Ověřování klientů pro online koncové body

PLATÍ PRO:Rozšíření Azure CLI ml v2 (aktuální)Python SDK azure-ai-ml v2 (aktuální)

Tento článek popisuje, jak ověřovat klienty za účelem provádění operací roviny řízení a roviny dat na online koncových bodech.

Operace řídicí roviny řídí koncový bod a mění ho. Operace řídicí roviny zahrnují operace vytvoření, čtení, aktualizace a odstranění (CRUD) u online koncových bodů a online nasazení.

Operace roviny dat používá data k interakci s online koncovým bodem beze změny koncového bodu. Operace roviny dat se například může skládat z odeslání žádosti o bodování do online koncového bodu a získání odpovědi.

Požadavky

Než budete postupovat podle kroků v tomto článku, ujistěte se, že máte následující požadavky:

• Pracovní prostor služby Azure Machine Learning. Pokud ho nemáte, vytvořte ho pomocí kroků v rychlém startu : Vytvoření článku o prostředcích pracovního prostoru.

• Azure CLI a ml rozšíření nebo sada Azure Machine Learning Python SDK v2:

  • Pokud chcete nainstalovat Azure CLI a rozšíření, přečtěte si téma Instalace, nastavení a použití rozhraní příkazového řádku (v2).

    Důležité

    Příklady rozhraní příkazového řádku v tomto článku předpokládají, že používáte prostředí Bash (nebo kompatibilní). Například ze systému Linux nebo Subsystém Windows pro Linux.

  • K instalaci sady Python SDK v2 použijte následující příkaz:

    pip install azure-ai-ml azure-identity
    

    Pokud chcete aktualizovat existující instalaci sady SDK na nejnovější verzi, použijte následující příkaz:

    pip install --upgrade azure-ai-ml azure-identity
    

    Další informace najdete v tématu Instalace sady Python SDK v2 pro Azure Machine Learning.

Příprava identity uživatele

Potřebujete identitu uživatele k provádění operací řídicí roviny (tj. operací CRUD) a operací roviny dat (tj. odesílání žádostí o bodování) na online koncovém bodu. Pro operace řídicí roviny a roviny dat můžete použít stejnou identitu uživatele nebo různé identity uživatelů. V tomto článku použijete stejnou identitu uživatele pro operace řídicí roviny i roviny dat.

Pokud chcete vytvořit identitu uživatele v rámci ID Microsoft Entra, přečtěte si téma Nastavení ověřování. ID identity budete potřebovat později.

Přiřazení oprávnění k identitě

V této části přiřadíte oprávnění identitě uživatele, kterou používáte pro interakci s koncovým bodem. Začnete buď použitím předdefinované role, nebo vytvořením vlastní role. Potom přiřadíte roli identitě uživatele.

Použití předdefinované role

Předdefinovaná AzureML Data Scientist role se dá použít ke správě a používání koncových bodů a nasazení a k zahrnutí následujících akcí RBAC řídicí roviny používá zástupné cardy:

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action

a zahrnout následující akci RBAC roviny dat:

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action

Azure Machine Learning Workspace Connection Secrets Reader Volitelně můžete předdefinované role použít pro přístup k tajným kódům z připojení pracovního prostoru a zahrnují následující akce RBAC řídicí roviny:

• Microsoft.MachineLearningServices/workspaces/connections/listsecrets/action
• Microsoft.MachineLearningServices/workspaces/metadata/secrets/read

Pokud použijete tyto předdefinované role, není v tomto kroku potřeba žádná akce.

(Volitelné) Vytvoření vlastní role

Tento krok můžete přeskočit, pokud používáte předdefinované role nebo jiné předpřipravené vlastní role.

