Megosztás a következőn keresztül:


Engedélyezés kötegelt végpontokon

A Batch-végpontok támogatják a Microsoft Entra-hitelesítést vagy aad_tokena . Ez azt jelenti, hogy egy kötegelt végpont meghívásához a felhasználónak érvényes Microsoft Entra hitelesítési tokent kell bemutatnia a kötegelt végpont URI-jának. Az engedélyezés a végpont szintjén van kényszerítve. Az alábbi cikk bemutatja, hogyan használhatja helyesen a kötegelt végpontokat és annak biztonsági követelményeit.

Az engedélyezés működése

Batch-végpont meghívásához a felhasználónak egy érvényes Microsoft Entra-jogkivonatot kell bemutatnia, amely egy biztonsági tagot jelöl. Ez a rendszernév lehet egyszerű felhasználó vagy szolgáltatásnév. Mindenesetre a végpont meghívása után létrejön egy kötegtelepítési feladat a jogkivonathoz társított identitás alatt. Az identitásnak a következő engedélyekre van szüksége a feladat sikeres létrehozásához:

  • Kötegelt végpontok/üzembe helyezések olvasása.
  • Feladatok létrehozása kötegelt következtetési végpontokban/üzembe helyezésben.
  • Kísérletek/futtatások létrehozása.
  • Olvasás és írás adattárakból vagy adattárakba.
  • Az adattár titkos kulcsokat sorolja fel.

Az RBAC-engedélyek részletes listájáért tekintse meg az RBAC konfigurálása kötegelt végponti meghíváshoz című témakört.

Fontos

Előfordulhat, hogy a kötegvégpont meghívásához használt identitás nem használható a mögöttes adatok olvasására attól függően, hogy az adattár hogyan van konfigurálva. További részletekért lásd : Számítási fürtök konfigurálása adathozzáféréshez .

Feladatok futtatása különböző típusú hitelesítő adatokkal

Az alábbi példák különböző módszereket mutatnak be a kötegelt üzembehelyezési feladatok különböző hitelesítő adatokkal való elindítására:

Fontos

Ha privát kapcsolatokkal kompatibilis munkaterületeken dolgozik, a kötegvégpontok nem hívhatók meg a felhasználói felületről az Azure Machine Learning Studióban. A feladatlétrehozáshoz használja inkább az Azure Machine Learning CLI v2-t.

Előfeltételek

Feladatok futtatása a felhasználó hitelesítő adataival

Ebben az esetben egy kötegelt végpontot szeretnénk végrehajtani az aktuálisan bejelentkezett felhasználó identitásával. Tegye a következők egyikét:

  1. Az Azure CLI használatával interaktív vagy eszközkód-hitelesítéssel jelentkezhet be:

    az login
    
  2. A hitelesítés után a következő paranccsal futtathat egy kötegelt üzembe helyezési feladatot:

    az ml batch-endpoint invoke --name $ENDPOINT_NAME \
                                --input https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci
    

Feladatok futtatása szolgáltatásnévvel

Ebben az esetben egy kötegvégpontot szeretnénk végrehajtani a Microsoft Entra ID azonosítójában már létrehozott szolgáltatásnév használatával. A hitelesítés befejezéséhez létre kell hoznia egy titkos kulcsot a hitelesítés végrehajtásához. Tegye a következők egyikét:

  1. Hozzon létre egy titkos kulcsot a hitelesítéshez a 3. lehetőség leírása szerint : Új ügyfélkód létrehozása.

  2. A szolgáltatásnévvel történő hitelesítéshez használja az alábbi parancsot. További részletekért lásd: Bejelentkezés az Azure CLI-vel.

    az login --service-principal \
             --tenant <tenant> \
             -u <app-id> \
             -p <password-or-cert> 
    
  3. A hitelesítés után a következő paranccsal futtathat egy kötegelt üzembe helyezési feladatot:

    az ml batch-endpoint invoke --name $ENDPOINT_NAME \
                                --input https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci/
    

Feladatok futtatása felügyelt identitással

Felügyelt identitásokkal hívhatja meg a kötegelt végpontokat és az üzembe helyezéseket. Figyelje meg, hogy ez a kezelési identitás nem a kötegvégponthoz tartozik, hanem a végpont végrehajtásához és így egy kötegfeladat létrehozásához használt identitás. Ebben a forgatókönyvben a felhasználó által hozzárendelt és a rendszer által hozzárendelt identitások egyaránt használhatók.

