Engedélyezés kötegelt végpontokon
A Batch-végpontok támogatják a Microsoft Entra-hitelesítést vagy aad_token
a . Ez azt jelenti, hogy egy kötegelt végpont meghívásához a felhasználónak érvényes Microsoft Entra hitelesítési tokent kell bemutatnia a kötegelt végpont URI-jának. Az engedélyezés a végpont szintjén van kényszerítve. Az alábbi cikk bemutatja, hogyan használhatja helyesen a kötegelt végpontokat és annak biztonsági követelményeit.
Az engedélyezés működése
Batch-végpont meghívásához a felhasználónak egy érvényes Microsoft Entra-jogkivonatot kell bemutatnia, amely egy biztonsági tagot jelöl. Ez a rendszernév lehet egyszerű felhasználó vagy szolgáltatásnév. Mindenesetre a végpont meghívása után létrejön egy kötegtelepítési feladat a jogkivonathoz társított identitás alatt. Az identitásnak a következő engedélyekre van szüksége a feladat sikeres létrehozásához:
- Kötegelt végpontok/üzembe helyezések olvasása.
- Feladatok létrehozása kötegelt következtetési végpontokban/üzembe helyezésben.
- Kísérletek/futtatások létrehozása.
- Olvasás és írás adattárakból vagy adattárakba.
- Az adattár titkos kulcsokat sorolja fel.
Az RBAC-engedélyek részletes listájáért tekintse meg az RBAC konfigurálása kötegelt végponti meghíváshoz című témakört.
Fontos
Előfordulhat, hogy a kötegvégpont meghívásához használt identitás nem használható a mögöttes adatok olvasására attól függően, hogy az adattár hogyan van konfigurálva. További részletekért lásd : Számítási fürtök konfigurálása adathozzáféréshez .
Feladatok futtatása különböző típusú hitelesítő adatokkal
Az alábbi példák különböző módszereket mutatnak be a kötegelt üzembehelyezési feladatok különböző hitelesítő adatokkal való elindítására:
Fontos
Privát kapcsolatokkal kompatibilis munkaterületeken végzett munka során a kötegvégpontok nem hívhatók meg a felhasználói felületről az Azure Machine Tanulás Studióban. A feladatlétrehozáshoz használja az Azure Machine Tanulás CLI 2-t.
Előfeltételek
- Ez a példa feltételezi, hogy a modell megfelelően van üzembe helyezve kötegelt végpontként. Különösen az oktatóanyagban létrehozott szívállapot-osztályozót használjuk az MLflow-modellek kötegelt üzembe helyezések során.
Feladatok futtatása a felhasználó hitelesítő adataival
Ebben az esetben egy kötegelt végpontot szeretnénk végrehajtani az aktuálisan bejelentkezett felhasználó identitásával. Tegye a következők egyikét:
Az Azure CLI használatával interaktív vagy eszközkód-hitelesítéssel jelentkezhet be:
az login
A hitelesítés után a következő paranccsal futtathat egy kötegelt üzembe helyezési feladatot:
az ml batch-endpoint invoke --name $ENDPOINT_NAME \ --input https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci
Feladatok futtatása szolgáltatásnévvel
Ebben az esetben egy kötegvégpontot szeretnénk végrehajtani a Microsoft Entra ID azonosítójában már létrehozott szolgáltatásnév használatával. A hitelesítés befejezéséhez létre kell hoznia egy titkos kulcsot a hitelesítés végrehajtásához. Tegye a következők egyikét:
Hozzon létre egy titkos kulcsot a hitelesítéshez a 3. lehetőség leírása szerint : Új ügyfélkód létrehozása.
A szolgáltatásnévvel történő hitelesítéshez használja az alábbi parancsot. További részletekért lásd: Bejelentkezés az Azure CLI-vel.
az login --service-principal \ --tenant <tenant> \ -u <app-id> \ -p <password-or-cert>
A hitelesítés után a következő paranccsal futtathat egy kötegelt üzembe helyezési feladatot:
az ml batch-endpoint invoke --name $ENDPOINT_NAME \ --input https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci/
Feladatok futtatása felügyelt identitással
Felügyelt identitásokkal hívhatja meg a kötegelt végpontokat és az üzembe helyezéseket. Figyelje meg, hogy ez a kezelési identitás nem a kötegvégponthoz tartozik, hanem a végpont végrehajtásához és így egy kötegfeladat létrehozásához használt identitás. Ebben a forgatókönyvben a felhasználó által hozzárendelt és a rendszer által hozzárendelt identitások egyaránt használhatók.