1. Definujte obor a akce pro vlastní role vytvořením definic JSON rolí. Například následující definice role umožňuje uživateli provést CRUD online koncový bod v rámci zadaného pracovního prostoru.

   custom-role-for-control-plane.json:

   {
       "Name": "Custom role for control plane operations - online endpoint",
       "IsCustom": true,
       "Description": "Can CRUD against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
       ]
   }
   

   Následující definice role uživateli umožňuje odesílat žádosti o bodování do online koncového bodu v rámci zadaného pracovního prostoru.

   custom-role-for-scoring.json:

   {
       "Name": "Custom role for scoring - online endpoint",
       "IsCustom": true,
       "Description": "Can score against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
       ]
   }
   

2. K vytvoření vlastních rolí použijte definice JSON:

   az role definition create --role-definition custom-role-for-control-plane.json --subscription <subscriptionId>
   
   az role definition create --role-definition custom-role-for-scoring.json --subscription <subscriptionId>
   

   Poznámka:

   K vytváření vlastních rolí potřebujete jednu ze tří rolí:

   • vlastník
   • správce uživatelských přístupů
   • vlastní role s oprávněním Microsoft.Authorization/roleDefinitions/write (k vytvoření, aktualizaci nebo odstranění vlastních rolí) a Microsoft.Authorization/roleDefinitions/read oprávnění (k zobrazení vlastních rolí).

   Další informace o vytváření vlastních rolí najdete v tématu Vlastní role Azure.

3. Ověřte definici role:

   az role definition list --custom-role-only -o table
   
   az role definition list -n "Custom role for control plane operations - online endpoint"
   az role definition list -n "Custom role for scoring - online endpoint"
   
   export role_definition_id1=`(az role definition list -n "Custom role for control plane operations - online endpoint" --query "[0].id" | tr -d '"')`
   
   export role_definition_id2=`(az role definition list -n "Custom role for scoring - online endpoint" --query "[0].id" | tr -d '"')`
   

Přiřazení role k identitě

1. Pokud používáte AzureML Data Scientist předdefinované role, přiřaďte roli identitě uživatele pomocí následujícího kódu.

   az role assignment create --assignee <identityId> --role "AzureML Data Scientist" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

2. Pokud používáte Azure Machine Learning Workspace Connection Secrets Reader předdefinované role, můžete k přiřazení role k identitě uživatele použít následující kód.

   az role assignment create --assignee <identityId> --role "Azure Machine Learning Workspace Connection Secrets Reader" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

3. Pokud používáte vlastní roli, přiřaďte k identitě uživatele následující kód.

   az role assignment create --assignee <identityId> --role "Custom role for control plane operations - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   
   az role assignment create --assignee <identityId> --role "Custom role for scoring - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

   Poznámka:

   Pokud chcete přiřadit vlastní role identitě uživatele, potřebujete jednu ze tří rolí:

   • vlastník
   • správce uživatelských přístupů
   • vlastní role, která umožňuje Microsoft.Authorization/roleAssignments/write oprávnění (přiřazení vlastních rolí) a Microsoft.Authorization/roleAssignments/read (zobrazení přiřazení rolí).

   Další informace o různých rolích Azure a jejich oprávněních najdete v tématu Role Azure a Přiřazení rolí Azure pomocí webu Azure Portal.

4. Potvrďte přiřazení role:

   az role assignment list --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

Získání tokenu Microsoft Entra pro operace řídicí roviny

Tento krok proveďte, pokud plánujete provádět operace řídicí roviny s rozhraním REST API, které bude token používat přímo.

Pokud plánujete používat jiné způsoby, jako je Azure Machine Learning CLI (v2), Python SDK (v2) nebo studio Azure Machine Learning, nemusíte token Microsoft Entra získat ručně. Při přihlašování by se už vaše identita uživatele ověřila a token se automaticky načte a předá se vám.

Token Microsoft Entra pro operace řídicí roviny můžete načíst z koncového bodu prostředku Azure: https://management.azure.com.

Azure CLI

1. Přihlaste se do Azure.

   az login
   

2. Pokud chcete použít konkrétní identitu, přihlaste se pomocí následujícího kódu:

   az login --identity --username <identityId>
   

3. Tento kontext použijte k získání tokenu.

   export CONTROL_PLANE_TOKEN=`(az account get-access-token --resource https://management.azure.com --query accessToken | tr -d '"')`
   

REST

Z virtuálního počítače Azure

Token můžete získat na základě spravované identity pro virtuální počítač Azure (když virtuální počítač povolí spravovanou identitu).

