Studio

Klíč nebo token Učení počítače Azure

Karta Test na stránce podrobností nasazení podporuje bodování koncových bodů s klíčem nebo ověřováním tokenů azure machine Učení.

Token Microsoft Entra

Karta Test na stránce podrobností nasazení nepodporuje bodování koncových bodů s ověřováním tokenu Microsoft Entra.

Protokolování a monitorování provozu

Pokud chcete povolit protokolování provozu v nastavení diagnostiky pro koncový bod, postupujte podle pokynů v tématu Povolení nebo zakázání protokolů.

Pokud je nastavení diagnostiky povolené, můžete zkontrolovat AmlOnlineEndpointTrafficLogs tabulku a zobrazit režim ověřování a identitu uživatele.

Související obsah

• Ověřování pro spravovaný online koncový bod
• Nasazení modelu strojového učení pomocí online koncového bodu
• Povolení izolace sítě pro spravované online koncové body