Authentifizieren von Clients für Onlineendpunkte

Artikel
12/19/2023

GILT FÜR:Azure CLI ML-Erweiterung v2 (aktuell)Python SDK azure-ai-ml v2 (aktuell)

In diesem Artikel wird beschrieben, wie Clients authentifiziert werden, um Steuerebenen- und Datenebenenvorgänge auf Onlineendpunkten durchzuführen.

Ein Steuerungsebenenvorgang steuert einen Endpunkt und ändert ihn. Steuerungsebenenvorgänge umfassen Erstellungs-, Lese-, Aktualisierungs- und Löschvorgänge (CRUD) auf Onlineendpunkten und Onlinebereitstellungen.

Ein Datenebenenvorgang verwendet Daten, um mit einem Onlineendpunkt zu interagieren, ohne den Endpunkt zu ändern. Beispielsweise kann ein Datenebenenvorgang aus dem Senden einer Bewertungsanforderung an einen Onlineendpunkt und dem Abrufen einer Antwort bestehen.

Voraussetzungen

Stellen Sie vor dem Ausführen der Schritte in diesem Artikel sicher, dass Sie über die folgenden erforderlichen Komponenten verfügen:

Ein Azure Machine Learning-Arbeitsbereich. Wenn keiner vorliegt, führen Sie die Schritte unter Schnellstart: Erstellen von Arbeitsbereichsressourcen aus, um einen Arbeitsbereich zu erstellen.
Die Azure CLI und die ml-Erweiterung oder das Azure Machine Learning Python SDK v2:
- Informationen zum Installieren der Azure CLI und der Erweiterung finden Sie unter Installieren, Einrichten und Verwenden der CLI (v2).
  
  Wichtig
  
  In den CLI-Beispielen in diesem Artikel wird davon ausgegangen, dass Sie die Bash-Shell (oder eine kompatible Shell) verwenden, beispielsweise über ein Linux-System oder ein Windows-Subsystem für Linux.
- Verwenden Sie zum Installieren des Python SDK v2 den folgenden Befehl:
```
pip install azure-ai-ml azure-identity
```
  Verwenden Sie den folgenden Befehl, um eine vorhandene Installation des SDK auf die neueste Version zu aktualisieren:
```
pip install --upgrade azure-ai-ml azure-identity
```
  Weitere Informationen finden Sie unter Installieren des Python SDK v2 für Azure Machine Learning.

Begrenzungen

Endpunkte mit Microsoft Entra-Token (aad_token)-Authentifizierungsmodus unterstützen keine Bewertung mithilfe der CLI az ml online-endpoint invoke, des SDK ml_client.online_endpoints.invoke() oder der Registerkarten Testen oder Nutzen des Azure Machine Learning-Studios. Verwenden Sie stattdessen ein generisches Python SDK oder die REST-API, um das Steuerelementebenentoken zu übergeben. Weitere Informationen finden Sie unter Score-Daten mithilfe des Schlüssels oder Tokens.

Vorbereiten einer Benutzeridentität

Sie benötigen eine Benutzeridentität, um Steuerungsebenenvorgänge (d. h. CRUD-Vorgänge) und Datenebenenvorgänge (d. h. Bewertungsanforderungen senden) auf dem Onlineendpunkt durchzuführen. Sie können dieselbe Benutzeridentität oder unterschiedliche Benutzeridentitäten für die Steuerungsebenen- und Datenebenenvorgänge verwenden. In diesem Artikel verwenden Sie die gleiche Benutzeridentität für Vorgänge der Steuerungsebene und der Datenebene.

Informationen zum Erstellen einer Benutzeridentität unter Microsoft Entra-ID finden Sie unter Einrichten der Authentifizierung. Sie benötigen die Identitäts-ID später.