1. Pokud chcete získat token Microsoft Entra (aad_token) pro operaci řídicí roviny na virtuálním počítači Azure, odešlete požadavek do koncového bodu služby Azure Instance Metadata Service (IMDS) pro koncový bod management.azure.comprostředku Azure:

   export CONTROL_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
   

   Tip

   K extrakci tokenu z výstupu jq JSON se nástroj používá jako příklad. K tomuto účelu však můžete použít jakýkoli vhodný nástroj.

   Další informace o získávání tokenů na základě spravovaných identit najdete v tématu Získání tokenu pomocí protokolu HTTP.

Z výpočetní instance

Token můžete získat, pokud používáte výpočetní instanci pracovního prostoru Azure Machine Learning. Pokud chcete token získat, musíte předat ID klienta a tajný klíč spravované identity výpočetní instance do koncového bodu spravované identity spravovaného systému (MSI), který je nakonfigurovaný místně ve výpočetní instanci. Koncový bod MSI, ID klienta a tajný klíč můžete získat z proměnných MSI_ENDPOINTprostředí a DEFAULT_IDENTITY_CLIENT_IDMSI_SECRETv uvedeném pořadí. Pokud pro výpočetní instanci povolíte spravovanou identitu, nastaví se tyto proměnné automaticky.

1. Získejte token pro koncový bod management.azure.com prostředku Azure z výpočetní instance pracovního prostoru:

   export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
   

Python

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://management.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

Další informace najdete v tématu Získání tokenu pomocí klientské knihovny identit Azure.

Studio

Studio nezpřístupňuje token Microsoft Entra pro operace řídicí roviny.

(Volitelné) Ověření koncového bodu prostředku a ID klienta pro token Microsoft Entra

Po načtení tokenu Microsoft Entra můžete ověřit, že je token pro správný koncový bod management.azure.com prostředku Azure a správné ID klienta dekódováním tokenu prostřednictvím jwt.ms, který vrátí odpověď JSON s následujícími informacemi:

{
    "aud": "https://management.azure.com",
    "oid": "<your-object-id>"
}

Vytvoření koncového bodu

Následující příklad vytvoří koncový bod s identitou přiřazenou systémem (SAI) jako identitou koncového bodu. Sai je výchozí typ identity spravované identity pro koncové body. Některé základní role se automaticky přiřazují pro sai. Další informace o přiřazení role pro identitu přiřazenou systémem najdete v tématu Automatické přiřazení role pro identitu koncového bodu.

Azure CLI

Rozhraní příkazového řádku nevyžaduje explicitní zadání tokenu řídicí roviny. Místo toho vás rozhraní příkazového řádku az login ověří během přihlašování a token se automaticky načte a předá vám.

1. Vytvořte soubor YAML definice koncového bodu.

   endpoint.yml:

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineEndpoint.schema.json
   name: my-endpoint
   auth_mode: aad_token
   

2. Můžete nahradit auth_mode ověřením klíče nebo aml_token ověřováním key tokenů služby Azure Machine Learning. V tomto příkladu použijete aad_token pro ověřování tokenů Microsoft Entra.

   az ml online-endpoint create -f endpoint.yml
   

3. Zkontrolujte stav koncového bodu:

   az ml online-endpoint show -n my-endpoint
   

4. Pokud chcete při vytváření koncového bodu přepsat auth_mode (například na aad_token) následující kód:

   az ml online-endpoint create -n my-endpoint --auth_mode aad_token
   

5. Pokud chcete aktualizovat existující koncový bod a zadat auth_mode (například na), aad_tokenspusťte následující kód:

   az ml online-endpoint update -n my-endpoint --set auth_mode=aad_token
   

REST

Volání rozhraní REST API vyžaduje, abyste explicitně zadali token řídicí roviny. Použijte token řídicí roviny, který jste získali dříve.

