Authentifier les clients pour les points de terminaison en ligne

S’APPLIQUE À :Extension Azure ML CLI v2 (actuelle)Kit de développement logiciel (SDK) Python azure-ai-ml v2 (préversion)

Cet article explique comment authentifier les clients pour effectuer des opérations de plan de contrôle et de plan de données sur des points de terminaison en ligne.

Une opération de plan de contrôle permet de contrôler un point de terminaison et de le modifier. Les opérations de plan de contrôle incluent les opérations de création, lecture, mise à jour et suppression (CRUD) sur les points de terminaison en ligne et les déploiements en ligne.

Une opération de plan de données utilise des données pour interagir avec un point de terminaison en ligne sans modifier le point de terminaison. Par exemple, une opération de plan de données peut consister à envoyer une demande de scoring à un point de terminaison en ligne et à obtenir une réponse.

Prérequis

Avant de suivre les étapes décrites dans cet article, vérifiez que vous disposez des composants requis suivants :

• Un espace de travail Azure Machine Learning. Si vous n’en avez pas, procédez comme suit dans le Guide de démarrage rapide : Créer des ressources d’espace de travail pour en créer un.

• Azure CLI et l’extension mlou le Kit de développement logiciel (SDK) Python Azure Machine Learning v2 :

  • Pour installer Azure CLI et l’extension, consultez Installer, configurer et utiliser l’interface CLI (v2).

    Important

    Les exemples CLI de cet article supposent que vous utilisez l’interpréteur de commandes Bash (ou compatible). Par exemple, à partir d’un système Linux ou d’un sous-système Windows pour Linux.

  • Pour installer le kit SDK Python v2, utilisez la commande suivante :

    pip install azure-ai-ml azure-identity
    

    Pour mettre à jour une installation existante du Kit de développement logiciel (SDK) vers la version la plus récente, utilisez la commande suivante :

    pip install --upgrade azure-ai-ml azure-identity
    

    Pour plus d’informations, consultez Installer le kit SDK Python v2 pour Azure Machine Learning.

Limites

Les points de terminaison avec le mode d’authentification par jeton Microsoft Entra (aad_token) ne prennent pas en charge le scoring à l’aide de l’interface CLI az ml online-endpoint invoke, du kit de développement logiciel (SDK) ml_client.online_endpoints.invoke() ou des onglets Test ou Consommation d’Azure Machine Learning studio. Utilisez plutôt un kit de développement logiciel (SDK) Python générique ou utilisez l’API REST pour passer le jeton du plan de contrôle. Pour plus d’informations, consultez Scoring des données à l’aide de la clé ou du jeton.

Préparer une identité utilisateur

Vous avez besoin d’une identité utilisateur pour effectuer des opérations de plan de contrôle (c’est-à-dire des opérations CRUD) et des opérations de plan de données (autrement dit, envoyer des demandes de scoring) sur le point de terminaison en ligne. Vous pouvez utiliser la même identité utilisateur ou différentes identités utilisateur pour les opérations du plan de contrôle et du plan de données. Dans cet article, vous utilisez la même identité utilisateur pour les opérations de plan de contrôle et de plan de données.

Pour créer une identité d’utilisateur sous Microsoft Entra ID, consultez Configurer l’authentification. Vous aurez besoin de l’ID d’identité ultérieurement.

Attribuer des autorisations à l’identité

Dans cette section, vous attribuez des autorisations à l’identité utilisateur que vous utilisez pour interagir avec le point de terminaison. Vous commencez en utilisant un rôle intégré ou en créant un rôle personnalisé. Ensuite, vous attribuez le rôle à votre identité utilisateur.