Az Azure-erőforrások felügyelt identitásaihoz konfigurált erőforrásokon bejelentkezhet a felügyelt identitással. Az erőforrás identitásával való bejelentkezés az --identity jelzőn keresztül történik. További részletekért lásd : Bejelentkezés az Azure CLI-vel.

az login --identity

A hitelesítés után a következő paranccsal futtathat egy kötegelt üzembe helyezési feladatot:

az ml batch-endpoint invoke --name $ENDPOINT_NAME \
                            --input https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci

RBAC konfigurálása Batch-végpontok meghívásához

A Batch Endpoints olyan tartós API-felhasználókat tesz elérhetővé, a segítségével feladatokat hozhatnak létre. A meghívó megfelelő engedélyt kér a feladatok létrehozásához. Használhatja az egyik beépített biztonsági szerepkört , vagy létrehozhat egy egyéni szerepkört erre a célra.

A kötegelt végpont sikeres meghívásához a végpontok meghívásához használt identitáshoz megadott alábbi explicit műveletekre van szükség. Az Azure-szerepkörök hozzárendelésének lépéseit követve útmutatást talál a szerepkörök hozzárendeléséhez.

"actions": [
    "Microsoft.MachineLearningServices/workspaces/read",
    "Microsoft.MachineLearningServices/workspaces/data/versions/write",
    "Microsoft.MachineLearningServices/workspaces/datasets/registered/read",
    "Microsoft.MachineLearningServices/workspaces/datasets/registered/write",
    "Microsoft.MachineLearningServices/workspaces/datasets/unregistered/read",
    "Microsoft.MachineLearningServices/workspaces/datasets/unregistered/write",
    "Microsoft.MachineLearningServices/workspaces/datastores/read",
    "Microsoft.MachineLearningServices/workspaces/datastores/write",
    "Microsoft.MachineLearningServices/workspaces/datastores/listsecrets/action",
    "Microsoft.MachineLearningServices/workspaces/listStorageAccountKeys/action",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/read",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/write",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/deployments/read",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/deployments/write",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/deployments/jobs/write",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/jobs/write",
    "Microsoft.MachineLearningServices/workspaces/computes/read",
    "Microsoft.MachineLearningServices/workspaces/computes/listKeys/action",
    "Microsoft.MachineLearningServices/workspaces/metadata/secrets/read",
    "Microsoft.MachineLearningServices/workspaces/metadata/snapshots/read",
    "Microsoft.MachineLearningServices/workspaces/metadata/artifacts/read",
    "Microsoft.MachineLearningServices/workspaces/metadata/artifacts/write",
    "Microsoft.MachineLearningServices/workspaces/experiments/read",
    "Microsoft.MachineLearningServices/workspaces/experiments/runs/submit/action",
    "Microsoft.MachineLearningServices/workspaces/experiments/runs/read",
    "Microsoft.MachineLearningServices/workspaces/experiments/runs/write",
    "Microsoft.MachineLearningServices/workspaces/metrics/resource/write",
    "Microsoft.MachineLearningServices/workspaces/modules/read",
    "Microsoft.MachineLearningServices/workspaces/models/read",
    "Microsoft.MachineLearningServices/workspaces/endpoints/pipelines/read",
    "Microsoft.MachineLearningServices/workspaces/endpoints/pipelines/write",
    "Microsoft.MachineLearningServices/workspaces/environments/read",
    "Microsoft.MachineLearningServices/workspaces/environments/write",
    "Microsoft.MachineLearningServices/workspaces/environments/build/action",
    "Microsoft.MachineLearningServices/workspaces/environments/readSecrets/action"
]

Számítási fürtök konfigurálása adathozzáféréshez

A Batch-végpontok biztosítják, hogy csak a jogosult felhasználók tudják meghívni a batch-telepítéseket, és feladatokat generáljanak. A bemeneti adatok konfigurálásának módjától függően azonban más hitelesítő adatok is használhatók a mögöttes adatok olvasásához. A következő táblázatból megtudhatja, hogy mely hitelesítő adatokat használja:

Adatbevitel típusa Hitelesítő adatok a tárolóban Használt hitelesítő adatok Hozzáférés a következő által:
Adattár Igen Az adattár hitelesítő adatai a munkaterületen Hozzáférési kulcs vagy SAS
Adategység Igen Az adattár hitelesítő adatai a munkaterületen Hozzáférési kulcs vagy SAS
Adattár Nem A feladat identitása + a számítási fürt felügyelt identitása RBAC
Adategység Nem A feladat identitása + a számítási fürt felügyelt identitása RBAC
Azure Blob Storage Nem alkalmazható A feladat identitása + a számítási fürt felügyelt identitása RBAC
Azure Data Lake Storage Gen1 Nem alkalmazható A feladat identitása + a számítási fürt felügyelt identitása POSIX
Azure Data Lake Storage Gen2 Nem alkalmazható A feladat identitása + a számítási fürt felügyelt identitása POSIX és RBAC

A tábla azon elemeinél, ahol a feladat identitása + a számítási fürt felügyelt identitása jelenik meg, a számítási fürt felügyelt identitása a tárfiókok csatlakoztatására és konfigurálására szolgál. A feladat identitása azonban továbbra is a mögöttes adatok olvasására szolgál, így részletes hozzáférés-vezérlés érhető el. Ez azt jelenti, hogy az adatok tárolóból való sikeres beolvasásához annak a számítási fürtnek a felügyelt identitásának, amelyen az üzembe helyezés fut, legalább Storage Blob Data Reader hozzáféréssel kell rendelkeznie a tárfiókhoz.

A számítási fürt adathozzáféréshez való konfigurálásához kövesse az alábbi lépéseket:

  1. Nyissa meg az Azure Machine Learning Studiót.

  2. Lépjen a Compute, majd a Compute-fürtök elemre.

  3. Válassza ki azt a számítási fürtöt, amelyet az üzembe helyezés használ. Ez a művelet megnyitja a számítási fürt Részletek lapját.

  4. Felügyelt identitás hozzárendelése a számítási fürthöz:

    1. Lépjen a Felügyelt identitás szakaszra az oldalon, és ellenőrizze, hogy a számítógéphez hozzá van-e rendelve felügyelt identitás. Ha nem, válassza a ceruza ikont a felügyelt identitás szerkesztéséhez.

    2. Válassza ki a felügyelt identitás hozzárendelése melletti csúszkát, hogy szükség szerint engedélyezze és konfigurálja azt. Használhat rendszer által hozzárendelt felügyelt identitást vagy felhasználó által hozzárendelt felügyelt identitást. Ha rendszer által hozzárendelt felügyelt identitást használ, a neve "[munkaterület neve]/computes/[számítási fürt neve]".

    3. Mentse el a módosításokat.

  5. Lépjen az Azure Portalra , és keresse meg azt a tárfiókot, ahol az adatok találhatók. Ha az adatbevitel adategység vagy adattár, keresse meg azt a tárfiókot, ahol az eszközök találhatók.

  6. Storage Blob Data Reader hozzáférési szint hozzárendelése a tárfiókban:

    1. Lépjen a Hozzáférés-vezérlés (IAM) szakaszra.

    2. Jelölje ki a lap szerepkör-hozzárendelését, majd kattintson a Szerepkör-hozzárendelés hozzáadása>elemre.

    3. Keresse meg a Storage Blob Data Reader nevű szerepkört, jelölje ki, majd kattintson a Tovább gombra.

    4. Kattintson a Tagok kijelölése elemre.

    5. Keresse meg a létrehozott felügyelt identitást. Ha rendszer által hozzárendelt felügyelt identitást használ, a neve "[munkaterület neve]/computes/[számítási fürt neve]".

    6. Adja hozzá a fiókot, és fejezze be a varázslót.

  7. A végpont készen áll a feladatok és a bemeneti adatok fogadására a kiválasztott tárfiókból.

Következő lépések