Ügyfelek hitelesítése online végpontokhoz

ÉRVÉNYES:Azure CLI ml-bővítmény v2 (aktuális)Python SDK azure-ai-ml v2 (aktuális)

Ez a cikk bemutatja, hogyan hitelesítheti az ügyfeleket a vezérlősík- és adatsík-műveletek online végpontokon való végrehajtásához.

A vezérlősík-művelet vezérli a végpontot, és módosítja azt. A vezérlősík-műveletek közé tartozik a létrehozási, olvasási, frissítési és törlési (CRUD) műveletek az online végpontokon és az online üzemelő példányokon.

Az adatsík-műveletek az adatokat használják az online végpontokkal való interakcióhoz a végpont módosítása nélkül. Egy adatsík-művelet például egy pontozási kérés online végpontnak való elküldését és a válasz lekérését jelentheti.

Előfeltételek

• Egy Azure Machine Learning-munkaterület. A munkaterület létrehozásának utasításait a munkaterület létrehozása című témakörben találja.

• Az Azure CLI és a ml bővítmény vagy az Azure Machine Learning Python SDK v2:

  Azure CLI

  Az Azure CLI és a ml bővítmény telepítéséhez lásd a parancssori felület (v2) telepítését és beállítását.

  A cikkben szereplő példák feltételezik, hogy Bash shellt vagy kompatibilis shellt használ. Használhat például egy parancssort Linux rendszeren vagy Windows alrendszert Linuxhoz.

  Piton

  A Python SDK v2 telepítéséhez használja a következő parancsot:

  pip install azure-ai-ml azure-identity
  

  Ha frissíteni szeretné az SDK meglévő telepítését a legújabb verzióra, használja a következő parancsot:

  pip install --upgrade azure-ai-ml azure-identity
  

  További információ: Azure Machine Learning Package ügyfélkódtár Pythonhoz.

Felhasználói identitás előkészítése

Szüksége van egy felhasználói identitásra a vezérlősík műveleteinek (azaz CRUD-műveleteknek) és az adatsík-műveleteknek (azaz pontozási kérések küldésének) az online végponton történő végrehajtásához. Ugyanazt a felhasználói identitást vagy eltérő felhasználói identitást használhatja a vezérlősík és az adatsík műveleteihez. Ebben a cikkben ugyanazt a felhasználói identitást használja a vezérlősík és az adatsík műveleteihez is.

Ha a Microsoft Entra ID alatt szeretne felhasználói identitást létrehozni, olvassa el a Hitelesítés beállítása című témakört. Később szüksége lesz az identitásazonosítóra.

Engedélyek hozzárendelése az identitáshoz

Ebben a szakaszban engedélyeket rendel a végponttal való interakcióhoz használt felhasználói identitáshoz. Először használjon beépített szerepkört, vagy hozzon létre egy egyéni szerepkört. Ezt követően hozzárendeli a szerepkört a felhasználói identitáshoz.

Beépített szerepkör használata

A AzureML Data Scientistbeépített szerepkör végpontok és üzemelő példányok kezelésére és használatára használható, és helyettesítő karaktereket használ a vezérlősík RBAC-műveleteinek belefoglalásához:

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action

és a következő adatsík RBAC-műveletének belefoglalása:

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action

Azure Machine Learning Workspace Connection Secrets Reader A beépített szerepkör használható a munkaterület-kapcsolatok titkos kulcsainak elérésére, és az alábbi RBAC-műveleteket tartalmazza:

• Microsoft.MachineLearningServices/workspaces/connections/listsecrets/action
• Microsoft.MachineLearningServices/workspaces/metadata/secrets/read

Ha ezeket a beépített szerepköröket használja, ebben a lépésben nincs szükség műveletre.

(Nem kötelező) Egyéni szerepkör létrehozása

Ezt a lépést kihagyhatja, ha beépített szerepköröket vagy más előre elkészített egyéni szerepköröket használ.