Zuweisen der Berechtigung an die Identität

In diesem Abschnitt weisen Sie der Benutzeridentität, die Sie für die Interaktion mit dem Endpunkt verwenden, Berechtigungen zu. Sie beginnen mit der Verwendung einer integrierten Rolle oder durch Erstellen einer benutzerdefinierten Rolle. Anschließend weisen Sie der Benutzeridentität die Rolle zu.

Verwenden einer integrierten Rolle

Die AzureML Data Scientistintegrierte Rollekann für die Verwaltung und Nutzung von Endpunkten und Bereitstellungen verwendet werden und nutzt Platzhalter, um die folgenden RBAC-Aktionen der Steuerungsebene einzuschließen:

Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action

und um die folgende RBAC-Aktion der Datenebene einzuschließen:

Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action

Optional kann die integrierte Rolle Azure Machine Learning Workspace Connection Secrets Reader verwendet werden, um auf Geheimnisse aus Arbeitsbereichsverbindungen zuzugreifen und die folgenden RBAC-Aktionen der Steuerungsebene einzuschließen:

Microsoft.MachineLearningServices/workspaces/connections/listsecrets/action
Microsoft.MachineLearningServices/workspaces/metadata/secrets/read

Wenn Sie diese integrierten Rollen verwenden, ist in diesem Schritt keine Aktion erforderlich.

(Optional) Erstellen einer benutzerdefinierten Rolle

Sie können diesen Schritt überspringen, wenn Sie integrierte Rollen oder andere vordefinierte benutzerdefinierte Rollen verwenden.

Definieren Sie den Bereich und die Aktionen für benutzerdefinierte Rollen, indem Sie JSON-Definitionen der Rollen erstellen. Mit der folgenden Rollendefinition kann der Benutzer z. B. einen Onlineendpunkt unter einem angegebenen Arbeitsbereich in CRUD erstellen.

custom-role-for-control-plane.json:

{
    "Name": "Custom role for control plane operations - online endpoint",
    "IsCustom": true,
    "Description": "Can CRUD against online endpoints.",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action"
    ],
    "NotActions": [
    ],
    "AssignableScopes": [
        "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
    ]
}

Mit der folgenden Rollendefinition kann der Benutzer Bewertungsanforderungen an einen Onlineendpunkt unter einem bestimmten Arbeitsbereich senden.

custom-role-for-scoring.json:

{
    "Name": "Custom role for scoring - online endpoint",
    "IsCustom": true,
    "Description": "Can score against online endpoints.",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/action"
    ],
    "NotActions": [
    ],
    "AssignableScopes": [
        "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
    ]
}

Verwenden Sie die JSON-Definitionen, um benutzerdefinierte Rollen zu erstellen:
```
az role definition create --role-definition custom-role-for-control-plane.json --subscription <subscriptionId>

az role definition create --role-definition custom-role-for-scoring.json --subscription <subscriptionId>
```
Hinweis

Zum Erstellen benutzerdefinierter Rollen benötigen Sie eine von drei Rollen:
- owner
- Benutzerzugriffsadministrator
- eine benutzerdefinierte Rolle mit Microsoft.Authorization/roleDefinitions/write-Berechtigung (zum Erstellen/Aktualisieren/Löschen benutzerdefinierter Rollen) und Microsoft.Authorization/roleDefinitions/read-Berechtigung (zum Anzeigen benutzerdefinierter Rollen).
Weitere Informationen zum Erstellen benutzerdefinierter Rollen finden Sie unter benutzerdefinierte Azure-Rollen.

Überprüfen Sie die Rollendefinition:

az role definition list --custom-role-only -o table

az role definition list -n "Custom role for control plane operations - online endpoint"
az role definition list -n "Custom role for scoring - online endpoint"

export role_definition_id1=`(az role definition list -n "Custom role for control plane operations - online endpoint" --query "[0].id" | tr -d '"')`

export role_definition_id2=`(az role definition list -n "Custom role for scoring - online endpoint" --query "[0].id" | tr -d '"')`

Zuweisen der Rolle zur Identität

Wenn Sie die integrierte Rolle AzureML Data Scientist verwenden, nutzen Sie den folgenden Code, um ihrer Benutzeridentität die Rolle zuzuweisen.

