Autenticación de clientes para puntos de conexión en línea

SE APLICA A:Extensión ML de la CLI de Azure v2 (actual)SDK de Python azure-ai-ml v2 (actual)

En este artículo se explica cómo autenticar a clientes para realizar operaciones de plano de control y plano de datos en puntos de conexión en línea.

Una operación de plano de control controla un punto de conexión y lo cambia. Las operaciones de plano de control incluyen operaciones de creación, lectura, actualización y eliminación (CRUD) en puntos de conexión en línea e implementaciones en línea.

Una operación de plano de datos usa datos para interactuar con un punto de conexión en línea sin cambiar el punto de conexión. Por ejemplo, una operación de plano de datos podría consistir en enviar una solicitud de puntuación a un punto de conexión en línea y obtener una respuesta.

Requisitos previos

Antes de seguir los pasos de este artículo, asegúrese de que tiene los siguientes requisitos previos:

• Un área de trabajo de Azure Machine Learning. Si no tiene uno, siga los pasos descritos en el artículo Inicio rápido: Creación de recursos del área de trabajo para crear uno.

• La CLI de Azure y la extensión mlo el SDK v2 de Python para Azure Machine Learning:

  • Para instalar la CLI de Azure y la extensión, consulte Instalación, configuración y uso de la CLI (v2).

    Importante

    En los ejemplos de la CLI de este artículo se supone que usa el shell de Bash (o compatible). Por ejemplo, de un sistema Linux o Subsistema de Windows para Linux.

  • Para instalar el SDK de Python v2, use el siguiente comando:

    pip install azure-ai-ml azure-identity
    

    Para actualizar una instalación existente del SDK a la versión más reciente, use el siguiente comando:

    pip install --upgrade azure-ai-ml azure-identity
    

    Para más información, consulte Instalación del SDK v2 de Python para Azure Machine Learning.

Preparación de la identidad de un usuario

Se necesita la identidad de un usuario para realizar operaciones de plano de control (es decir, operaciones CRUD) y operaciones de plano de datos (es decir, enviar solicitudes de puntuación) en el punto de conexión en línea. Use la misma identidad de usuario o identidades de usuario diferentes para las operaciones de plano de control y de plano de datos. En este artículo, se usará la misma identidad de usuario para las operaciones de plano de control y de plano de datos.

Para crear una identidad de usuario en Microsoft Entra ID, consulte Configuración de la autenticación. Necesitará el id. de identidad más adelante.

Asignación de permisos a la identidad

En esta sección, asignará permisos a la identidad de usuario que se usa para interactuar con el punto de conexión. Para empezar, use un rol integrado o cree un rol personalizado. A partir de entonces, se asigna el rol a la identidad del usuario.

Use un rol integrado

El rol integrado AzureML Data Scientist se puede usar para administrar y usar puntos de conexión e implementaciones, y usa caracteres comodín para incluir las siguientes acciones de RBAC de plano de control:

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action

y para incluir las siguientes acciones de RBAC de plano de datos:

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action

Opcionalmente, el rol integrado Azure Machine Learning Workspace Connection Secrets Reader se puede usar para acceder a secretos desde las conexiones del área de trabajo e incluye las siguientes acciones de RBAC de plano de control:

• Microsoft.MachineLearningServices/workspaces/connections/listsecrets/action
• Microsoft.MachineLearningServices/workspaces/metadata/secrets/read

Si usa estos roles integrados, no se necesita ninguna acción en este paso.

(Opcional) creación de un rol personalizado

Omita este paso si usa roles integrados u otros roles personalizados creados previamente.