1. Az egyéni szerepkörök hatókörének és műveleteinek meghatározása a szerepkörök JSON-definícióinak létrehozásával. Az alábbi szerepkördefiníció például lehetővé teszi, hogy a felhasználó egy online végpontot crudáljon egy adott munkaterületen.

   custom-role-for-control-plane.json:

   {
       "Name": "Custom role for control plane operations - online endpoint",
       "IsCustom": true,
       "Description": "Can CRUD against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
       ]
   }
   

   Az alábbi szerepkördefiníció lehetővé teszi, hogy a felhasználó pontozási kéréseket küldjön egy online végpontnak egy megadott munkaterületen.

   custom-role-for-scoring.json:

   {
       "Name": "Custom role for scoring - online endpoint",
       "IsCustom": true,
       "Description": "Can score against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
       ]
   }
   

2. Egyéni szerepkörök létrehozása a JSON-definíciókkal:

   az role definition create --role-definition custom-role-for-control-plane.json --subscription <subscriptionId>
   
   az role definition create --role-definition custom-role-for-scoring.json --subscription <subscriptionId>
   

   Feljegyzés

   Egyéni szerepkörök létrehozásához három szerepkör egyikére van szükség:

   • tulajdonos
   • felhasználói hozzáférés rendszergazdája
   • egyéni szerepkör engedélyekkel Microsoft.Authorization/roleDefinitions/write (egyéni szerepkörök létrehozásához/frissítéséhez/törléséhez) és Microsoft.Authorization/roleDefinitions/read engedélyekkel (egyéni szerepkörök megtekintéséhez).

   Az egyéni szerepkörök létrehozásával kapcsolatos további információkért tekintse meg az Azure-ra vonatkozó egyéni szerepköröket.

3. Ellenőrizze a szerepkördefiníciót:

   az role definition list --custom-role-only -o table
   
   az role definition list -n "Custom role for control plane operations - online endpoint"
   az role definition list -n "Custom role for scoring - online endpoint"
   
   export role_definition_id1=`(az role definition list -n "Custom role for control plane operations - online endpoint" --query "[0].id" | tr -d '"')`
   
   export role_definition_id2=`(az role definition list -n "Custom role for scoring - online endpoint" --query "[0].id" | tr -d '"')`
   

Szerepkör hozzárendelése az identitáshoz

1. Ha a beépített szerepkört AzureML Data Scientist használja, a következő kóddal rendelje hozzá a szerepkört a felhasználói identitáshoz.

   az role assignment create --assignee <identityId> --role "AzureML Data Scientist" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

2. Ha a beépített szerepkört használja Azure Machine Learning Workspace Connection Secrets Reader , a következő kóddal rendelje hozzá a szerepkört a felhasználói identitáshoz.

   az role assignment create --assignee <identityId> --role "Azure Machine Learning Workspace Connection Secrets Reader" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

3. Ha egyéni szerepkört használ, a következő kóddal rendelje hozzá a szerepkört a felhasználói identitáshoz.

   az role assignment create --assignee <identityId> --role "Custom role for control plane operations - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   
   az role assignment create --assignee <identityId> --role "Custom role for scoring - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

   Feljegyzés

   Ha egyéni szerepköröket szeretne hozzárendelni a felhasználói identitáshoz, három szerepkör egyikére van szüksége:

   • tulajdonos
   • felhasználói hozzáférés rendszergazdája
   • egy egyéni szerepkör, amely engedélyezi Microsoft.Authorization/roleAssignments/write az engedélyeket (egyéni szerepkörök hozzárendelését) és Microsoft.Authorization/roleAssignments/read (a szerepkör-hozzárendelések megtekintését).

   További információ a különböző Azure-szerepkörökről és azok engedélyeiről: Azure-szerepkörök és Azure-szerepkörök hozzárendelése az Azure Portal használatával.

4. Erősítse meg a szerepkör-hozzárendelést:

   az role assignment list --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

A Microsoft Entra-jogkivonat beszerzése vezérlősík-műveletekhez

Ezt a lépést akkor hajtsa végre, ha a vezérlősík-műveleteket a REST API-val tervezi végrehajtani, amely közvetlenül a jogkivonatot fogja használni.

Ha más módszereket, például az Azure Machine Learning CLI -t (v2), a Python SDK-t (v2) vagy az Azure Machine Learning Studiót szeretné használni, nem kell manuálisan beszereznie a Microsoft Entra-jogkivonatot. A bejelentkezés során a rendszer már hitelesíti a felhasználói identitást, és a jogkivonat automatikusan lekéri és átadja Önnek.