Utiliser un rôle intégré

Le AzureML Data Scientistrôle intégré peut être utilisé pour gérer et utiliser des points de terminaison et des déploiements, et il utilise des caractères génériques pour inclure les actions de RBAC du plan de contrôle suivantes :

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action

et pour inclure l’action RBAC du plan de données suivante :

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action

Si vous le souhaitez, le rôle intégré Azure Machine Learning Workspace Connection Secrets Reader peut être utilisé pour accéder aux secrets à partir des connexions de l’espace de travail et inclure les actions de RBAC du plan de contrôle suivantes :

• Microsoft.MachineLearningServices/workspaces/connections/listsecrets/action
• Microsoft.MachineLearningServices/workspaces/metadata/secrets/read

Si vous utilisez ces rôles intégrés, aucune action n’est nécessaire à cette étape.

(Facultatif) Créer un rôle personnalisé

Vous pouvez ignorer cette étape si vous utilisez des rôles intégrés ou d’autres rôles personnalisés prédéfinis.

1. Définissez l’étendue et les actions des rôles personnalisés en créant des définitions JSON des rôles. Par exemple, la définition de rôle suivante permet à l’utilisateur d’effectuer une opération CRUD sur un point de terminaison en ligne, sous un espace de travail spécifié.

   custom-role-for-control-plane.json :

   {
       "Name": "Custom role for control plane operations - online endpoint",
       "IsCustom": true,
       "Description": "Can CRUD against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
       ]
   }
   

   La définition de rôle suivante permet à l’utilisateur d’envoyer des demandes de scoring à un point de terminaison en ligne, sous un espace de travail spécifié.

   custom-role-for-scoring.json :

   {
       "Name": "Custom role for scoring - online endpoint",
       "IsCustom": true,
       "Description": "Can score against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
       ]
   }
   

2. Utilisez les définitions JSON pour créer des rôles personnalisés :

   az role definition create --role-definition custom-role-for-control-plane.json --subscription <subscriptionId>
   
   az role definition create --role-definition custom-role-for-scoring.json --subscription <subscriptionId>
   

   Remarque

   Pour créer des rôles personnalisés, vous avez besoin d’un des trois rôles suivants :

   • Propriétaire
   • administrateur de l’accès utilisateur
   • un rôle personnalisé avec l’autorisation Microsoft.Authorization/roleDefinitions/write (pour créer/mettre à jour/supprimer des rôles personnalisés) et l’autorisation Microsoft.Authorization/roleDefinitions/read (pour afficher les rôles personnalisés).

   Pour plus d’informations sur la création des rôles personnalisés, consultez Rôles personnalisés Azure.

3. Vérifiez la définition de rôle :

   az role definition list --custom-role-only -o table
   
   az role definition list -n "Custom role for control plane operations - online endpoint"
   az role definition list -n "Custom role for scoring - online endpoint"
   
   export role_definition_id1=`(az role definition list -n "Custom role for control plane operations - online endpoint" --query "[0].id" | tr -d '"')`
   
   export role_definition_id2=`(az role definition list -n "Custom role for scoring - online endpoint" --query "[0].id" | tr -d '"')`
   

Attribuez le rôle à l’identité

1. Si vous utilisez le rôle intégré AzureML Data Scientist, utilisez le code suivant pour attribuer le rôle à votre identité utilisateur.

   az role assignment create --assignee <identityId> --role "AzureML Data Scientist" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

2. Le cas échéant, si vous utilisez le rôle intégré Azure Machine Learning Workspace Connection Secrets Reader, utilisez le code suivant pour attribuer le rôle à votre identité utilisateur.

   az role assignment create --assignee <identityId> --role "Azure Machine Learning Workspace Connection Secrets Reader" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

3. Si vous utilisez un rôle personnalisé, utilisez le code suivant pour attribuer le rôle à votre identité utilisateur.

   az role assignment create --assignee <identityId> --role "Custom role for control plane operations - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   
   az role assignment create --assignee <identityId> --role "Custom role for scoring - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

   Remarque

   Pour affecter des rôles personnalisés à l’identité utilisateur, vous avez besoin de l’un des trois rôles suivants :

   • Propriétaire
   • administrateur de l’accès utilisateur
   • un rôle personnalisé qui autorise l’autorisation Microsoft.Authorization/roleAssignments/write (pour attribuer des rôles personnalisés) et Microsoft.Authorization/roleAssignments/read (pour afficher les attributions de rôles).