1. Vytvoření nebo aktualizace koncového bodu:

   export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
   export RESOURCE_GROUP=<RESOURCE_GROUP>
   export WORKSPACE=<AML_WORKSPACE_NAME>
   export ENDPOINT_NAME=<ENDPOINT_NAME>
   export LOCATION=<LOCATION_NAME>
   export API_VERSION=2023-04-01
   
   response=$(curl --location --request PUT "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
   --header "Content-Type: application/json" \
   --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
   --data-raw "{
       \"identity\": {
          \"type\": \"systemAssigned\"
       },
       \"properties\": {
           \"authMode\": \"AADToken\"
       },
       \"location\": \"$LOCATION\"
   }")
   
   echo $response
   

   Můžete nahradit authMode ověřením klíče nebo AMLToken ověřováním key tokenů služby Azure Machine Learning. V tomto příkladu použijete AADToken pro ověřování tokenů Microsoft Entra.

2. Získejte aktuální stav online koncového bodu:

   response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
   --header "Content-Type: application/json" \
   --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
   )
   
   echo $response
   

Python

Sada Python SDK nevyžaduje, abyste explicitně zadali token řídicí roviny. Sada SDK MLClient vás místo toho ověří při přihlášení a token se automaticky načte a předá vám.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    ManagedOnlineEndpoint,
    ManagedOnlineDeployment,
    Model,
    Environment,
    CodeConfiguration,
)
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<AML_WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

endpoint = ManagedOnlineEndpoint(
    name="my-endpoint",
    description="this is a sample online endpoint",
    auth_mode="aad_token",
    tags={"foo": "bar"},
)
ml_client.online_endpoints.begin_create_or_update(endpoint).result()

Můžete nahradit auth_mode ověřením klíče nebo aml_token ověřováním key tokenů služby Azure Machine Learning. V tomto příkladu použijete aad_token pro ověřování tokenů Microsoft Entra.

Studio

Studio nevyžaduje, abyste explicitně zadali token řídicí roviny, protože studio by vás už při přihlašování ověřilo, a token se automaticky načte a předá vám.

Další informace o nasazení online koncových bodů najdete v tématu Nasazení modelu ML s online koncovým bodem (přes Studio).

Vytvoření nasazení

Pokud chcete vytvořit nasazení, přečtěte si téma Nasazení modelu ML s online koncovým bodem nebo použití REST k nasazení modelu jako online koncového bodu. V tom, jak vytváříte nasazení pro různé režimy ověřování, není žádný rozdíl.

Azure CLI

Následující kód je příkladem vytvoření nasazení. Další informace o nasazení online koncových bodů najdete v tématu Nasazení modelu ML s online koncovým bodem (prostřednictvím rozhraní příkazového řádku).

1. Vytvořte soubor YAML definice nasazení.

   blue-deployment.yml:

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineDeployment.schema.json
   name: blue
   endpoint_name: my-aad-auth-endp1
   model:
     path: ../../model-1/model/
   code_configuration:
     code: ../../model-1/onlinescoring/
     scoring_script: score.py
   environment: 
     conda_file: ../../model-1/environment/conda.yml
     image: mcr.microsoft.com/azureml/openmpi4.1.0-ubuntu20.04:latest
   instance_type: Standard_DS3_v2
   instance_count: 1
   

2. Vytvořte nasazení pomocí souboru YAML. V tomto příkladu nastavte veškerý provoz na nové nasazení.

   az ml online-deployment create -f blue-deployment.yml --all-traffic
   

REST

Další informace o nasazení online koncových bodů pomocí REST najdete v tématu Použití REST k nasazení modelu jako online koncového bodu.

Python

Další informace o nasazení online koncových bodů najdete v tématu Nasazení modelu ML s online koncovým bodem (prostřednictvím sady SDK).

Studio

Další informace o nasazení online koncových bodů najdete v tématu Nasazení modelu ML s online koncovým bodem (přes Studio).