az role assignment create --assignee <identityId> --role "AzureML Data Scientist" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Wenn Sie alternativ die integrierte Rolle Azure Machine Learning Workspace Connection Secrets Reader verwenden, nutzen Sie den folgenden Code, um ihrer Benutzeridentität die Rolle zuzuweisen.

az role assignment create --assignee <identityId> --role "Azure Machine Learning Workspace Connection Secrets Reader" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Wenn Sie eine benutzerdefinierte Rolle verwenden, verwenden Sie den folgenden Code, um ihrer Benutzeridentität die Rolle zuzuweisen.
```
az role assignment create --assignee <identityId> --role "Custom role for control plane operations - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

az role assignment create --assignee <identityId> --role "Custom role for scoring - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
```
Hinweis

Um der Benutzeridentität benutzerdefinierte Rollen zuzuweisen, benötigen Sie eine von drei Rollen:
- owner
- Benutzerzugriffsadministrator
- eine benutzerdefinierte Rolle, welche die Microsoft.Authorization/roleAssignments/write-Berechtigung (zum Zuweisen benutzerdefinierter Rollen) und Microsoft.Authorization/roleAssignments/read (zum Anzeigen von Rollenzuweisungen) zulässt.
Weitere Informationen zu den verschiedenen Azure-Rollen und deren Berechtigungen finden Sie unter Azure-Rollen und Zuweisen von Azure-Rollen mithilfe des Azure-Portals.

Bestätigen Sie die Rollenzuweisung:

az role assignment list --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Abrufen des Microsoft Entra-Tokens für Steuerungsebenenvorgänge

Führen Sie diesen Schritt aus, wenn Sie die Steuerungsebenenoperationen mit der REST-APIausführen möchten, die das Token direkt verwenden.

Wenn Sie andere Möglichkeiten wie Azure Machine Learning CLI (v2), Python SDK (v2) oder das Azure Machine Learning Studio verwenden möchten, müssen Sie das Microsoft Entra-Token nicht manuell abrufen. Stattdessen wurde ihre Benutzeridentität bei der Anmeldung bereits authentifiziert, und das Token wird automatisch abgerufen und für Sie übergeben.

Sie können das Microsoft Entra-Token für Steuerungsebenenvorgänge vom Azure-Ressourcenendpunkt abrufen: https://management.azure.com.

Melden Sie sich bei Azure an.
```
az login
```
Wenn Sie eine bestimmte Identität verwenden möchten, verwenden Sie den folgenden Code, um sich mit der Identität anzumelden:
```
az login --identity --username <identityId>
```

Verwenden Sie diesen Kontext, um das Token abzurufen.

export CONTROL_PLANE_TOKEN=`(az account get-access-token --resource https://management.azure.com --query accessToken | tr -d '"')`

Von einem virtuellen Azure-Computer

Sie können das Token basierend auf der verwalteten Identität für einen virtuellen Azure-Computer abrufen (wenn der virtuelle Computer eine verwaltete Identität aktiviert).

Um das Microsoft Entra-Token (aad_token) für den Vorgang der Steuerungsebene auf der Azure-VM abzurufen, übermitteln Sie die Anforderung an den Azure Instance Metadata Service (IMDS)-Endpunkt für den Azure-Ressourcenendpunkt management.azure.com:
```
export CONTROL_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
```
Tipp

Um das Token aus der JSON-Ausgabe zu extrahieren, wird das Hilfsprogramm jq als Beispiel verwendet. Sie können jedoch jedes geeignete Tool für diesen Zweck verwenden.

Weitere Informationen zum Abrufen von Token basierend auf verwalteten Identitäten finden Sie unter Abrufen eines Tokens mit HTTP.

