Engedélyezés kötegelt végpontokon

A Batch-végpontok támogatják a Microsoft Entra-hitelesítést vagy aad_tokena . Ez azt jelenti, hogy egy kötegelt végpont meghívásához a felhasználónak érvényes Microsoft Entra hitelesítési tokent kell bemutatnia a kötegelt végpont URI-jának. Az engedélyezés a végpont szintjén van kényszerítve. Az alábbi cikk bemutatja, hogyan használhatja helyesen a kötegelt végpontokat és annak biztonsági követelményeit.

Az engedélyezés működése

Batch-végpont meghívásához a felhasználónak egy érvényes Microsoft Entra-jogkivonatot kell bemutatnia, amely egy biztonsági tagot jelöl. Ez a rendszernév lehet egyszerű felhasználó vagy szolgáltatásnév. Mindenesetre a végpont meghívása után létrejön egy kötegtelepítési feladat a jogkivonathoz társított identitás alatt. Az identitásnak a következő engedélyekre van szüksége a feladat sikeres létrehozásához:

• Kötegelt végpontok/üzembe helyezések olvasása.
• Feladatok létrehozása kötegelt következtetési végpontokban/üzembe helyezésben.
• Kísérletek/futtatások létrehozása.
• Olvasás és írás adattárakból vagy adattárakba.
• Az adattár titkos kulcsokat sorolja fel.

Az RBAC-engedélyek részletes listájáért tekintse meg az RBAC konfigurálása kötegelt végponti meghíváshoz című témakört.

Fontos

Előfordulhat, hogy a kötegvégpont meghívásához használt identitás nem használható a mögöttes adatok olvasására attól függően, hogy az adattár hogyan van konfigurálva. További részletekért lásd : Számítási fürtök konfigurálása adathozzáféréshez .

Feladatok futtatása különböző típusú hitelesítő adatokkal

Az alábbi példák különböző módszereket mutatnak be a kötegelt üzembehelyezési feladatok különböző hitelesítő adatokkal való elindítására:

Fontos

Privát kapcsolatokkal kompatibilis munkaterületeken végzett munka során a kötegvégpontok nem hívhatók meg a felhasználói felületről az Azure Machine Tanulás Studióban. A feladatlétrehozáshoz használja az Azure Machine Tanulás CLI 2-t.

Előfeltételek

• Ez a példa feltételezi, hogy a modell megfelelően van üzembe helyezve kötegelt végpontként. Különösen az oktatóanyagban létrehozott szívállapot-osztályozót használjuk az MLflow-modellek kötegelt üzembe helyezések során.

Feladatok futtatása a felhasználó hitelesítő adataival

Ebben az esetben egy kötegelt végpontot szeretnénk végrehajtani az aktuálisan bejelentkezett felhasználó identitásával. Tegye a következők egyikét:

Azure CLI

1. Az Azure CLI használatával interaktív vagy eszközkód-hitelesítéssel jelentkezhet be:

   az login
   

2. A hitelesítés után a következő paranccsal futtathat egy kötegelt üzembe helyezési feladatot:

   az ml batch-endpoint invoke --name $ENDPOINT_NAME \
                               --input https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci
   

Python

1. A Pythonhoz készült Azure Machine Tanulás SDK használatával jelentkezzen be interaktív vagy eszközhitelesítéssel:

   from azure.ai.ml import MLClient
   from azure.identity import InteractiveAzureCredentials
   
   subscription_id = "<subscription>"
   resource_group = "<resource-group>"
   workspace = "<workspace>"
   
   ml_client = MLClient(InteractiveAzureCredentials(), subscription_id, resource_group, workspace)
   

2. A hitelesítés után a következő paranccsal futtathat egy kötegelt üzembe helyezési feladatot:

   job = ml_client.batch_endpoints.invoke(
           endpoint_name,
           input=Input(path="https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci")
       )
   

REST

A REST használatakor azt javasoljuk, hogy a kötegvégpontokat szolgáltatásnévvel invesztálódjon. Ha azonban saját hitelesítő adataival szeretné tesztelni egy adott üzemelő példányt a REST használatával, akkor ezt úgy teheti meg, hogy létrehoz egy Microsoft Entra-jogkivonatot a fiókjához. Tegye a következők egyikét:

1. A legegyszerűbben úgy szerezhet be érvényes jogkivonatot a felhasználói fiókjához, ha az Azure CLI-t használja. Egy konzolon futtassa a következő parancsot:

   az account get-access-token --resource https://ml.azure.com \
                               --query "accessToken" \
                               --output tsv
   

2. Jegyezze fel a létrehozott kimenetet.

3. A hitelesítés után küldjön egy kérést a hívási URI-nak a korábban beszerzett helyére <TOKEN> .

   Kérelem:

   POST jobs HTTP/1.1
   Host: <ENDPOINT_URI>
   Authorization: Bearer <TOKEN>
   Content-Type: application/json
   

   Törzs:

   {
       "properties": {
           "InputData": {
               "mnistinput": {
                   "JobInputType" : "UriFolder",
                   "Uri":  "https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci"
               }
           }
       }
   }
   

Feladatok futtatása szolgáltatásnévvel

Ebben az esetben egy kötegvégpontot szeretnénk végrehajtani a Microsoft Entra ID azonosítójában már létrehozott szolgáltatásnév használatával. A hitelesítés befejezéséhez létre kell hoznia egy titkos kulcsot a hitelesítés végrehajtásához. Tegye a következők egyikét:

Azure CLI

1. Hozzon létre egy titkos kulcsot a hitelesítéshez a 3. lehetőség leírása szerint : Új ügyfélkód létrehozása.

2. A szolgáltatásnévvel történő hitelesítéshez használja az alábbi parancsot. További részletekért lásd: Bejelentkezés az Azure CLI-vel.

   az login --service-principal \
            --tenant <tenant> \
            -u <app-id> \
            -p <password-or-cert> 
   

3. A hitelesítés után a következő paranccsal futtathat egy kötegelt üzembe helyezési feladatot:

   az ml batch-endpoint invoke --name $ENDPOINT_NAME \
                               --input https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci/
   

Python

1. Hozzon létre egy titkos kulcsot a hitelesítéshez a 3. lehetőség leírása szerint : Új ügyfélkód létrehozása.

2. A szolgáltatásnévvel történő hitelesítéshez adja meg a szolgáltatásnév bérlőazonosítóját, ügyfél-azonosítóját és titkos ügyfélkulcsát a bemutatott környezeti változók használatával:

   from azure.ai.ml import MLClient
   from azure.identity import EnvironmentCredential
   
   os.environ["AZURE_TENANT_ID"] = "<TENANT_ID>"
   os.environ["AZURE_CLIENT_ID"] = "<CLIENT_ID>"
   os.environ["AZURE_CLIENT_SECRET"] = "<CLIENT_SECRET>"
   
   subscription_id = "<subscription>"
   resource_group = "<resource-group>"
   workspace = "<workspace>"
   
   ml_client = MLClient(EnvironmentCredential(), subscription_id, resource_group, workspace)
   

3. A hitelesítés után a következő paranccsal futtathat egy kötegelt üzembe helyezési feladatot:

   job = ml_client.batch_endpoints.invoke(
           endpoint_name,
           input=Input(path="https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci")
       )
   

REST

1. Hozzon létre egy titkos kulcsot a hitelesítéshez a 3. lehetőség leírása szerint : Új ügyfélkód létrehozása.

2. Az Azure-ból származó bejelentkezési szolgáltatás használatával szerezze be az engedélyezési jogkivonatot. Az engedélyezési jogkivonatok egy adott hatókörbe kerülnek kibocsátva. Az Azure Machine Tanulás erőforrástípusa.https://ml.azure.com A kérés a következőképpen nézne ki:

   Kérelem:

   POST /{TENANT_ID}/oauth2/token HTTP/1.1
   Host: login.microsoftonline.com
   

   Törzs:

   grant_type=client_credentials&client_id=<CLIENT_ID>&client_secret=<CLIENT_SECRET>&resource=https://ml.azure.com
   

   Fontos

   Figyelje meg, hogy a kötegvégpontok (https://ml.azure.com) meghívásának erőforrás-hatóköre eltér a kezelésükhöz használt erőforrás-hatókörtől. Az Azure összes felügyeleti API-ja az erőforrás hatókörét https://management.azure.comhasználja, beleértve az Azure Machine Tanulás is.

3. A hitelesítés után a lekérdezéssel futtathat egy kötegelt üzembe helyezési feladatot:

   Kérelem:

   POST jobs HTTP/1.1
   Host: <ENDPOINT_URI>
   Authorization: Bearer <TOKEN>
   Content-Type: application/json
   

   Törzs:

   {
       "properties": {
           "InputData": {
               "mnistinput": {
                   "JobInputType" : "UriFolder",
                   "Uri":  "https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci"
               }
           }
       }
   }
   

Feladatok futtatása felügyelt identitással

Felügyelt identitásokkal hívhatja meg a kötegelt végpontokat és az üzembe helyezéseket. Figyelje meg, hogy ez a kezelési identitás nem a kötegvégponthoz tartozik, hanem a végpont végrehajtásához és így egy kötegfeladat létrehozásához használt identitás. Ebben a forgatókönyvben a felhasználó által hozzárendelt és a rendszer által hozzárendelt identitások egyaránt használhatók.