   Pour plus d’informations sur les différents rôles Azure et leurs autorisations, consultez Rôles Azure et Attribution de rôles Azure à l’aide du portail Azure.

4. Confirmez l’attribution de rôle :

   az role assignment list --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

Obtenir le jeton Microsoft Entra pour les opérations de plan de contrôle

Effectuez cette étape si vous envisagez d’effectuer des opérations de plan de contrôle avec l’API REST, qui utilisera directement le jeton.

Si vous envisagez d’utiliser d’autres méthodes telles que l’interface CLI Azure Machine Learning (v2), le kit de développement logiciel (SDK) Python (v2) ou Azure Machine Learning studio, vous n’avez pas besoin d’obtenir manuellement le jeton Microsoft Entra. Au lieu de cela, pendant la connexion, votre identité utilisateur est déjà authentifiée, et le jeton est automatiquement récupéré et transmis pour vous.

Vous pouvez récupérer le jeton Microsoft Entra pour les opérations de plan de contrôle à partir du point de terminaison de ressource Azure : https://management.azure.com.

Azure CLI

1. connectez-vous à Azure.

   az login
   

2. Si vous souhaitez utiliser une identité spécifique, utilisez le code suivant pour vous connecter avec l’identité :

   az login --identity --username <identityId>
   

3. Utilisez ce contexte pour obtenir le jeton.

   export CONTROL_PLANE_TOKEN=`(az account get-access-token --resource https://management.azure.com --query accessToken | tr -d '"')`
   

REST

À partir d’une machine virtuelle Azure

Vous pouvez acquérir le jeton en fonction de l’identité managée pour une machine virtuelle Azure (lorsque la machine virtuelle permet une identité managée).

1. Pour obtenir le jeton Microsoft Entra (aad_token) pour l’opération de plan de contrôle sur la machine virtuelle Azure, envoyez la demande au point de terminaison IMDS (Azure Instance Metadata Service) pour le point de terminaison de ressource Azure management.azure.com :

   export CONTROL_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
   

   Conseil

   Pour extraire le jeton de la sortie JSON, l’utilitaire jq est utilisé comme exemple. Toutefois, vous pouvez utiliser n’importe quel outil approprié à cet effet.

   Pour plus d’informations sur l’obtention de jetons basés sur des identités managées, consultez Obtenir un jeton à l’aide de HTTP.

À partir d’une instance de calcul

Vous pouvez obtenir le jeton si vous utilisez l’instance de calcul de l’espace de travail Azure Machine Learning. Pour obtenir le jeton, vous devez transmettre l’ID client et la clé secrète client de l’identité managée de l’instance de calcul au point de terminaison MSI (Managed System Identity) configuré localement sur l’instance de calcul. Vous pouvez obtenir le point de terminaison MSI, l’ID client et la clé secrète client à partir des variables d’environnement MSI_ENDPOINT, DEFAULT_IDENTITY_CLIENT_ID et MSI_SECRET, respectivement. Ces variables sont définies automatiquement si vous activez l’identité managée pour l’instance de calcul.

1. Obtenez le jeton du point de terminaison de ressource Azure management.azure.com à partir de l’instance de calcul de l’espace de travail :

   export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
   

Python

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://management.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

Pour plus d’informations, consultez Obtenir un jeton à l’aide de la bibliothèque de client d’identité Azure.

Studio

Le studio n’expose pas le jeton Microsoft Entra.