Az Azure-erőforrások felügyelt identitásaihoz konfigurált erőforrásokon bejelentkezhet a felügyelt identitással. Az erőforrás identitásával való bejelentkezés az --identity
jelzőn keresztül történik. További részletekért lásd : Bejelentkezés az Azure CLI-vel.
az login --identity
A hitelesítés után a következő paranccsal futtathat egy kötegelt üzembe helyezési feladatot:
az ml batch-endpoint invoke --name $ENDPOINT_NAME \
--input https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci
RBAC konfigurálása Batch-végpontok meghívásához
A Batch Endpoints olyan tartós API-felhasználókat tesz elérhetővé, a segítségével feladatokat hozhatnak létre. A meghívó megfelelő engedélyt kér a feladatok létrehozásához. Használhatja az egyik beépített biztonsági szerepkört , vagy létrehozhat egy egyéni szerepkört erre a célra.
A kötegelt végpont sikeres meghívásához a végpontok meghívásához használt identitáshoz megadott alábbi explicit műveletekre van szükség. Az Azure-szerepkörök hozzárendelésének lépéseit követve útmutatást talál a szerepkörök hozzárendeléséhez.
"actions": [
"Microsoft.MachineLearningServices/workspaces/read",
"Microsoft.MachineLearningServices/workspaces/data/versions/write",
"Microsoft.MachineLearningServices/workspaces/datasets/registered/read",
"Microsoft.MachineLearningServices/workspaces/datasets/registered/write",
"Microsoft.MachineLearningServices/workspaces/datasets/unregistered/read",
"Microsoft.MachineLearningServices/workspaces/datasets/unregistered/write",
"Microsoft.MachineLearningServices/workspaces/datastores/read",
"Microsoft.MachineLearningServices/workspaces/datastores/write",
"Microsoft.MachineLearningServices/workspaces/datastores/listsecrets/action",
"Microsoft.MachineLearningServices/workspaces/listStorageAccountKeys/action",
"Microsoft.MachineLearningServices/workspaces/batchEndpoints/read",
"Microsoft.MachineLearningServices/workspaces/batchEndpoints/write",
"Microsoft.MachineLearningServices/workspaces/batchEndpoints/deployments/read",
"Microsoft.MachineLearningServices/workspaces/batchEndpoints/deployments/write",
"Microsoft.MachineLearningServices/workspaces/batchEndpoints/deployments/jobs/write",
"Microsoft.MachineLearningServices/workspaces/batchEndpoints/jobs/write",
"Microsoft.MachineLearningServices/workspaces/computes/read",
"Microsoft.MachineLearningServices/workspaces/computes/listKeys/action",
"Microsoft.MachineLearningServices/workspaces/metadata/secrets/read",
"Microsoft.MachineLearningServices/workspaces/metadata/snapshots/read",
"Microsoft.MachineLearningServices/workspaces/metadata/artifacts/read",
"Microsoft.MachineLearningServices/workspaces/metadata/artifacts/write",
"Microsoft.MachineLearningServices/workspaces/experiments/read",
"Microsoft.MachineLearningServices/workspaces/experiments/runs/submit/action",
"Microsoft.MachineLearningServices/workspaces/experiments/runs/read",
"Microsoft.MachineLearningServices/workspaces/experiments/runs/write",
"Microsoft.MachineLearningServices/workspaces/metrics/resource/write",
"Microsoft.MachineLearningServices/workspaces/modules/read",
"Microsoft.MachineLearningServices/workspaces/models/read",
"Microsoft.MachineLearningServices/workspaces/endpoints/pipelines/read",
"Microsoft.MachineLearningServices/workspaces/endpoints/pipelines/write",
"Microsoft.MachineLearningServices/workspaces/environments/read",
"Microsoft.MachineLearningServices/workspaces/environments/write",
"Microsoft.MachineLearningServices/workspaces/environments/build/action",
"Microsoft.MachineLearningServices/workspaces/environments/readSecrets/action"
]
Számítási fürtök konfigurálása adathozzáféréshez