1. Defina el ámbito y las acciones de los roles personalizados mediante la creación de definiciones JSON de los roles. Por ejemplo, la siguiente definición de rol permite al usuario realizar operaciones CRUD de un punto de conexión en línea en un área de trabajo especificada.

   custom-role-for-control-plane.json:

   {
       "Name": "Custom role for control plane operations - online endpoint",
       "IsCustom": true,
       "Description": "Can CRUD against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
       ]
   }
   

   La siguiente definición de rol permite al usuario enviar solicitudes de puntuación a un punto de conexión en línea en un área de trabajo especificada.

   custom-role-for-scoring.json:

   {
       "Name": "Custom role for scoring - online endpoint",
       "IsCustom": true,
       "Description": "Can score against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
       ]
   }
   

2. Use las definiciones JSON para crear roles personalizados:

   az role definition create --role-definition custom-role-for-control-plane.json --subscription <subscriptionId>
   
   az role definition create --role-definition custom-role-for-scoring.json --subscription <subscriptionId>
   

   Nota:

   Para crear roles personalizados, necesita uno de tres roles:

   • propietario
   • Administrador de acceso de usuarios
   • un rol personalizado con permiso de Microsoft.Authorization/roleDefinitions/write (para crear, actualizar o eliminar roles personalizados) y permiso de Microsoft.Authorization/roleDefinitions/read (para ver roles personalizados).

   Para obtener más información sobre la creación de roles personalizados, consulte Roles personalizados de Azure.

3. Compruebe la definición de roles:

   az role definition list --custom-role-only -o table
   
   az role definition list -n "Custom role for control plane operations - online endpoint"
   az role definition list -n "Custom role for scoring - online endpoint"
   
   export role_definition_id1=`(az role definition list -n "Custom role for control plane operations - online endpoint" --query "[0].id" | tr -d '"')`
   
   export role_definition_id2=`(az role definition list -n "Custom role for scoring - online endpoint" --query "[0].id" | tr -d '"')`
   

Asignar el rol a la identidad

1. Si usa el rol integrado AzureML Data Scientist, use el código siguiente para asignar el rol a la identidad de usuario.

   az role assignment create --assignee <identityId> --role "AzureML Data Scientist" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

2. Opcionalmente, si usa el rol integrado Azure Machine Learning Workspace Connection Secrets Reader, use el código siguiente para asignar el rol a la identidad de usuario.

   az role assignment create --assignee <identityId> --role "Azure Machine Learning Workspace Connection Secrets Reader" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

3. Si usa un rol personalizado, use el código siguiente para asignar el rol a la identidad de usuario.

   az role assignment create --assignee <identityId> --role "Custom role for control plane operations - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   
   az role assignment create --assignee <identityId> --role "Custom role for scoring - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

   Nota:

   Para asignar roles personalizados a la identidad de usuario, se necesita uno de estos tres roles:

   • propietario
   • Administrador de acceso de usuarios
   • un rol personalizado que permite los permisos Microsoft.Authorization/roleAssignments/write (para asignar roles personalizados) y Microsoft.Authorization/roleAssignments/read (para ver las asignaciones de roles).

   Para obtener más información sobre los distintos roles de Azure y sus permisos, consulte roles de Azure y Asignación de roles de Azure mediante Azure Portal.

4. Confirme la asignación de roles:

   az role assignment list --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

Obtención del token de Microsoft Entra para operaciones de plano de control

Realice este paso si planea realizar operaciones de plano de control con la API de REST, que usará directamente el token.

Si planea usar otras formas, como la CLI de Azure Machine Learning (v2), el SDK de Python (v2) o Estudio de Azure Machine Learning, no es necesario obtener manualmente el token de Microsoft Entra. En su lugar, durante el inicio de sesión, su identidad de usuario ya se autenticaría, el token se recuperaría automáticamente y se le pasaría.

Es posible recuperar el token de Microsoft Entra para operaciones de plano de control desde el punto de conexión de recursos de Azure: https://management.azure.com.

CLI de Azure

1. Inicie sesión en Azure.

   az login
   

2. Si desea usar una identidad específica, use el código siguiente para iniciar sesión con la identidad:

   az login --identity --username <identityId>
   

3. Use este contexto para obtener el token.

   export CONTROL_PLANE_TOKEN=`(az account get-access-token --resource https://management.azure.com --query accessToken | tr -d '"')`
   

REST

Desde una máquina virtual de Azure

Es posible adquirir el token basado en la identidad administrada de una máquina virtual de Azure (cuando la máquina virtual habilita una identidad administrada).