(Facultatif) Vérifier le point de terminaison de ressource et l’ID client pour le jeton Microsoft Entra

Après avoir récupéré le jeton Microsoft Entra, vous pouvez vérifier que le jeton est destiné au point de terminaison de ressource Azure management.azure.com approprié et à l’ID client approprié en décodant le jeton via jwt.ms, ce qui renvoie une réponse json avec les informations suivantes :

{
    "aud": "https://management.azure.com",
    "oid": "<your-object-id>"
}

Créer un point de terminaison

L’exemple suivant crée le point de terminaison avec une identité affectée par le système (SAI) comme identité de point de terminaison. La SAI est le type d’identité par défaut de l’identité managée pour les points de terminaison. Certains rôles de base sont automatiquement attribués pour la SAI. Pour plus d’informations sur l’attribution de rôle pour une identité affectée par le système, consultez Attribution automatique de rôle pour l’identité de point de terminaison.

Azure CLI

L’interface CLI ne vous oblige pas à fournir explicitement le jeton du plan de contrôle. Au lieu de cela, l’interface CLI vous authentifie pendant la connexion, et le jeton est automatiquement récupéré et transmis pour vous.

1. Créez un fichier YAML de définition de point de terminaison.

   endpoint.yml :

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineEndpoint.schema.json
   name: my-endpoint
   auth_mode: aad_token
   

2. Vous pouvez remplacer auth_mode par key pour l’authentification par clé ou aml_token pour l’authentification par jeton Azure Machine Learning. Dans cet exemple, vous utilisez aad_token pour l’authentification par jeton Microsoft Entra.

   az ml online-endpoint create -f endpoint.yml
   

3. Vérifiez l’état du point de terminaison :

   az ml online-endpoint show -n my-endpoint
   

4. Si vous souhaitez remplacer auth_mode (par exemple, par aad_token) lors de la création d’un point de terminaison, exécutez le code suivant :

   az ml online-endpoint create -n my-endpoint --auth_mode aad_token
   

5. Si vous souhaitez mettre à jour le point de terminaison existant et spécifier auth_mode (par exemple, sur aad_token), exécutez le code suivant :

   az ml online-endpoint update -n my-endpoint --set auth_mode=aad_token
   

REST

L’appel d’API REST vous oblige à fournir explicitement le jeton du plan de contrôle. Utilisez le jeton de plan de contrôle que vous avez récupéré précédemment.

1. Crée ou met à jour un point de terminaison :

   export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
   export RESOURCE_GROUP=<RESOURCE_GROUP>
   export WORKSPACE=<AML_WORKSPACE_NAME>
   export ENDPOINT_NAME=<ENDPOINT_NAME>
   export LOCATION=<LOCATION_NAME>
   export API_VERSION=2023-04-01
   
   response=$(curl --location --request PUT "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
   --header "Content-Type: application/json" \
   --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
   --data-raw "{
       \"identity\": {
          \"type\": \"systemAssigned\"
       },
       \"properties\": {
           \"authMode\": \"AADToken\"
       },
       \"location\": \"$LOCATION\"
   }")
   
   echo $response
   

   Vous pouvez remplacer authMode par key pour l’authentification par clé ou AMLToken pour l’authentification par jeton Azure Machine Learning. Dans cet exemple, vous utilisez AADToken pour l’authentification par jeton Microsoft Entra.

2. Obtenez l’état actuel du point de terminaison en ligne :

   response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
   --header "Content-Type: application/json" \
   --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
   )
   
   echo $response
   

Python

Le kit de développement logiciel (SDK) Python ne vous oblige pas à fournir explicitement le jeton du plan de contrôle. Au lieu de cela, le kit de développement logiciel (SDK) MLClient vous authentifie pendant la connexion, et le jeton est automatiquement récupéré et transmis pour vous.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    ManagedOnlineEndpoint,
    ManagedOnlineDeployment,
    Model,
    Environment,
    CodeConfiguration,
)
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<AML_WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

endpoint = ManagedOnlineEndpoint(
    name="my-endpoint",
    description="this is a sample online endpoint",
    auth_mode="aad_token",
    tags={"foo": "bar"},
)
ml_client.online_endpoints.begin_create_or_update(endpoint).result()

Vous pouvez remplacer auth_mode par key pour l’authentification par clé ou aml_token pour l’authentification par jeton Azure Machine Learning. Dans cet exemple, vous utilisez aad_token pour l’authentification par jeton Microsoft Entra.