Azure CLI

Az Azure-erőforrások felügyelt identitásaihoz konfigurált erőforrásokon bejelentkezhet a felügyelt identitással. Az erőforrás identitásával való bejelentkezés az --identity jelzőn keresztül történik. További részletekért lásd : Bejelentkezés az Azure CLI-vel.

az login --identity

A hitelesítés után a következő paranccsal futtathat egy kötegelt üzembe helyezési feladatot:

az ml batch-endpoint invoke --name $ENDPOINT_NAME \
                            --input https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci

Python

Az Azure-erőforrások felügyelt identitásaihoz konfigurált erőforrásokon bejelentkezhet a felügyelt identitással. Használja az erőforrás-azonosítót és az ManagedIdentityCredential objektumot az alábbi példában bemutatott módon:

from azure.ai.ml import MLClient
from azure.identity import ManagedIdentityCredential

subscription_id = "<subscription>"
resource_group = "<resource-group>"
workspace = "<workspace>"
resource_id = "<resource-id>"

ml_client = MLClient(ManagedIdentityCredential(resource_id), subscription_id, resource_group, workspace)

A hitelesítés után a következő paranccsal futtathat egy kötegelt üzembe helyezési feladatot:

job = ml_client.batch_endpoints.invoke(
        endpoint_name,
        input=Input(path="https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci")
    )

REST

Az Azure Machine Tanulás REST API-ját használhatja kötegelt végpontok feladatának elindításához egy felügyelt identitás használatával. A lépések a használt mögöttes szolgáltatástól függően változnak. Néhány példa például a következőkre terjed ki (de nem kizárólagosan):

• Felügyelt identitás az Azure Data Factoryhez
• Felügyelt identitások használata az App Service-hez és az Azure Functionshez.
• Felügyelt identitások használata Azure-erőforrásokhoz azure-beli virtuális gépen hozzáférési jogkivonat beszerzéséhez.

Az Azure CLI használatával is lekérhet egy hitelesítési jogkivonatot a felügyelt identitáshoz, és továbbíthatja azt a kötegvégpontok URI-jának.

RBAC konfigurálása Batch-végpontok meghívásához

A Batch Endpoints olyan tartós API-felhasználókat tesz elérhetővé, a segítségével feladatokat hozhatnak létre. A meghívó megfelelő engedélyt kér a feladatok létrehozásához. Használhatja az egyik beépített biztonsági szerepkört , vagy létrehozhat egy egyéni szerepkört erre a célra.

A kötegelt végpont sikeres meghívásához a végpontok meghívásához használt identitáshoz megadott alábbi explicit műveletekre van szükség. Az Azure-szerepkörök hozzárendelésének lépéseit követve útmutatást talál a szerepkörök hozzárendeléséhez.

"actions": [
    "Microsoft.MachineLearningServices/workspaces/read",
    "Microsoft.MachineLearningServices/workspaces/data/versions/write",
    "Microsoft.MachineLearningServices/workspaces/datasets/registered/read",
    "Microsoft.MachineLearningServices/workspaces/datasets/registered/write",
    "Microsoft.MachineLearningServices/workspaces/datasets/unregistered/read",
    "Microsoft.MachineLearningServices/workspaces/datasets/unregistered/write",
    "Microsoft.MachineLearningServices/workspaces/datastores/read",
    "Microsoft.MachineLearningServices/workspaces/datastores/write",
    "Microsoft.MachineLearningServices/workspaces/datastores/listsecrets/action",
    "Microsoft.MachineLearningServices/workspaces/listStorageAccountKeys/action",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/read",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/write",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/deployments/read",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/deployments/write",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/deployments/jobs/write",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/jobs/write",
    "Microsoft.MachineLearningServices/workspaces/computes/read",
    "Microsoft.MachineLearningServices/workspaces/computes/listKeys/action",
    "Microsoft.MachineLearningServices/workspaces/metadata/secrets/read",
    "Microsoft.MachineLearningServices/workspaces/metadata/snapshots/read",
    "Microsoft.MachineLearningServices/workspaces/metadata/artifacts/read",
    "Microsoft.MachineLearningServices/workspaces/metadata/artifacts/write",
    "Microsoft.MachineLearningServices/workspaces/experiments/read",
    "Microsoft.MachineLearningServices/workspaces/experiments/runs/submit/action",
    "Microsoft.MachineLearningServices/workspaces/experiments/runs/read",
    "Microsoft.MachineLearningServices/workspaces/experiments/runs/write",
    "Microsoft.MachineLearningServices/workspaces/metrics/resource/write",
    "Microsoft.MachineLearningServices/workspaces/modules/read",
    "Microsoft.MachineLearningServices/workspaces/models/read",
    "Microsoft.MachineLearningServices/workspaces/endpoints/pipelines/read",
    "Microsoft.MachineLearningServices/workspaces/endpoints/pipelines/write",
    "Microsoft.MachineLearningServices/workspaces/environments/read",
    "Microsoft.MachineLearningServices/workspaces/environments/write",
    "Microsoft.MachineLearningServices/workspaces/environments/build/action",
    "Microsoft.MachineLearningServices/workspaces/environments/readSecrets/action"
]