1. Para obtener el token de Microsoft Entra (aad_token) para la operación de plano de control en la máquina virtual de Azure, envíe la solicitud al punto de conexión de Azure Instance Metadata Service (IMDS) para el punto de conexión de recursos de Azure management.azure.com:

   export CONTROL_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
   

   Sugerencia

   Para extraer el token de la salida JSON, la utilidad jq se usa como ejemplo. Sin embargo, es posible usar cualquier herramienta adecuada para este propósito.

   Para obtener más información sobre cómo obtener tokens basados en identidades administradas, consulte Obtener un token mediante HTTP.

Desde una instancia de proceso

Es posible obtener el token si usa la instancia de proceso del área de trabajo de Azure Machine Learning. Para obtener el token, pase el id. de cliente y el secreto de la identidad administrada de la instancia de proceso al punto de conexión de identidad del sistema administrado (MSI) configurado localmente en la instancia de proceso. Obtenga el punto de conexión de MSI, el id. de cliente y el secreto de las variables de entorno MSI_ENDPOINT, DEFAULT_IDENTITY_CLIENT_ID y MSI_SECRET, respectivamente. Estas variables se establecen automáticamente al habilitar la identidad administrada para la instancia de proceso.

1. Obtenga el token del punto de conexión de recursos de Azure management.azure.com de la instancia de proceso del área de trabajo:

   export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
   

Python

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://management.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

Consulte Obtención de un token mediante la biblioteca cliente de identidad de Azure para obtener más información.

Estudio

Studio no expone el token de Microsoft Entra para las operaciones del plano de control.

(Opcional) comprobación del punto de conexión del recurso y el id. de cliente para el token de Microsoft Entra

Después de recuperar el token de Microsoft Entra, compruebe que el token sea para el punto de conexión correcto de recursos de Azure management.azure.com y el id. de cliente sea correcto decodificando el token a través de jwt.ms, que devolverá una respuesta JSON con la siguiente información:

{
    "aud": "https://management.azure.com",
    "oid": "<your-object-id>"
}

Creación de un punto de conexión

En el ejemplo siguiente, se crea el punto de conexión con una identidad asignada por el sistema (SAI) como identidad del punto de conexión. El SAI es el tipo de identidad predeterminado de la identidad administrada para los puntos de conexión. Algunos roles básicos se asignan automáticamente para la SAI. Para obtener más información sobre la asignación de roles para una identidad asignada por el sistema, consulte Asignación automática de roles para la identidad del punto de conexión.

CLI de Azure

La CLI no requiere que proporcione explícitamente el token del plano de control. En su lugar, la CLI az login autentica durante el inicio de sesión y el token se recupera y se pasa automáticamente.

1. Cree un archivo YAML de definición de punto de conexión.

   endpoint.yml:

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineEndpoint.schema.json
   name: my-endpoint
   auth_mode: aad_token
   

2. Reemplace auth_mode por key para la autenticación de claves, o bien aml_token para la autenticación de tokens de Azure Machine Learning. En este ejemplo, usará aad_token para la autenticación de tokens de Microsoft Entra.

   az ml online-endpoint create -f endpoint.yml
   

3. Compruebe el estado del punto de conexión:

   az ml online-endpoint show -n my-endpoint
   

4. Si desea invalidar auth_mode (por ejemplo, para aad_token) al crear un punto de conexión, ejecute el código siguiente:

   az ml online-endpoint create -n my-endpoint --auth_mode aad_token
   

5. Si desea actualizar el punto de conexión existente y especificar auth_mode (por ejemplo, para aad_token), ejecute el código siguiente:

   az ml online-endpoint update -n my-endpoint --set auth_mode=aad_token
   

REST

La llamada API de REST requiere que proporcione explícitamente el token de plano de control. Use el token de plano de control que recuperó anteriormente.