Získání hodnoticího identifikátoru URI pro koncový bod

Azure CLI

Pokud chcete k vyvolání koncového bodu použít rozhraní příkazového řádku, není nutné explicitně získat identifikátor URI bodování, protože ho rozhraní příkazového řádku zpracovává za vás. Pomocí rozhraní příkazového řádku ale můžete získat identifikátor URI bodování, abyste ho mohli použít s jinými kanály, jako je rozhraní REST API.

scoringUri=$(az ml online-endpoint show -n my-endpoint --query "scoring_uri")

REST

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export API_VERSION=2023-04-01
response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")
scoringUri=$(echo $response | jq -r '.properties' | jq -r '.scoringUri')

echo $response
echo $scoringUri

Python

Pokud chcete k vyvolání koncového bodu použít sadu Python SDK, nemusíte explicitně získat identifikátor URI bodování, protože ji za vás sada SDK zpracovává. Přesto ale můžete pomocí sady SDK získat identifikátor URI bodování, abyste ho mohli použít s jinými kanály, jako je rozhraní REST API.

scoring_uri = ml_client.online_endpoints.get(name=endpoint_name).scoring_uri

Studio

Pokud plánujete použít studio k vyvolání koncového bodu, nemusíte získat identifikátor URI bodování explicitně, protože ho studio zpracovává za vás. Přesto ale můžete pomocí studia získat identifikátor URI bodování, abyste ho mohli použít s jinými kanály, jako je rozhraní REST API.

Identifikátor URI bodování najdete na kartě Podrobnosti na stránce koncového bodu.

Získání klíče nebo tokenu pro operace roviny dat

Klíč nebo token lze použít pro operace roviny dat, i když proces získání klíče nebo tokenu je operace řídicí roviny. Jinými slovy, pomocí tokenu řídicí roviny získáte klíč nebo token, který později použijete k provádění operací roviny dat.

Získání klíče nebo tokenu Azure Machine Learning vyžaduje, aby byla správná role přiřazená identitě uživatele, která ho požaduje, jak je popsáno v autorizaci pro operace roviny řízení. Získání tokenu Microsoft Entra nevyžaduje pro identitu uživatele žádné další role.

Azure CLI

Pokud plánujete použít rozhraní příkazového řádku k vyvolání koncového bodu, nemusíte klíče nebo tokeny pro operace roviny dat explicitně získat, protože ho rozhraní příkazového řádku zpracovává za vás. Pomocí rozhraní příkazového řádku ale můžete získat klíče nebo token pro operaci roviny dat, abyste ho mohli použít s jinými kanály, jako je rozhraní REST API.

Pokud chcete získat klíče nebo token pro operace roviny dat, použijte příkaz az ml online-endpoint get-credentials . Tento příkaz vrátí výstup JSON, který obsahuje klíče, token a/nebo další informace.

Tip

Pokud chcete extrahovat konkrétní informace z výstupu JSON, --query použije se jako příklad parametr příkazu rozhraní příkazového řádku. K tomuto účelu však můžete použít jakýkoli vhodný nástroj.

Kdy auth_mode je koncový bod key

• Klíče se vrátí do primaryKey polí a secondaryKey polí.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query primaryKey)
export DATA_PLANE_TOKEN2=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query secondaryKey)

Kdy auth_mode je koncový bod aml_token

• Token se vrátí v accessToken poli.
• V poli se vrátí čas vypršení platnosti tokenu expiryTimeUtc .
• V poli se vrátí čas aktualizace tokenu refreshAfterTimeUtc .

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)
export REFRESH_AFTER_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query refreshAfterTimeUtc)

Kdy auth_mode je koncový bod aad_token

• Token se vrátí v accessToken poli.
• V poli se vrátí čas vypršení platnosti tokenu expiryTimeUtc .

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)

REST

Pokud chcete získat klíče nebo token pro operace roviny dat, zvolte správné rozhraní API v závislosti na auth_mode koncovém bodu. Rozhraní API vrátí výstup JSON, který obsahuje klíče a token.