Aus einer Compute-Instanz

Sie können das Token abrufen, wenn Sie die Computeinstanz des Azure Machine Learning-Arbeitsbereichs verwenden. Um das Token abzurufen, müssen Sie die Client-ID und den geheimen Schlüssel der verwalteten Identität der Computeinstanz an den verwalteten Systemidentitätsendpunkt (MSI) übergeben, der lokal an der Computeinstanz konfiguriert ist. Sie können den MSI-Endpunkt, die Client-ID und den geheimen Schlüssel aus den Umgebungsvariablen MSI_ENDPOINT, DEFAULT_IDENTITY_CLIENT_ID und MSI_SECRET entsprechend abrufen. Diese Variablen werden automatisch festgelegt, wenn Sie die verwaltete Identität für die Computeinstanz aktivieren.

Rufen Sie das Token für den Azure-Ressourcenendpunkt management.azure.com aus der Computeinstanz des Arbeitsbereichs ab:

export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://management.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

Weitere Informationen finden Sie unter Abrufen eines Tokens mithilfe der Azure Identity-Clientbibliothek.

(Optional) Überprüfen des Ressourcenendpunkts und der Client-ID für das Microsoft Entra-Token

Nachdem Sie das Microsoft Entra-Token abgerufen haben, können Sie überprüfen, ob das Token für den richtigen Azure-Ressourcenendpunkt management.azure.com und die richtige Client-ID gilt, indem Sie das Token über jwt.ms decodieren, wodurch eine JSON-Antwort mit den folgenden Informationen zurückgegeben wird:

{
    "aud": "https://management.azure.com",
    "oid": "<your-object-id>"
}

Erstellen eines Endpunkts

Im folgenden Beispiel wird der Endpunkt mit einer vom System zugewiesenen Identität (SAI) als Endpunktidentität erstellt. Das SAI ist der Standardidentitätstyp der verwalteten Identität für Endpunkte. Einige Grundlegende Rollen werden automatisch für das SAI zugewiesen. Weitere Informationen zur Rollenzuweisung für eine vom System zugewiesene Identität finden Sie unter Automatische Rollenzuweisung für Endpunktidentitäten.

Die CLI erfordert nicht, dass Sie explizit das Steuerelementebenentoken bereitstellen. Stattdessen authentifiziert die CLI Sie während der Anmeldung, und das Token wird automatisch abgerufen und für Sie übergeben.

Erstellen Sie eine YAML-Endpunktdefinitionsdatei.

endpoint.yml:

$schema: https://azuremlschemas.azureedge.net/latest/managedOnlineEndpoint.schema.json
name: my-endpoint
auth_mode: aad_token

Sie können auth_mode für die Schlüsselauthentifizierung durch key oder aml_token für die Azure Machine Learning-Tokenauthentifizierung ersetzen. In diesem Beispiel verwenden Sie aad_token für die Authentifizierung des Microsoft Entra-Tokens.
```
az ml online-endpoint create -f endpoint.yml
```

Überprüfen Sie den Status des Endpunkts:

az ml online-endpoint show -n my-endpoint

Wenn Sie beim Erstellen eines Endpunkts auth_mode außer Kraft setzen möchten (z. B. durch aad_token), führen Sie den folgenden Code aus:
```
az ml online-endpoint create -n my-endpoint --auth_mode aad_token
```
Wenn Sie den vorhandenen Endpunkt aktualisieren und auth_mode angeben möchten (z. B. durch aad_token), führen Sie den folgenden Code aus:
```
az ml online-endpoint update -n my-endpoint --set auth_mode=aad_token
```

Der REST-API-Aufruf erfordert, dass Sie explizit das Steuerelementebenentoken bereitstellen. Verwenden Sie das zuvor abgerufene Steuerelementebenentoken.