1. Cree o actualice un punto de conexión:

   export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
   export RESOURCE_GROUP=<RESOURCE_GROUP>
   export WORKSPACE=<AML_WORKSPACE_NAME>
   export ENDPOINT_NAME=<ENDPOINT_NAME>
   export LOCATION=<LOCATION_NAME>
   export API_VERSION=2023-04-01
   
   response=$(curl --location --request PUT "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
   --header "Content-Type: application/json" \
   --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
   --data-raw "{
       \"identity\": {
          \"type\": \"systemAssigned\"
       },
       \"properties\": {
           \"authMode\": \"AADToken\"
       },
       \"location\": \"$LOCATION\"
   }")
   
   echo $response
   

   Reemplace authMode por key para la autenticación de claves, o bien AMLToken para la autenticación de tokens de Azure Machine Learning. En este ejemplo, usará AADToken para la autenticación de tokens de Microsoft Entra.

2. Obtenga el estado actual del punto de conexión en línea:

   response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
   --header "Content-Type: application/json" \
   --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
   )
   
   echo $response
   

Python

El SDK de Python no requiere que proporcione explícitamente el token de plano de control. En su lugar, el SDK MLClient autentica durante el inicio de sesión y el token se recupera y se pasa automáticamente.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    ManagedOnlineEndpoint,
    ManagedOnlineDeployment,
    Model,
    Environment,
    CodeConfiguration,
)
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<AML_WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

endpoint = ManagedOnlineEndpoint(
    name="my-endpoint",
    description="this is a sample online endpoint",
    auth_mode="aad_token",
    tags={"foo": "bar"},
)
ml_client.online_endpoints.begin_create_or_update(endpoint).result()

Reemplace auth_mode por key para la autenticación de claves, o bien aml_token para la autenticación de tokens de Azure Machine Learning. En este ejemplo, usará aad_token para la autenticación de tokens de Microsoft Entra.

Estudio

Studio no requiere que proporcione explícitamente el token de plano de control porque ya se autenticaría durante el inicio de sesión y el token se recuperaría y pasaría automáticamente.

Para obtener más información sobre la implementación de puntos de conexión en línea, consulte Implementación de modelos de ML con puntos de conexión en línea (a través de Studio)

de una implementación

Para crear una implementación, consulte Implementación de un modelo de ML con un punto de conexión en línea o Uso de REST para implementar modelos como puntos de conexión en línea. No hay ninguna diferencia en cómo se crean implementaciones para distintos modos de autenticación.

CLI de Azure

El siguiente código es un ejemplo de cómo crear una implementación. Para obtener más información sobre la implementación de puntos de conexión en línea, consulte Implementación de modelos de ML con puntos de conexión en línea (a través de la CLI)

1. Creación de un archivo YAML de definición de implementación.

   blue-deployment.yml:

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineDeployment.schema.json
   name: blue
   endpoint_name: my-aad-auth-endp1
   model:
     path: ../../model-1/model/
   code_configuration:
     code: ../../model-1/onlinescoring/
     scoring_script: score.py
   environment: 
     conda_file: ../../model-1/environment/conda.yml
     image: mcr.microsoft.com/azureml/openmpi4.1.0-ubuntu20.04:latest
   instance_type: Standard_DS3_v2
   instance_count: 1
   

2. Cree la implementación mediante el archivo YAML. En este ejemplo, establezca todo el tráfico en la nueva implementación.

   az ml online-deployment create -f blue-deployment.yml --all-traffic
   

REST

Para obtener más información sobre la implementación de puntos de conexión en línea mediante REST, consulte Uso de REST para implementar modelos como puntos de conexión en línea.