Studio

Le studio ne vous oblige pas à fournir explicitement le jeton de plan de contrôle, car le studio vous authentifie déjà lors de la connexion, et le jeton est automatiquement récupéré et transmis pour vous.

Pour plus d’informations sur le déploiement de points de terminaison en ligne, consultez Déployer un modèle ML avec un point de terminaison en ligne (via Studio)

Créer un déploiement

Pour créer un déploiement, consultez Déployer un modèle ML avec un point de terminaison en ligne ou Utiliser REST pour déployer un modèle en tant que point de terminaison en ligne. Il n’existe aucune différence dans la façon dont vous créez des déploiements pour différents modes d’authentification.

Azure CLI

Le code suivant est un exemple de création d’un déploiement. Pour plus d’informations sur le déploiement de points de terminaison en ligne, consultez Déployer un modèle ML avec un point de terminaison en ligne (via l’interface CLI)

1. Créez un fichier YAML de définition de déploiement.

   blue-deployment.yml :

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineDeployment.schema.json
   name: blue
   endpoint_name: my-aad-auth-endp1
   model:
     path: ../../model-1/model/
   code_configuration:
     code: ../../model-1/onlinescoring/
     scoring_script: score.py
   environment: 
     conda_file: ../../model-1/environment/conda.yml
     image: mcr.microsoft.com/azureml/openmpi4.1.0-ubuntu20.04:latest
   instance_type: Standard_DS3_v2
   instance_count: 1
   

2. Créez le déploiement en utilisant le fichier YAML. Pour cet exemple, définissez tout le trafic vers le nouveau déploiement.

   az ml online-deployment create -f blue-deployment.yml --all-traffic
   

REST

Pour plus d’informations sur le déploiement de points de terminaison en ligne à l’aide de REST, consultez Utiliser REST pour déployer un modèle en tant que point de terminaison en ligne.

Python

Pour plus d’informations sur le déploiement de points de terminaison en ligne, consultez Déployer un modèle ML avec un point de terminaison en ligne (via le kit de développement logiciel (SDK))

Studio

Pour plus d’informations sur le déploiement de points de terminaison en ligne, consultez Déployer un modèle ML avec un point de terminaison en ligne (via Studio)

Obtenir l’URI de scoring pour le point de terminaison

Azure CLI

Si vous envisagez d’utiliser l’interface CLI pour appeler le point de terminaison, vous n’êtes pas obligé d’obtenir explicitement l’URI de scoring, car l’interface CLI le gère pour vous. Toutefois, vous pouvez toujours utiliser l’interface CLI pour obtenir l’URI de scoring afin de pouvoir l’utiliser avec d’autres canaux, tels que l’API REST.

scoringUri=$(az ml online-endpoint show -n my-endpoint --query "scoring_uri")

REST

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export API_VERSION=2023-04-01
response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")
scoringUri=$(echo $response | jq -r '.properties' | jq -r '.scoringUri')

echo $response
echo $scoringUri

Python

Si vous envisagez d’utiliser le kit de développement logiciel (SDK) Python pour appeler le point de terminaison, vous n’êtes pas obligé d’obtenir explicitement l’URI de scoring, car le kit de développement logiciel (SDK) le gère pour vous. Toutefois, vous pouvez toujours utiliser le kit de développement logiciel (SDK) pour obtenir l’URI de scoring afin de pouvoir l’utiliser avec d’autres canaux, tels que l’API REST.

scoring_uri = ml_client.online_endpoints.get(name=endpoint_name).scoring_uri

Studio

Si vous envisagez d’utiliser le studio pour appeler le point de terminaison, vous n’êtes pas obligé d’obtenir explicitement l’URI de scoring, car le studio le gère pour vous. Toutefois, vous pouvez toujours utiliser le studio pour obtenir l’URI de scoring afin de pouvoir l’utiliser avec d’autres canaux, tels que l’API REST.