Erstellt oder aktualisiert einen Endpunkt:

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export LOCATION=<LOCATION_NAME>
export API_VERSION=2023-04-01

response=$(curl --location --request PUT "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
--data-raw "{
    \"identity\": {
       \"type\": \"systemAssigned\"
    },
    \"properties\": {
        \"authMode\": \"AADToken\"
    },
    \"location\": \"$LOCATION\"
}")

echo $response

Sie können authMode für die Schlüsselauthentifizierung durch key oder AMLToken für die Azure Machine Learning-Tokenauthentifizierung ersetzen. In diesem Beispiel verwenden Sie AADToken für die Authentifizierung des Microsoft Entra-Tokens.

Abrufen des aktuellen Status des Onlineendpunkts:

response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
)

echo $response

Python SDK erfordert nicht, dass Sie das Steuerelementebenentoken explizit bereitstellen. Stattdessen authentifiziert der SDK MLClient Sie während der Anmeldung und das Token wird automatisch abgerufen und für Sie übergeben.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    ManagedOnlineEndpoint,
    ManagedOnlineDeployment,
    Model,
    Environment,
    CodeConfiguration,
)
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<AML_WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

endpoint = ManagedOnlineEndpoint(
    name="my-endpoint",
    description="this is a sample online endpoint",
    auth_mode="aad_token",
    tags={"foo": "bar"},
)
ml_client.online_endpoints.begin_create_or_update(endpoint).result()

Sie können auth_mode für die Schlüsselauthentifizierung durch key oder aml_token für die Azure Machine Learning-Tokenauthentifizierung ersetzen. In diesem Beispiel verwenden Sie aad_token für die Authentifizierung des Microsoft Entra-Tokens.

Erstellen einer Bereitstellung

Informationen zum Erstellen einer Bereitstellung finden Sie unter Bereitstellen eines ML-Modells mit einem Onlineendpunkt oder Verwenden von REST zum Bereitstellen eines Modells als Onlineendpunkt. Es gibt keinen Unterschied bei der Erstellung von Bereitstellungen für verschiedene Authentifizierungsmodi.

Der folgende Code ist ein Beispiel für das Erstellen einer Bereitstellung. Weitere Informationen zum Bereitstellen von Onlineendpunkten finden Sie unter Bereitstellen eines ML-Modells mit einem Onlineendpunkt (über CLI)

Erstellen Sie eine YAML-Bereitstellungsdefinitionsdatei.

blue-deployment.yml:

$schema: https://azuremlschemas.azureedge.net/latest/managedOnlineDeployment.schema.json
name: blue
endpoint_name: my-aad-auth-endp1
model:
  path: ../../model-1/model/
code_configuration:
  code: ../../model-1/onlinescoring/
  scoring_script: score.py
environment: 
  conda_file: ../../model-1/environment/conda.yml
  image: mcr.microsoft.com/azureml/openmpi4.1.0-ubuntu20.04:latest
instance_type: Standard_DS3_v2
instance_count: 1

Erstellen Sie die Bereitstellung mithilfe der YAML-Datei. Legen Sie in diesem Beispiel den gesamten Datenverkehr auf die neue Bereitstellung fest.
```
az ml online-deployment create -f blue-deployment.yml --all-traffic
```

Abrufen des Bewertungs-URI für den Endpunkt

Wenn Sie beabsichtigen, die CLI zum Aufrufen des Endpunkts zu verwenden, müssen Sie den Bewertungs-URI nicht explizit abrufen, da die CLI ihn für Sie verarbeitet. Sie können jedoch weiterhin die CLI verwenden, um den Bewertungs-URI abzurufen, damit Sie ihn mit anderen Kanälen wie der REST-API verwenden können.

scoringUri=$(az ml online-endpoint show -n my-endpoint --query "scoring_uri")

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export API_VERSION=2023-04-01
response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")
scoringUri=$(echo $response | jq -r '.properties' | jq -r '.scoringUri')

echo $response
echo $scoringUri

Wenn Sie beabsichtigen, das Python SDK zum Aufrufen des Endpunkts zu verwenden, müssen Sie den Bewertungs-URI nicht explizit abrufen, da das SDK ihn für Sie verarbeitet. Sie können jedoch weiterhin das SDK verwenden, um den Bewertungs-URI abzurufen, sodass Sie ihn mit anderen Kanälen wie der REST-API verwenden können.