Python

Para obtener más información sobre la implementación de puntos de conexión en línea, consulte Implementación de modelos de ML con puntos de conexión en línea (a través del SDK)

Estudio

Para obtener más información sobre la implementación de puntos de conexión en línea, consulte Implementación de modelos de ML con puntos de conexión en línea (a través de Studio)

Obtención del URI de puntuación para el punto de conexión

CLI de Azure

Si tiene previsto usar la CLI para invocar el punto de conexión, no es necesario obtener explícitamente el URI de puntuación, ya que la CLI lo controla por usted. Sin embargo, aún podría usar la CLI para obtener el URI de puntuación y usarlo con otros canales, como la API de REST.

scoringUri=$(az ml online-endpoint show -n my-endpoint --query "scoring_uri")

REST

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export API_VERSION=2023-04-01
response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")
scoringUri=$(echo $response | jq -r '.properties' | jq -r '.scoringUri')

echo $response
echo $scoringUri

Python

Si tiene previsto usar el SDK de Python para invocar el punto de conexión, no es necesario obtener explícitamente el URI de puntuación, ya que el SDK lo controla por usted. Sin embargo, aún podría usar el SDK para obtener el URI de puntuación y usarlo con otros canales, como la API de REST.

scoring_uri = ml_client.online_endpoints.get(name=endpoint_name).scoring_uri

Estudio

Si tiene previsto usar Studio para invocar el punto de conexión, no es necesario obtener explícitamente el URI de puntuación, ya que Studio lo controla por usted. Sin embargo, aún podría usar Studio para obtener el URI de puntuación para usarlo con otros canales, como la API de REST.

Es posible encontrar el URI de puntuación en la pestaña Detalles de la página del punto de conexión.

Obtención de la clave o token para operaciones de plano de datos

Se puede usar una clave o token para las operaciones de plano de datos, aunque el proceso de obtención de la clave o el token sea una operación de plano de control. En otras palabras, se usa un token de plano de control para obtener la clave o el token que, posteriormente, se usará para realizar las operaciones de plano de datos.

La obtención de la clave o token de Azure Machine Learning requiere que el rol correcto se asigne a la identidad de usuario que lo solicite, tal y como se describe en Autorización para operaciones de plano de control. La obtención del Token de Microsoft Entra no requiere ningún rol adicional para la identidad del usuario.

CLI de Azure

Si tiene previsto usar la CLI para invocar el punto de conexión, no es necesario obtener las claves o el token de las operaciones del plano de datos explícitamente, ya que la CLI la controla automáticamente. Sin embargo, todavía puede usar la CLI para obtener las claves o el token de la operación del plano de datos para poder usarlo con otros canales, como la API REST.

Para obtener las claves o el token de las operaciones del plano de datos, use el comando az ml online-endpoint get-credentials. Este comando devuelve una salida JSON que contiene las claves, el token o la información adicional.

Sugerencia

Para extraer una información específica de la salida JSON, el parámetro --query del comando de la CLI se usa como ejemplo. Sin embargo, es posible usar cualquier herramienta adecuada para este propósito.

Cuándo auth_mode es el punto de conexión key

• Las claves se devuelven en los campos primaryKey y secondaryKey.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query primaryKey)
export DATA_PLANE_TOKEN2=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query secondaryKey)

Cuando auth_mode del punto de conexión es aml_token

• El token se devuelve en el campo accessToken.
• El tiempo de expiración del token se devuelve en el campo expiryTimeUtc.
• El tiempo de actualización del token se devuelve en el campo refreshAfterTimeUtc.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)
export REFRESH_AFTER_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query refreshAfterTimeUtc)

Cuándo auth_mode es el punto de conexión aad_token

• El token se devuelve en el campo accessToken.
• El tiempo de expiración del token se devuelve en el campo expiryTimeUtc.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)

REST

Para obtener las claves o el token de las operaciones del plano de datos, elija la API adecuada, en función de auth_mode del punto de conexión. La API devuelve una salida JSON que incluye las claves y el token.

Sugerencia

La utilidad jq se usa para mostrar cómo extraer una información específica de la salida JSON. Sin embargo, es posible usar cualquier herramienta adecuada para este propósito.