Vous trouverez l’URI de scoring sous l’onglet Détails de la page du point de terminaison.

Obtenir la clé ou le jeton pour les opérations de plan de données

Une clé ou un jeton peut être utilisé pour les opérations de plan de données, même si le processus d’obtention de la clé ou du jeton est une opération de plan de contrôle. En d’autres termes, vous utilisez un jeton de plan de contrôle pour obtenir la clé ou le jeton que vous utilisez ultérieurement pour effectuer vos opérations de plan de données.

L’obtention de la clé ou du jeton Azure Machine Learning nécessite que le rôle approprié soit affecté à l’identité utilisateur qui la demande, comme décrit dans Autorisation pour les opérations du plan de contrôle. L’identité utilisateur n’a pas besoin de rôles supplémentaires pour obtenir le jeton Microsoft Entra.

Azure CLI

Clé ou jeton Azure Machine Learning

Si vous envisagez d’utiliser l’interface CLI pour appeler le point de terminaison et si le point de terminaison est configuré pour utiliser un mode d’authentification par clé ou jeton Azure Machine Learning (aml_token), vous n’êtes pas obligé d’obtenir explicitement le jeton de plan de données, car l’interface CLI le gère pour vous. Toutefois, vous pouvez toujours utiliser l’interface CLI pour obtenir le jeton de plan de données afin de pouvoir l’utiliser avec d’autres canaux, tels que l’API REST.

Pour obtenir la clé ou le jeton Azure Machine Learning (aml_token), utilisez la commande az ml online-endpoint get-credentials. Cette commande retourne un document JSON qui contient la clé ou le jeton Azure Machine Learning.

Les clés sont retournées dans les champs primaryKey et secondaryKey. L’exemple suivant montre comment utiliser le paramètre --query pour retourner uniquement la clé primaire :

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query primaryKey)

Les jetons Azure Machine Learning sont retournés dans le champ accessToken :

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)

Par ailleurs, les champs expiryTimeUtc et refreshAfterTimeUtc contiennent les heures d’expiration et d’actualisation du jeton.

Jeton Microsoft Entra

Pour obtenir le jeton Microsoft Entra (aad_token) à l’aide de l’interface CLI, utilisez la commande az account get-access-token. Cette commande retourne un document JSON qui contient le jeton Microsoft Entra.

Le jeton Microsoft Entra est retourné dans le champ accessToken :

export DATA_PLANE_TOKEN=`(az account get-access-token --resource https://ml.azure.com --query accessToken | tr -d '"')`

Remarque

• L’extension CLI ml ne prend pas en charge l’obtention du jeton Microsoft Entra. Utilisez az account get-access-token à la place, comme décrit dans le code précédent.
• Le jeton pour les opérations de plan de données est récupéré à partir du point de terminaison de ressource Azure ml.azure.com au lieu de management.azure.com, contrairement au jeton pour les opérations de plan de contrôle.

REST

Clé ou jeton Azure Machine Learning

Pour obtenir la clé ou le jeton Azure Machine Learning (aml_token) :

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/token?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.accessToken')

Jeton Microsoft Entra

À partir d’une machine virtuelle Azure

Vous pouvez acquérir le jeton en fonction des identités managées d’une machine virtuelle Azure (lorsque la machine virtuelle permet une identité managée).