scoring_uri = ml_client.online_endpoints.get(name=endpoint_name).scoring_uri

Abrufen des Schlüssels oder Token für Datenebenenvorgänge

Ein Schlüssel oder Token kann für Datenebenenvorgänge verwendet werden, obwohl der Vorgang zum Abrufen des Schlüssels oder Tokens ein Steuerungsebenenvorgang ist. Mit anderen Worten: Sie verwenden ein Steuerebenentoken, um den Schlüssel oder das Token abzurufen, den Sie später zum Ausführen Ihrer Datenebenenvorgänge verwenden.

Zum Abrufen des Schlüssels oder des Azure Machine Learning-Tokens muss der Benutzeridentität die richtige, von ihr angeforderte Rolle zugewiesen werden, wie in der Autorisierung für Steuerungsebenenvorgänge beschrieben. Die Benutzeridentität benötigt keine zusätzlichen Rollen, um das Microsoft Entra-Token abzurufen.

Schlüssel- oder Azure Machine Learning-Token

Wenn Sie beabsichtigen, die CLI zum Aufrufen des Endpunkts zu verwenden, und wenn der Endpunkt für die Verwendung eines Authentifizierungsmodus von Schlüsseln oder Azure Machine Learning-Token (aml_token) eingerichtet ist, müssen Sie das Datenebenentoken nicht explizit abrufen, da die CLI es für Sie verarbeitet. Sie können jedoch weiterhin die CLI verwenden, um das Datenebenentoken abzurufen, damit Sie es mit anderen Kanälen wie der REST-API verwenden können.

Verwenden Sie zum Abrufen des Schlüssels oder des Azure Machine Learning-Tokens (aml_token) den Befehl az ml online-endpoint get-credentials. Dieser Befehl gibt ein JSON-Dokument zurück, das den Schlüssel oder das Azure Machine Learning-Token enthält.

Schlüssel werden in den Feldern primaryKey und secondaryKey zurückgegeben. Das folgende Beispiel zeigt, wie Sie den --query-Parameter verwenden, um nur den Primärschlüssel zurückzugeben:

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query primaryKey)

Azure Machine Learning Token werden im Feld accessToken zurückgegeben:

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)

Darüber hinaus enthalten die Felder expiryTimeUtc und refreshAfterTimeUtc die Ablauf- und Aktualisierungszeiten des Tokens.

Microsoft Entra-Token

Verwenden Sie zum Abrufen des Microsoft Entra-Tokens (aad_token) mithilfe der CLI den Befehl az account get-access-token. Dieser Befehl gibt ein JSON-Dokument zurück, welches das Microsoft Entra-Token enthält.

Das Microsoft Entra-Token wird im Feld accessToken zurückgegeben:

export DATA_PLANE_TOKEN=`(az account get-access-token --resource https://ml.azure.com --query accessToken | tr -d '"')`

Hinweis

Die CLI-Erweiterung ml unterstützt nicht das Abrufen des Microsoft Entra-Tokens. Verwenden Sie stattdessen az account get-access-token, wie im vorherigen Code beschrieben.
Das Token für Datenebenenvorgänge wird vom Azure-Ressourcenendpunkt ml.azure.com statt, wie das Token für Steuerungsebenenvorgänge, von management.azure.com abgerufen.

Schlüssel- oder Azure Machine Learning-Token

So rufen Sie den Schlüssel oder das Azure Machine Learning-Token (aml_token) ab:

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/token?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.accessToken')

Microsoft Entra-Token

Von einem virtuellen Azure-Computer

Sie können das Token basierend auf den verwalteten Identitäten für einen virtuellen Azure-Computer abrufen (wenn der virtuelle Computer eine verwaltete Identität aktiviert).