Tip

Nástroj jq se používá k předvedení, jak extrahovat konkrétní informace z výstupu JSON. K tomuto účelu však můžete použít jakýkoli vhodný nástroj.

Kdy auth_mode je koncový bod key

• listkeys Použijte rozhraní API.
• Klíče se vrátí do primaryKey polí a secondaryKey polí.

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/listkeys?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.primaryKey')

Kdy auth_mode je koncový bod aml_token

• token Použijte rozhraní API.
• Token se vrátí v accessToken poli.
• V poli se vrátí čas vypršení platnosti tokenu expiryTimeUtc .
• V poli se vrátí čas aktualizace tokenu refreshAfterTimeUtc .

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/token?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.accessToken')
export EXPIRY_TIME_UTC=$(echo $response | jq -r '.expiryTimeUtc')
export REFRESH_AFTER_TIME_UTC=$(echo $response | jq -r '.refreshAfterTimeUtc')

Kdy auth_mode je koncový bod aad_token

• V závislosti na tom, kde požadujete token, použijte koncový bod IMDS nebo koncový bod MSI.
• Token se vrátí v accessToken poli.
• V poli se vrátí čas vypršení platnosti tokenu expiryTimeUtc .

Z virtuálního počítače Azure

Token můžete získat na základě spravovaných identit pro virtuální počítač Azure (když virtuální počítač povolí spravovanou identitu).

1. Pokud chcete získat token Microsoft Entra (aad_token) pro operaci roviny dat na virtuálním počítači Azure se spravovanou identitou, odešlete požadavek do koncového bodu služby Azure Instance Metadata Service (IMDS) pro koncový bod ml.azure.comprostředku Azure:

   export DATA_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
   export EXPIRY_TIME_UTC=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.expiryTimeUtc' )`
   

   Další informace o získávání tokenů na základě spravovaných identit najdete v tématu Získání tokenu pomocí protokolu HTTP.

Z výpočetní instance

Token můžete získat, pokud používáte výpočetní instanci pracovního prostoru Azure Machine Learning. Pokud chcete token získat, musíte předat ID klienta a tajný klíč spravované identity výpočetní instance do koncového bodu spravované identity spravovaného systému (MSI), který je nakonfigurovaný místně ve výpočetní instanci. Koncový bod MSI, ID klienta a tajný klíč můžete získat z proměnných MSI_ENDPOINTprostředí a DEFAULT_IDENTITY_CLIENT_IDMSI_SECRETv uvedeném pořadí. Pokud pro výpočetní instanci povolíte spravovanou identitu, nastaví se tyto proměnné automaticky.

1. Získejte token pro koncový bod ml.azure.com prostředku Azure z výpočetní instance pracovního prostoru:

   export DATA_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
   export EXPIRY_TIME_UTC=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.expiryTimeUtc' )`
   

Důležité

Na rozdíl od tokenu Microsoft Entra pro operace řídicí roviny, který je načten z management.azure.com, microsoft Entra token pro operace roviny dat se načte z koncového bodu ml.azure.comprostředku Azure .

Python

Pokud plánujete použít sadu SDK k vyvolání koncového bodu, nemusíte klíče nebo tokeny pro operace roviny dat explicitně získat, protože ji sada SDK zpracovává za vás. Pomocí sady SDK ale můžete získat klíče nebo token pro operace roviny dat, abyste ho mohli používat s jinými kanály, jako je rozhraní REST API.

Klíče nebo tokeny pro operace roviny dat získáte pomocí metody get_keys ve OnlineEndpointOperations třídě. Tato metoda vrátí objekt, který obsahuje klíče a token.

Kdy auth_mode je koncový bod key

• Klíče se vrátí do primary_key polí a secondary_key polí.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).primary_key
DATA_PLANE_TOKEN2 = ml_client.online_endpoints.get_keys(name=endpoint_name).secondary_key

Kdy auth_mode je koncový bod aml_token

• Token se vrátí v access_token poli.
• V poli se vrátí čas vypršení platnosti tokenu expiry_time_utc .
• V poli se vrátí čas aktualizace tokenu refresh_after_time_utc .