Számítási fürtök konfigurálása adathozzáféréshez

A Batch-végpontok biztosítják, hogy csak a jogosult felhasználók tudják meghívni a batch-telepítéseket, és feladatokat generáljanak. A bemeneti adatok konfigurálásának módjától függően azonban más hitelesítő adatok is használhatók a mögöttes adatok olvasásához. A következő táblázatból megtudhatja, hogy mely hitelesítő adatokat használja:

Adatbevitel típusa	Hitelesítő adatok a tárolóban	Használt hitelesítő adatok	Hozzáférés a következő által:
Adattár	Igen	Az adattár hitelesítő adatai a munkaterületen	Hozzáférési kulcs vagy SAS
Adategység	Igen	Az adattár hitelesítő adatai a munkaterületen	Hozzáférési kulcs vagy SAS
Adattár	Nem	A feladat identitása + a számítási fürt felügyelt identitása	RBAC
Adategység	Nem	A feladat identitása + a számítási fürt felügyelt identitása	RBAC
Azure Blob Storage	Nem alkalmazható	A feladat identitása + a számítási fürt felügyelt identitása	RBAC
1. generációs Azure Data Lake Storage	Nem alkalmazható	A feladat identitása + a számítási fürt felügyelt identitása	POSIX
Azure Data Lake Storage Gen2	Nem alkalmazható	A feladat identitása + a számítási fürt felügyelt identitása	POSIX és RBAC

A tábla azon elemeinél, ahol a feladat identitása + a számítási fürt felügyelt identitása jelenik meg, a számítási fürt felügyelt identitása a tárfiókok csatlakoztatására és konfigurálására szolgál. A feladat identitása azonban továbbra is a mögöttes adatok olvasására szolgál, így részletes hozzáférés-vezérlés érhető el. Ez azt jelenti, hogy az adatok tárolóból való sikeres beolvasásához annak a számítási fürtnek a felügyelt identitásának, amelyen az üzembe helyezés fut, legalább Storage Blob Data Reader hozzáféréssel kell rendelkeznie a tárfiókhoz.

A számítási fürt adathozzáféréshez való konfigurálásához kövesse az alábbi lépéseket:

1. Nyissa meg az Azure Machine Tanulás Studiót.

2. Lépjen a Compute, majd a Számítási fürtök elemre, és válassza ki azt a számítási fürtöt, amelyet az üzembe helyezés használ.

3. Felügyelt identitás hozzárendelése a számítási fürthöz:

   1. A Felügyelt identitás szakaszban ellenőrizze, hogy a számításhoz hozzárendelt-e felügyelt identitást. Ha nem, válassza a Szerkesztés lehetőséget.

   2. Válassza a Felügyelt identitás hozzárendelése lehetőséget, és szükség szerint konfigurálja azt. Használhat rendszer által hozzárendelt felügyelt identitást vagy felhasználó által hozzárendelt felügyelt identitást. Ha rendszer által hozzárendelt felügyelt identitást használ, a neve "[munkaterület neve]/computes/[számítási fürt neve]".

   3. Mentse el a módosításokat.

   

4. Lépjen az Azure Portalra , és keresse meg azt a tárfiókot, ahol az adatok találhatók. Ha az adatbevitel adategység vagy adattár, keresse meg azt a tárfiókot, ahol az eszközök találhatók.

5. Storage Blob Data Reader hozzáférési szint hozzárendelése a tárfiókban:

   1. Lépjen a Hozzáférés-vezérlés (IAM) szakaszra.

   2. Jelölje ki a lap szerepkör-hozzárendelését, majd kattintson a Szerepkör-hozzárendelés hozzáadása>elemre.

   3. Keresse meg a Storage Blob Data Reader nevű szerepkört, jelölje ki, majd kattintson a Tovább gombra.

   4. Kattintson a Tagok kijelölése elemre.

   5. Keresse meg a létrehozott felügyelt identitást. Ha rendszer által hozzárendelt felügyelt identitást használ, a neve "[munkaterület neve]/computes/[számítási fürt neve]".

   6. Adja hozzá a fiókot, és fejezze be a varázslót.

   

6. A végpont készen áll a feladatok és a bemeneti adatok fogadására a kiválasztott tárfiókból.

Következő lépések

• Hálózatelkülönítés kötegvégpontokban
• Batch-végpontok meghívása a tárolóban lévő Event Grid-eseményekből.
• Kötegelt végpontok meghívása az Azure Data Factoryből.