Um das Microsoft Entra-Token (aad_token) für den Datenebenenvorgang auf der Azure-VM mit verwalteter Identität abzurufen, übermitteln Sie die Anforderung an den Azure Instance Metadata Service (IMDS)-Endpunkt für den Azure-Ressourcenendpunkt ml.azure.com:
```
export DATA_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
```
Tipp

Um das Token aus der JSON-Ausgabe zu extrahieren, wird das Hilfsprogramm jq als Beispiel verwendet. Sie können jedoch jedes geeignete Tool für diesen Zweck verwenden.

Weitere Informationen zum Abrufen von Token basierend auf verwalteten Identitäten finden Sie unter Abrufen eines Tokens mit HTTP.

Aus einer Compute-Instanz

Rufen Sie das Token für den Azure-Ressourcenendpunkt ml.azure.com aus der Computeinstanz des Arbeitsbereichs ab:

export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`

Schlüssel- oder Azure Machine Learning-Token

Wenn Sie beabsichtigen, das Python SDK zum Aufrufen des Endpunkts zu verwenden, und wenn der Endpunkt auf die Verwendung eines Authentifizierungsmodus von Schlüsseln oder Azure Machine Learning-Token (aml_token) festgelegt ist, müssen Sie das Datenebenentoken nicht explizit abrufen, da das SDK es für Sie verarbeitet. Sie können das SDK jedoch weiterhin verwenden, um das Datenebenentoken abzurufen, sodass Sie es mit anderen Kanälen wie der REST-API verwenden können.

Um den Schlüssel oder das Azure Machine Learning-Token (aml_token) abzurufen, verwenden Sie die get_keys-Methode in der OnlineEndpointOperations-Klasse.

Schlüssel werden in den Feldern primary_key und secondary_key zurückgegeben:

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).primary_key

Azure Machine Learning Token werden im Feld accessToken zurückgegeben:

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token

Darüber hinaus enthalten die Felder expiry_time_utc und refresh_after_time_utc die Ablauf- und Aktualisierungszeiten des Tokens.

So rufen Sie z. B. expiry_time_utc ab

print(ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc)

Microsoft Entra-Token

Verwenden Sie die Azure Identity-Clientbibliothek, um das Microsoft Entra-Token (aad_token) mithilfe des SDK abzurufen:

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://ml.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

Weitere Informationen finden Sie unter Abrufen eines Tokens mithilfe der Azure Identity-Clientbibliothek.

Überprüfen des Ressourcenendpunkts und der Client-ID für das Microsoft Entra-Token

Nachdem Sie das Entra-Token abgerufen haben, können Sie überprüfen, ob das Token für den richtigen Azure-Ressourcenendpunkt ml.azure.com und die richtige Client-ID ist, indem Sie das Token über jwt.msdecodieren, wodurch eine JSON-Antwort mit den folgenden Informationen zurückgegeben wird:

{
    "aud": "https://ml.azure.com",
    "oid": "<your-object-id>"
}

Bewerten von Daten mithilfe des Schlüssels oder Tokens

Schlüssel- oder Azure Machine Learning-Token

Sie können az ml online-endpoint invoke für Endpunkte mit einem Schlüssel oder Azure Machine Learning-Token verwenden. Die CLI verarbeitet den Schlüssel oder das Azure Machine Learning-Token automatisch, sodass Sie es nicht explizit übergeben müssen.

az ml online-endpoint invoke -n my-endpoint -r request.json

Microsoft Entra-Token

Die Verwendung von az ml online-endpoint invoke für Endpunkte mit einem Microsoft Entra-Token wird nicht unterstützt. Verwenden Sie stattdessen die REST-API und den Bewertungs-URI des Endpunkts, um den Endpunkt aufzurufen.