1. Pour obtenir le jeton Microsoft Entra (aad_token) pour l’opération de plan de données sur la machine virtuelle Azure avec une identité managée, envoyez la demande au point de terminaison IMDS (Azure Instance Metadata Service) pour le point de terminaison de ressource Azure ml.azure.com :

   export DATA_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
   

   Conseil

   Pour extraire le jeton de la sortie JSON, l’utilitaire jq est utilisé comme exemple. Toutefois, vous pouvez utiliser n’importe quel outil approprié à cet effet.

   Pour plus d’informations sur l’obtention de jetons basés sur des identités managées, consultez Obtenir un jeton à l’aide de HTTP.

À partir d’une instance de calcul

Vous pouvez obtenir le jeton si vous utilisez l’instance de calcul de l’espace de travail Azure Machine Learning. Pour obtenir le jeton, vous devez transmettre l’ID client et la clé secrète client de l’identité managée de l’instance de calcul au point de terminaison MSI (Managed System Identity) configuré localement sur l’instance de calcul. Vous pouvez obtenir le point de terminaison MSI, l’ID client et la clé secrète client à partir des variables d’environnement MSI_ENDPOINT, DEFAULT_IDENTITY_CLIENT_ID et MSI_SECRET, respectivement. Ces variables sont définies automatiquement si vous activez l’identité managée pour l’instance de calcul.

1. Obtenez le jeton du point de terminaison de ressource Azure ml.azure.com à partir de l’instance de calcul de l’espace de travail :

   export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
   

Python

Clé ou jeton Azure Machine Learning

Si vous envisagez d’utiliser le kit de développement logiciel (SDK) Python pour appeler le point de terminaison, et si le point de terminaison est défini pour utiliser un mode d’authentification par clé ou par jeton Azure Machine Learning (aml_token), vous n’êtes pas obligé d’obtenir explicitement le jeton de plan de données, car le kit de développement logiciel (SDK) le gère pour vous. Toutefois, vous pouvez toujours utiliser le kit de développement logiciel (SDK) pour obtenir le jeton de plan de données afin de pouvoir l’utiliser avec d’autres canaux, tels que l’API REST.

Pour obtenir la clé ou le jeton Azure Machine Learning (aml_token), utilisez la méthode get_keys dans la classe OnlineEndpointOperations.

Les clés sont retournées dans les champs primary_key et secondary_key :

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).primary_key

Les jetons Azure Machine Learning sont retournés dans le champ accessToken :

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token

Par ailleurs, les champs expiry_time_utc et refresh_after_time_utc contiennent les heures d’expiration et d’actualisation du jeton.

Par exemple, pour obtenir expiry_time_utc:

print(ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc)

Jeton Microsoft Entra

Pour obtenir le jeton Microsoft Entra (aad_token) à l’aide du kit de développement logiciel (SDK), utilisez la bibliothèque de client d’identité Azure :

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://ml.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

Pour plus d’informations, consultez Obtenir un jeton à l’aide de la bibliothèque de client d’identité Azure.

Studio

Clé ou jeton Azure Machine Learning

Vous trouverez la clé ou le jeton sous l’onglet Consommer de la page du point de terminaison.

Jeton Microsoft Entra

Le jeton Microsoft Entra n’est pas exposé dans le studio.

Vérifier le point de terminaison de ressource et l’ID client du jeton Microsoft Entra

Après avoir obtenu le jeton Entra, vous pouvez vérifier que le jeton est destiné au point de terminaison de ressource Azure ml.azure.com approprié et à l’ID client approprié en décodant le jeton via jwt.ms, qui retourne une réponse json avec les informations suivantes :

{
    "aud": "https://ml.azure.com",
    "oid": "<your-object-id>"
}

Scorer les données en utilisant la clé ou le jeton

Azure CLI

Clé ou jeton Azure Machine Learning

Vous pouvez utiliser az ml online-endpoint invoke pour les points de terminaison avec une clé ou un jeton Azure Machine Learning. L’interface CLI gère automatiquement la clé ou le jeton Azure Machine Learning. Vous n’avez donc pas besoin de le transmettre explicitement.

az ml online-endpoint invoke -n my-endpoint -r request.json

Jeton Microsoft Entra

L’utilisation de az ml online-endpoint invoke pour les points de terminaison avec un jeton Microsoft Entra n’est pas prise en charge. Utilisez plutôt l’API REST et utilisez l’URI de scoring du point de terminaison pour appeler le point de terminaison.