Cuándo auth_mode es el punto de conexión key

• Use la API de listkeys.
• Las claves se devuelven en los campos primaryKey y secondaryKey.

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/listkeys?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.primaryKey')

Cuando auth_mode del punto de conexión es aml_token

• Use la API de token.
• El token se devuelve en el campo accessToken.
• Se devuelve el tiempo de expiración del token en el campo expiryTimeUtc
• Se devuelve el tiempo de actualización del token en el campo refreshAfterTimeUtc

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/token?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.accessToken')
export EXPIRY_TIME_UTC=$(echo $response | jq -r '.expiryTimeUtc')
export REFRESH_AFTER_TIME_UTC=$(echo $response | jq -r '.refreshAfterTimeUtc')

Cuándo auth_mode es el punto de conexión aad_token

• Use el punto de conexión IMDS o el punto de conexión MSI, en función de dónde solicite el token.
• El token se devuelve en el campo accessToken.
• Se devuelve el tiempo de expiración del token en el campo expiryTimeUtc

Desde una máquina virtual de Azure

Es posible adquirir el token basado en las identidades administradas de una máquina virtual de Azure (cuando la máquina virtual habilita una identidad administrada).

1. Para obtener el token de Microsoft Entra (aad_token) para la operación de plano de datos en la máquina virtual de Azure con identidad administrada, envíe la solicitud al punto de conexión de Azure Instance Metadata Service (IMDS) para el punto de conexión de recursos de Azure ml.azure.com:

   export DATA_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
   export EXPIRY_TIME_UTC=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.expiryTimeUtc' )`
   

   Para obtener más información sobre cómo obtener tokens basados en identidades administradas, consulte Obtener un token mediante HTTP.

Desde una instancia de proceso

Es posible obtener el token si usa la instancia de proceso del área de trabajo de Azure Machine Learning. Para obtener el token, pase el id. de cliente y el secreto de la identidad administrada de la instancia de proceso al punto de conexión de identidad del sistema administrado (MSI) configurado localmente en la instancia de proceso. Obtenga el punto de conexión de MSI, el id. de cliente y el secreto de las variables de entorno MSI_ENDPOINT, DEFAULT_IDENTITY_CLIENT_ID y MSI_SECRET, respectivamente. Estas variables se establecen automáticamente al habilitar la identidad administrada para la instancia de proceso.

1. Obtenga el token del punto de conexión de recursos de Azure ml.azure.com de la instancia de proceso del área de trabajo:

   export DATA_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
   export EXPIRY_TIME_UTC=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.expiryTimeUtc' )`
   

Importante

A diferencia del token de Microsoft Entra para las operaciones del plano de control, que se recupera de management.azure.com, el token de Microsoft Entra para las operaciones del plano de datos se recupera del punto de conexión de recursos de Azureml.azure.com.

Python

Si tiene previsto usar el SDK para invocar el punto de conexión, no es necesario obtener las claves ni el token de las operaciones del plano de datos explícitamente, ya que el SDK lo controla automáticamente. Sin embargo, puede seguir usando el SDK para obtener las claves o el token de las operaciones del plano de datos para poder usarlos con otros canales, como la API de REST.

Para obtener las claves o el token de las operaciones del plano de datos, use el método get_keys en la clase OnlineEndpointOperations. Este método devuelve un objeto que incluye claves y token.

Cuándo auth_mode es el punto de conexión key

• Las claves se devuelven en los campos primary_key y secondary_key.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).primary_key
DATA_PLANE_TOKEN2 = ml_client.online_endpoints.get_keys(name=endpoint_name).secondary_key

Cuando auth_mode del punto de conexión es aml_token

• El token se devuelve en el campo access_token.
• El tiempo de expiración del token se devuelve en el campo expiry_time_utc.
• El tiempo de actualización del token se devuelve en el campo refresh_after_time_utc.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc
REFRESH_AFTER_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).refresh_after_time_utc

Cuándo auth_mode es el punto de conexión aad_token

• El token se devuelve en el campo access_token.
• El tiempo de expiración del token se devuelve en el campo expiry_time_utc.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc

Consulte Obtención de un token mediante la biblioteca cliente de identidad de Azure para obtener más información.