Wenn Sie den Onlineendpunkt für die Bewertung aufrufen, übergeben Sie den Schlüssel, das Azure Machine Learning-Token oder das Microsoft Entra-Token im Autorisierungsheader. Der folgende Code zeigt, wie Sie mithilfe des Curl-Hilfsprogramms den Online-Endpunkt mithilfe eines Schlüssels oder Tokens aufrufen:

curl --request POST "$scoringUri" --header "Authorization: Bearer $DATA_PLANE_TOKEN" --header 'Content-Type: application/json' --data @endpoints/online/model-1/sample-request.json

Schlüssel- oder Azure Machine Learning-Token

Das Azure Machine Learning SDK, das ml_client.online_endpoints.invoke() verwendet, wird für schlüssel- oder Azure Machine Learning-Token unterstützt. Zusätzlich zur Verwendung des Azure Machine Learning SDK können Sie auch ein generisches Python SDK verwenden, um die POST-Anforderung an den Bewertungs-URI zu senden.

Microsoft Entra-Token

Das Azure Machine Learning SDK, das ml_client.online_endpoints.invoke() verwendet, wird für das Microsoft Entra-Token nicht unterstützt. Verwenden Sie stattdessen ein generisches Python SDK, oder verwenden Sie die REST-API, um die POST-Anforderung an den Bewertungs-URI zu senden.

Übergeben Sie beim Aufrufen des Onlineendpunkts zur Bewertung den Schlüssel oder das Token im Autorisierungsheader. Der folgende Code zeigt, wie der Onlineendpunkt mithilfe eines Schlüssels oder Tokens mit einem generischen Python SDK aufgerufen wird. Ersetzen Sie im Code die api_key-Variable durch den Schlüssel oder das Token.

import urllib.request
import json
import os

data = {"data": [
    [1,2,3,4,5,6,7,8,9,10], 
    [10,9,8,7,6,5,4,3,2,1]
]}

body = str.encode(json.dumps(data))

url = '<scoring URI as retrieved earlier>'
api_key = '<key or token as retrieved earlier>'
headers = {'Content-Type':'application/json', 'Authorization':('Bearer '+ api_key)}

req = urllib.request.Request(url, body, headers)

try:
    response = urllib.request.urlopen(req)

    result = response.read()
    print(result)
except urllib.error.HTTPError as error:
    print("The request failed with status code: " + str(error.code))

    # Print the headers - they include the requert ID and the timestamp, which are useful for debugging the failure
    print(error.info())
    print(error.read().decode("utf8", 'ignore'))

Protokollieren und Überwachen des Datenverkehrs

Um die Datenverkehrsprotokollierung in den Diagnoseeinstellungen für den Endpunkt zu aktivieren, führen Sie die Schritte zum Aktivieren/Deaktivieren von Protokollen aus.

Wenn die Diagnoseeinstellung aktiviert ist, können Sie die AmlOnlineEndpointTrafficLogs-Tabelle überprüfen, um den Authentifizierungsmodus und die Benutzeridentität anzuzeigen.

Authentifizieren von Clients für Onlineendpunkte

Voraussetzungen

Begrenzungen

Vorbereiten einer Benutzeridentität

Zuweisen der Berechtigung an die Identität

Verwenden einer integrierten Rolle

(Optional) Erstellen einer benutzerdefinierten Rolle

Zuweisen der Rolle zur Identität

Abrufen des Microsoft Entra-Tokens für Steuerungsebenenvorgänge

(Optional) Überprüfen des Ressourcenendpunkts und der Client-ID für das Microsoft Entra-Token

Erstellen eines Endpunkts

Erstellen einer Bereitstellung

Abrufen des Bewertungs-URI für den Endpunkt

Abrufen des Schlüssels oder Token für Datenebenenvorgänge

Schlüssel- oder Azure Machine Learning-Token

Microsoft Entra-Token

Überprüfen des Ressourcenendpunkts und der Client-ID für das Microsoft Entra-Token

Bewerten von Daten mithilfe des Schlüssels oder Tokens

Schlüssel- oder Azure Machine Learning-Token

Microsoft Entra-Token

Protokollieren und Überwachen des Datenverkehrs

Zugehöriger Inhalt

Zusätzliche Ressourcen