A Batch-végpontok biztosítják, hogy csak a jogosult felhasználók tudják meghívni a batch-telepítéseket, és feladatokat generáljanak. A bemeneti adatok konfigurálásának módjától függően azonban más hitelesítő adatok is használhatók a mögöttes adatok olvasásához. A következő táblázatból megtudhatja, hogy mely hitelesítő adatokat használja:
Adatbevitel típusa | Hitelesítő adatok a tárolóban | Használt hitelesítő adatok | Hozzáférés a következő által: |
---|---|---|---|
Adattár | Igen | Az adattár hitelesítő adatai a munkaterületen | Hozzáférési kulcs vagy SAS |
Adategység | Igen | Az adattár hitelesítő adatai a munkaterületen | Hozzáférési kulcs vagy SAS |
Adattár | Nem | A feladat identitása + a számítási fürt felügyelt identitása | RBAC |
Adategység | Nem | A feladat identitása + a számítási fürt felügyelt identitása | RBAC |
Azure Blob Storage | Nem alkalmazható | A feladat identitása + a számítási fürt felügyelt identitása | RBAC |
1. generációs Azure Data Lake Storage | Nem alkalmazható | A feladat identitása + a számítási fürt felügyelt identitása | POSIX |
Azure Data Lake Storage Gen2 | Nem alkalmazható | A feladat identitása + a számítási fürt felügyelt identitása | POSIX és RBAC |
A tábla azon elemeinél, ahol a feladat identitása + a számítási fürt felügyelt identitása jelenik meg, a számítási fürt felügyelt identitása a tárfiókok csatlakoztatására és konfigurálására szolgál. A feladat identitása azonban továbbra is a mögöttes adatok olvasására szolgál, így részletes hozzáférés-vezérlés érhető el. Ez azt jelenti, hogy az adatok tárolóból való sikeres beolvasásához annak a számítási fürtnek a felügyelt identitásának, amelyen az üzembe helyezés fut, legalább Storage Blob Data Reader hozzáféréssel kell rendelkeznie a tárfiókhoz.
A számítási fürt adathozzáféréshez való konfigurálásához kövesse az alábbi lépéseket:
Nyissa meg az Azure Machine Tanulás Studiót.
Lépjen a Compute, majd a Számítási fürtök elemre, és válassza ki azt a számítási fürtöt, amelyet az üzembe helyezés használ.
Felügyelt identitás hozzárendelése a számítási fürthöz:
A Felügyelt identitás szakaszban ellenőrizze, hogy a számításhoz hozzárendelt-e felügyelt identitást. Ha nem, válassza a Szerkesztés lehetőséget.
Válassza a Felügyelt identitás hozzárendelése lehetőséget, és szükség szerint konfigurálja azt. Használhat rendszer által hozzárendelt felügyelt identitást vagy felhasználó által hozzárendelt felügyelt identitást. Ha rendszer által hozzárendelt felügyelt identitást használ, a neve "[munkaterület neve]/computes/[számítási fürt neve]".
Mentse el a módosításokat.
Lépjen az Azure Portalra , és keresse meg azt a tárfiókot, ahol az adatok találhatók. Ha az adatbevitel adategység vagy adattár, keresse meg azt a tárfiókot, ahol az eszközök találhatók.
Storage Blob Data Reader hozzáférési szint hozzárendelése a tárfiókban:
Lépjen a Hozzáférés-vezérlés (IAM) szakaszra.
Jelölje ki a lap szerepkör-hozzárendelését, majd kattintson a Szerepkör-hozzárendelés hozzáadása>elemre.
Keresse meg a Storage Blob Data Reader nevű szerepkört, jelölje ki, majd kattintson a Tovább gombra.
Kattintson a Tagok kijelölése elemre.
Keresse meg a létrehozott felügyelt identitást. Ha rendszer által hozzárendelt felügyelt identitást használ, a neve "[munkaterület neve]/computes/[számítási fürt neve]".
Adja hozzá a fiókot, és fejezze be a varázslót.
A végpont készen áll a feladatok és a bemeneti adatok fogadására a kiválasztott tárfiókból.
Következő lépések
- Hálózatelkülönítés kötegvégpontokban
- Batch-végpontok meghívása a tárolóban lévő Event Grid-eseményekből.
- Kötegelt végpontok meghívása az Azure Data Factoryből.