Estudio

Puede encontrar la clave, el token de Azure Machine Learning o el token de Microsoft Entra en la pestaña Consumir de la página del punto de conexión.

Comprobación del punto de conexión del recurso y el id. de cliente para el token de Microsoft Entra

Después de obtener el token de Entra, compruebe que el token sea para el punto de conexión correcto de recursos de Azure ml.azure.com y el id. de cliente sea correcto decodificando el token a través de jwt.ms, que devolverá una respuesta JSON con la siguiente información:

{
    "aud": "https://ml.azure.com",
    "oid": "<your-object-id>"
}

Puntuación de datos mediante la clave o el token

CLI de Azure

Puede usar az ml online-endpoint invoke para puntos de conexión con una clave, un token de Azure Machine Learning o un token de Microsoft Entra. La CLI controla automáticamente la clave o el token, por lo que no es necesario pasarla explícitamente.

az ml online-endpoint invoke -n my-endpoint -r request.json

REST

Al invocar el punto de conexión en línea para la puntuación, pase la clave, el token de Azure Machine Learning o el token de Microsoft Entra en el encabezado de autorización. En el siguiente código se muestra cómo usar la utilidad curl para llamar al punto de conexión en línea mediante un token o una clave:

curl --request POST "$scoringUri" --header "Authorization: Bearer $DATA_PLANE_TOKEN" --header 'Content-Type: application/json' --data @endpoints/online/model-1/sample-request.json

Python

El SDK de Azure Machine Learning mediante ml_client.online_endpoints.invoke() es compatible con claves, token de Azure Machine Learning y token de Microsoft Entra. Además de usar el SDK de Azure Machine Learning, también es posible usar un SDK genérico de Python para enviar la solicitud POST al URI de puntuación.

Al llamar al punto de conexión en línea para la puntuación, pase la clave o el token en el encabezado de autorización. En el siguiente código se muestra cómo llamar al punto de conexión en línea mediante un token o una clave con un SDK genérico de Python. En el código, reemplace la variable api_key por la clave o el token.

import urllib.request
import json
import os

data = {"data": [
    [1,2,3,4,5,6,7,8,9,10], 
    [10,9,8,7,6,5,4,3,2,1]
]}

body = str.encode(json.dumps(data))

url = '<scoring URI as retrieved earlier>'
api_key = '<key or token as retrieved earlier>'
headers = {'Content-Type':'application/json', 'Authorization':('Bearer '+ api_key)}

req = urllib.request.Request(url, body, headers)

try:
    response = urllib.request.urlopen(req)

    result = response.read()
    print(result)
except urllib.error.HTTPError as error:
    print("The request failed with status code: " + str(error.code))

    # Print the headers - they include the requert ID and the timestamp, which are useful for debugging the failure
    print(error.info())
    print(error.read().decode("utf8", 'ignore'))

Estudio

Clave o token de Azure Machine Learning

La pestaña Prueba de la página de detalles de la implementación admite la puntuación de los puntos de conexión con clave, token de Azure Machine Learning o autenticación de token de Microsoft Entra.

Registro y supervisión del tráfico

Para habilitar el registro de tráfico en la configuración de diagnóstico del punto de conexión, siga los pasos descritos en Habilitación o deshabilitación de registros.

Si la configuración de diagnóstico estuviera habilitada, compruebe la tabla AmlOnlineEndpointTrafficLogs para ver el modo de autenticación y la identidad del usuario.

Contenido relacionado

• Autenticación para puntos de conexión en línea administrados
• Implementación de un modelo de Machine Learning mediante un punto de conexión en línea
• Habilitación del aislamiento de red de puntos de conexión en línea administrados