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc
REFRESH_AFTER_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).refresh_after_time_utc

Kdy auth_mode je koncový bod aad_token

• Token se vrátí v access_token poli.
• V poli se vrátí čas vypršení platnosti tokenu expiry_time_utc .

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc

Další informace najdete v tématu Získání tokenu pomocí klientské knihovny identit Azure.

Studio

Klíč, token služby Azure Machine Learning nebo token Microsoft Entra najdete na kartě Využití na stránce koncového bodu.

Ověření koncového bodu prostředku a ID klienta pro token Microsoft Entra

Po získání tokenu Entra můžete ověřit, že je token pro správný koncový bod ml.azure.com prostředku Azure a správné ID klienta dekódováním tokenu prostřednictvím jwt.ms, což vrátí odpověď JSON s následujícími informacemi:

{
    "aud": "https://ml.azure.com",
    "oid": "<your-object-id>"
}

Určení skóre dat pomocí klíče nebo tokenu

Azure CLI

Můžete použít az ml online-endpoint invoke pro koncové body s klíčem, tokenem služby Azure Machine Learning nebo tokenem Microsoft Entra. Rozhraní příkazového řádku zpracovává klíč nebo token automaticky, takže ho nemusíte explicitně předávat.

az ml online-endpoint invoke -n my-endpoint -r request.json

REST

Při vyvolání online koncového bodu pro bodování předejte klíč, token Azure Machine Learning nebo token Microsoft Entra v autorizační hlavičce. Následující kód ukazuje, jak pomocí nástroje curl volat online koncový bod pomocí klíče nebo tokenu:

curl --request POST "$scoringUri" --header "Authorization: Bearer $DATA_PLANE_TOKEN" --header 'Content-Type: application/json' --data @endpoints/online/model-1/sample-request.json

Python

Použití ml_client.online_endpoints.invoke() sady Azure Machine Learning SDK je podporováno pro klíč, token Azure Machine Learning a token Microsoft Entra. Kromě použití sady Azure Machine Learning SDK můžete také použít obecnou sadu Python SDK k odeslání požadavku POST na identifikátor URI bodování.

Při volání online koncového bodu pro bodování předejte klíč nebo token v autorizační hlavičce. Následující kód ukazuje, jak volat online koncový bod pomocí klíče nebo tokenu s obecnou sadou Python SDK. V kódu nahraďte proměnnou api_key klíčem nebo tokenem.

import urllib.request
import json
import os

data = {"data": [
    [1,2,3,4,5,6,7,8,9,10], 
    [10,9,8,7,6,5,4,3,2,1]
]}

body = str.encode(json.dumps(data))

url = '<scoring URI as retrieved earlier>'
api_key = '<key or token as retrieved earlier>'
headers = {'Content-Type':'application/json', 'Authorization':('Bearer '+ api_key)}

req = urllib.request.Request(url, body, headers)

try:
    response = urllib.request.urlopen(req)

    result = response.read()
    print(result)
except urllib.error.HTTPError as error:
    print("The request failed with status code: " + str(error.code))

    # Print the headers - they include the requert ID and the timestamp, which are useful for debugging the failure
    print(error.info())
    print(error.read().decode("utf8", 'ignore'))

Studio

Klíč nebo token služby Azure Machine Learning

Karta Test na stránce podrobností nasazení podporuje bodování pro koncové body s klíčem, tokenem Azure Machine Learning nebo ověřováním tokenu Microsoft Entra.

Protokolování a monitorování provozu

Pokud chcete povolit protokolování provozu v nastavení diagnostiky pro koncový bod, postupujte podle pokynů v tématu Povolení nebo zakázání protokolů.

Pokud je nastavení diagnostiky povolené, můžete zkontrolovat AmlOnlineEndpointTrafficLogs tabulku a zobrazit režim ověřování a identitu uživatele.

Související obsah

• Ověřování pro spravovaný online koncový bod
• Nasazení modelu strojového učení pomocí online koncového bodu
• Povolení izolace sítě pro spravované online koncové body