REST

Lors de l’appel du point de terminaison en ligne pour le scoring, passez la clé, le jeton Azure Machine Learning ou le jeton Microsoft Entra dans l’en-tête d’autorisation. Le code suivant montre comment utiliser l’utilitaire curl pour appeler le point de terminaison en ligne avec une clé ou un jeton :

curl --request POST "$scoringUri" --header "Authorization: Bearer $DATA_PLANE_TOKEN" --header 'Content-Type: application/json' --data @endpoints/online/model-1/sample-request.json

Python

Clé ou jeton Azure Machine Learning

L’utilisation du kit de développement logiciel (SDK) Azure Machine Learning avec ml_client.online_endpoints.invoke() est prise en charge pour la clé ou le jeton Azure Machine Learning. Outre l’utilisation du kit de développement logiciel (SDK) Azure Machine Learning, vous pouvez également utiliser un kit de développement logiciel (SDK) Python générique pour envoyer la requête POST à l’URI de scoring.

Jeton Microsoft Entra

L’utilisation du kit de développement logiciel (SDK) Azure Machine Learning avec ml_client.online_endpoints.invoke() n’est pas prise en charge pour le jeton Microsoft Entra. Utilisez plutôt un kit de développement logiciel (SDK) Python générique ou utilisez l’API REST pour envoyer la requête POST à l’URI de scoring.

Quand vous appelez le point de terminaison en ligne pour le scoring, passez la clé ou le jeton dans l’en-tête d’autorisation. Le code suivant montre comment appeler le point de terminaison en ligne à l’aide d’une clé ou d’un jeton avec un kit de développement logiciel (SDK) Python générique. Dans le code, remplacez la variable api_key par votre clé ou votre jeton.

import urllib.request
import json
import os

data = {"data": [
    [1,2,3,4,5,6,7,8,9,10], 
    [10,9,8,7,6,5,4,3,2,1]
]}

body = str.encode(json.dumps(data))

url = '<scoring URI as retrieved earlier>'
api_key = '<key or token as retrieved earlier>'
headers = {'Content-Type':'application/json', 'Authorization':('Bearer '+ api_key)}

req = urllib.request.Request(url, body, headers)

try:
    response = urllib.request.urlopen(req)

    result = response.read()
    print(result)
except urllib.error.HTTPError as error:
    print("The request failed with status code: " + str(error.code))

    # Print the headers - they include the requert ID and the timestamp, which are useful for debugging the failure
    print(error.info())
    print(error.read().decode("utf8", 'ignore'))

Studio

Clé ou jeton Azure Machine Learning

L’onglet Test de la page de détails du déploiement prend en charge le scoring pour les points de terminaison avec l’authentification par clé ou par jeton Azure Machine Learning.

Jeton Microsoft Entra

L’onglet Test de la page de détails du déploiement ne prend pas en charge le scoring pour les points de terminaison avec l’authentification par jeton Microsoft Entra.

Journaliser et surveiller le trafic

Pour activer la journalisation du trafic dans les paramètres de diagnostic du point de terminaison, suivez les étapes décrites dans Comment activer/désactiver les journaux.

Si le paramètre de diagnostic est activé, vous pouvez vérifier la table AmlOnlineEndpointTrafficLogs pour afficher le mode d’authentification et l’identité utilisateur.

Contenu connexe

• Authentification pour les points de terminaison en ligne managés
• Déployer un modèle Machine Learning en utilisant un point de terminaison en ligne
• Activer l’isolement réseau pour les points de terminaison en ligne managés