Az Azure-erőforrásvégpontról lekérheti a vezérlősík műveleteihez szükséges https://management.azure.com

Azure CLI

1. Jelentkezzen be az Azure-ba.

   az login
   

2. Ha egy adott identitást szeretne használni, az alábbi kóddal jelentkezzen be az identitással:

   az login --identity --username <identityId>
   

3. Ezzel a környezettel szerezheti be a jogkivonatot.

   export CONTROL_PLANE_TOKEN=`(az account get-access-token --resource https://management.azure.com --query accessToken | tr -d '"')`
   

PIHENÉS

Azure-beli virtuális gépről

A jogkivonatot az Azure-beli virtuális gépek felügyelt identitása alapján szerezheti be (ha a virtuális gép engedélyezi a felügyelt identitást).

1. Ha le szeretné kérni a Microsoft Entra-jogkivonatot (aad_token) az Azure-beli virtuális gépen futó vezérlősík-művelethez, küldje el a kérést az management.azure.com (IMDS) végpontjának:

   export CONTROL_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
   

   Tipp.

   A jogkivonat JSON-kimenetből való kinyeréséhez a jq segédprogramot használjuk példaként. Ehhez azonban bármilyen megfelelő eszközt használhat.

   A jogkivonatok felügyelt identitásokon alapuló lekéréséről további információt a Jogkivonat lekérése HTTP használatával című témakörben talál.

Számítási példányból

A jogkivonatot akkor szerezheti be, ha az Azure Machine Learning-munkaterület számítási példányát használja. A jogkivonat beszerzéséhez át kell adnia a számítási példány felügyelt identitásának ügyfél-azonosítóját és titkos kulcsát a felügyelt rendszer-identitás (MSI) végpontnak, amely helyileg van konfigurálva a számítási példányon. Lekérheti az MSI-végpontot, az ügyfélazonosítót és a titkos kódot a környezeti változókbólMSI_ENDPOINTDEFAULT_IDENTITY_CLIENT_ID, illetve MSI_SECRETazok alapján. Ezek a változók automatikusan be vannak állítva, ha engedélyezi a felügyelt identitást a számítási példányhoz.

1. Szerezze be az Azure-erőforrásvégpont management.azure.com jogkivonatát a munkaterület számítási példányából:

   export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
   

Piton

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://management.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

További információ: Jogkivonat beszerzése az Azure Identity-ügyfélkódtár használatával.

Stúdió

A stúdió nem teszi elérhetővé a Microsoft Entra-jogkivonatot a vezérlősík műveleteihez.

(Nem kötelező) A Microsoft Entra-jogkivonat erőforrásvégpontjának és ügyfélazonosítójának ellenőrzése

A Microsoft Entra-jogkivonat lekérése után ellenőrizheti, hogy a jogkivonat a megfelelő Azure-erőforrásvégponthoz management.azure.com és a megfelelő ügyfél-azonosítóhoz tartozik-e a jogkivonat jwt.ms keresztül történő dekódolásával, amely json-választ ad vissza a következő információkkal:

{
    "aud": "https://management.azure.com",
    "oid": "<your-object-id>"
}

Végpont létrehozása

Az alábbi példa egy rendszer által hozzárendelt identitással (SAI) hozza létre a végpontot végponti identitásként. A végpontok felügyelt identitásának alapértelmezett identitástípusa az SAI. A rendszer automatikusan hozzárendel néhány alapvető szerepkört az SAI-hoz. A rendszer által hozzárendelt identitás szerepkör-hozzárendeléséről további információt a végponti identitás automatikus szerepkör-hozzárendelése című témakörben talál.

Azure CLI

A parancssori felület nem követeli meg, hogy explicit módon adja meg a vezérlősík jogkivonatát. Ehelyett a parancssori felület az login hitelesíti Önt a bejelentkezés során, és a rendszer automatikusan lekéri és átadja Önnek a jogkivonatot.

1. Hozzon létre egy végpontdefiníciós YAML-fájlt.

   endpoint.yml:

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineEndpoint.schema.json
   name: my-endpoint
   auth_mode: aad_token
   

2. Lecserélheti auth_modekey a kulcsok hitelesítésére vagy aml_token az Azure Machine Learning-jogkivonat hitelesítésére. Ebben a példában a Microsoft Entra-jogkivonat hitelesítését használja aad_token .

   az ml online-endpoint create -f endpoint.yml
   

3. Ellenőrizze a végpont állapotát:

   az ml online-endpoint show -n my-endpoint
   

4. Ha felül szeretné bírálni auth_mode (például: ) aad_tokenegy végpont létrehozásakor, futtassa a következő kódot:

   az ml online-endpoint create -n my-endpoint --auth_mode aad_token
   

5. Ha frissíteni szeretné a meglévő végpontot, és meg szeretné adni auth_mode (például erre aad_token), futtassa a következő kódot:

   az ml online-endpoint update -n my-endpoint --set auth_mode=aad_token
   

PIHENÉS

A REST API-híváshoz explicit módon meg kell adnia a vezérlősík jogkivonatát. Használja a korábban lekért vezérlősík-jogkivonatot.

1. Végpont létrehozása vagy frissítése:

   export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
   export RESOURCE_GROUP=<RESOURCE_GROUP>
   export WORKSPACE=<AML_WORKSPACE_NAME>
   export ENDPOINT_NAME=<ENDPOINT_NAME>
   export LOCATION=<LOCATION_NAME>
   export API_VERSION=2023-04-01
   
   response=$(curl --location --request PUT "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
   --header "Content-Type: application/json" \
   --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
   --data-raw "{
       \"identity\": {
          \"type\": \"systemAssigned\"
       },
       \"properties\": {
           \"authMode\": \"AADToken\"
       },
       \"location\": \"$LOCATION\"
   }")
   
   echo $response
   

   Lecserélheti authModekey a kulcsok hitelesítésére vagy AMLToken az Azure Machine Learning-jogkivonat hitelesítésére. Ebben a példában a Microsoft Entra-jogkivonat hitelesítését használja AADToken .

2. Az online végpont aktuális állapotának lekérése:

   response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
   --header "Content-Type: application/json" \
   --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
   )
   
   echo $response
   

Piton

A Python SDK nem követeli meg, hogy explicit módon adja meg a vezérlősík jogkivonatát. Ehelyett az SDK MLClient hitelesíti Önt a bejelentkezés során, és a rendszer automatikusan lekéri és átadja Önnek a jogkivonatot.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    ManagedOnlineEndpoint,
    ManagedOnlineDeployment,
    Model,
    Environment,
    CodeConfiguration,
)
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<AML_WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

endpoint = ManagedOnlineEndpoint(
    name="my-endpoint",
    description="this is a sample online endpoint",
    auth_mode="aad_token",
    tags={"foo": "bar"},
)
ml_client.online_endpoints.begin_create_or_update(endpoint).result()

Lecserélheti auth_modekey a kulcsok hitelesítésére vagy aml_token az Azure Machine Learning-jogkivonat hitelesítésére. Ebben a példában a Microsoft Entra-jogkivonat hitelesítését használja aad_token .

Stúdió

A stúdió nem követeli meg, hogy explicit módon adja meg a vezérlősík jogkivonatát, mivel a stúdió már a bejelentkezés során hitelesítené Önt, és a rendszer automatikusan lekéri és átadja a jogkivonatot.

További információ az online végpontok üzembe helyezéséről: Ml-modell üzembe helyezése online végponttal (a Studióban)

Üzembe helyezés létrehozása

Üzembe helyezés létrehozásához lásd : Ml-modell üzembe helyezése online végponttal , vagy a MODELL üzembe helyezése REST használatával online végpontként. Nincs különbség abban, hogyan hozhat létre üzembe helyezéseket a különböző hitelesítési módokhoz.

Azure CLI

Az alábbi kód egy példa az üzembe helyezés létrehozására. Az online végpontok üzembe helyezésével kapcsolatos további információkért lásd : Ml-modell üzembe helyezése online végponttal (cli-n keresztül)

1. Hozzon létre egy üzembehelyezési definíciós YAML-fájlt.

   blue-deployment.yml:

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineDeployment.schema.json
   name: blue
   endpoint_name: my-aad-auth-endp1
   model:
     path: ../../model-1/model/
   code_configuration:
     code: ../../model-1/onlinescoring/
     scoring_script: score.py
   environment: 
     conda_file: ../../model-1/environment/conda.yml
     image: mcr.microsoft.com/azureml/openmpi4.1.0-ubuntu20.04:latest
   instance_type: Standard_DS3_v2
   instance_count: 1
   

2. Hozza létre az üzembe helyezést a YAML-fájllal. Ebben a példában állítsa be az összes forgalmat az új üzembe helyezésre.

   az ml online-deployment create -f blue-deployment.yml --all-traffic
   

REST

Az online végpontok REST használatával történő üzembe helyezéséről további információt a modell online végpontként történő üzembe helyezéséről a REST használata című témakörben talál.

Piton

További információ az online végpontok üzembe helyezéséről: Ml-modell üzembe helyezése online végponttal (SDK-n keresztül)

Stúdió

További információ az online végpontok üzembe helyezéséről: Ml-modell üzembe helyezése online végponttal (a Studióban)

A végpont pontozási URI-jának lekérése

Azure CLI

Ha a parancssori felület használatával szeretné meghívni a végpontot, nem kell explicit módon lekérnie a pontozási URI-t, mivel a parancssori felület kezeli Az Ön számára. A parancssori felülettel azonban továbbra is lekérheti a pontozási URI-t, így más csatornákkal, például a REST API-val is használhatja.

scoringUri=$(az ml online-endpoint show -n my-endpoint --query "scoring_uri")

NYUGALOM

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export API_VERSION=2023-04-01
response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")
scoringUri=$(echo $response | jq -r '.properties' | jq -r '.scoringUri')

echo $response
echo $scoringUri

Piton

Ha a Python SDK-val szeretné meghívni a végpontot, nem kell explicit módon lekérnie a pontozási URI-t, mivel az SDK kezeli. Az SDK-val azonban továbbra is lekérheti a pontozási URI-t, így más csatornákkal, például a REST API-val is használhatja.

scoring_uri = ml_client.online_endpoints.get(name=endpoint_name).scoring_uri

Stúdió

Ha azt tervezi, hogy a stúdióval hívja meg a végpontot, nem kell explicit módon lekérnie a pontozási URI-t, mivel a stúdió kezeli Az Ön számára. A pontozási URI-t azonban továbbra is használhatja a studióval, hogy más csatornákkal, például a REST API-val is használhassa.

A pontozási URI a végpont lapJának Részletek lapján található.

Adatsík-műveletek kulcsának vagy jogkivonatának lekérése

Egy kulcs vagy jogkivonat adatsík-műveletekhez használható, annak ellenére, hogy a kulcs vagy a jogkivonat lekérésének folyamata vezérlősík-művelet. Más szóval egy vezérlősík-jogkivonatot használ az adatsík műveleteinek végrehajtásához később használt kulcs vagy jogkivonat lekéréséhez.

A kulcs vagy az Azure Machine Learning-jogkivonat lekéréséhez a megfelelő szerepkört kell hozzárendelni az azt kérő felhasználói identitáshoz a vezérlősík műveleteinek engedélyezésében leírtak szerint. A Microsoft Entra-jogkivonat beszerzése nem igényel további szerepköröket a felhasználói identitáshoz.

Azure CLI

Ha a parancssori felület használatával szeretné meghívni a végpontot, nem kell explicit módon lekérnie az adatsík műveleteihez szükséges kulcsokat vagy jogkivonatokat, mivel a parancssori felület kezeli. A parancssori felülettel azonban továbbra is lekérheti az adatsík-művelethez szükséges kulcsokat vagy jogkivonatokat, hogy más csatornákkal, például a REST API-val is használhassa.

Az adatsík-műveletek kulcsainak vagy jogkivonatának lekéréséhez használja az az ml online-endpoint get-credentials parancsot. Ez a parancs egy JSON-kimenetet ad vissza, amely tartalmazza a kulcsokat, a jogkivonatot és/vagy a további információkat.

Tipp.

Ha egy adott információt szeretne kinyerni a JSON-kimenetből, a --query parancssori felület parancs paraméterét használja példaként. Ehhez azonban bármilyen megfelelő eszközt használhat.

Mikor auth_mode van a végpont key

• A rendszer visszaadja a kulcsokat a primaryKey mezőkben secondaryKey .

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query primaryKey)
export DATA_PLANE_TOKEN2=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query secondaryKey)

Mikor auth_mode van a végpont aml_token

• A jogkivonat a accessToken mezőben lesz visszaadva.
• A jogkivonat lejárati ideje a expiryTimeUtc mezőben lesz visszaadva.
• A jogkivonat frissítési ideje a refreshAfterTimeUtc mezőben lesz visszaadva.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)
export REFRESH_AFTER_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query refreshAfterTimeUtc)

Mikor auth_mode van a végpont aad_token

• A jogkivonat a accessToken mezőben lesz visszaadva.
• A jogkivonat lejárati ideje a expiryTimeUtc mezőben lesz visszaadva.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)

REST

Az adatsík-műveletek kulcsainak vagy jogkivonatának lekéréséhez válassza ki a végponttól függően a auth_mode megfelelő API-t. Az API egy JSON-kimenetet ad vissza, amely tartalmazza a kulcsokat és a jogkivonatot.

Tipp.

A jq segédprogram bemutatja, hogyan nyerhet ki egy adott információt a JSON-kimenetből. Ehhez azonban bármilyen megfelelő eszközt használhat.

Mikor auth_mode van a végpont key

• Használja az API-t listkeys .
• A rendszer visszaadja a kulcsokat a primaryKey mezőkben secondaryKey .

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/listkeys?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.primaryKey')

Mikor auth_mode van a végpont aml_token

• Használja az API-t token .
• A jogkivonat a accessToken mezőben lesz visszaadva.
• A jogkivonat lejárati ideje a expiryTimeUtc mezőben lesz visszaadva
• A jogkivonat frissítési ideje a refreshAfterTimeUtc mezőben lesz visszaadva

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/token?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.accessToken')
export EXPIRY_TIME_UTC=$(echo $response | jq -r '.expiryTimeUtc')
export REFRESH_AFTER_TIME_UTC=$(echo $response | jq -r '.refreshAfterTimeUtc')

Mikor auth_mode van a végpont aad_token

• Használjon IMDS-végpontot vagy MSI-végpontot attól függően, hogy hol kéri a jogkivonatot.
• A jogkivonat a accessToken mezőben lesz visszaadva.
• A jogkivonat lejárati ideje a expiryTimeUtc mezőben lesz visszaadva

Azure-beli virtuális gépről

A jogkivonatot az Azure-beli virtuális gépek felügyelt identitásai alapján szerezheti be (ha a virtuális gép engedélyezi a felügyelt identitást).

1. Ha le szeretné kérni a Microsoft Entra-jogkivonatot (aad_token) az adatsík-művelethez az Azure-beli virtuális gépen felügyelt identitással, küldje el a kérést az ml.azure.com (IMDS) végpontjának:

   export DATA_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
   export EXPIRY_TIME_UTC=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.expiryTimeUtc' )`
   

   A jogkivonatok felügyelt identitásokon alapuló lekéréséről további információt a Jogkivonat lekérése HTTP használatával című témakörben talál.

Számítási példányból

A jogkivonatot akkor szerezheti be, ha az Azure Machine Learning-munkaterület számítási példányát használja. A jogkivonat beszerzéséhez át kell adnia a számítási példány felügyelt identitásának ügyfél-azonosítóját és titkos kulcsát a felügyelt rendszer-identitás (MSI) végpontnak, amely helyileg van konfigurálva a számítási példányon. Lekérheti az MSI-végpontot, az ügyfélazonosítót és a titkos kódot a környezeti változókbólMSI_ENDPOINTDEFAULT_IDENTITY_CLIENT_ID, illetve MSI_SECRETazok alapján. Ezek a változók automatikusan be vannak állítva, ha engedélyezi a felügyelt identitást a számítási példányhoz.

1. Szerezze be az Azure-erőforrásvégpont ml.azure.com jogkivonatát a munkaterület számítási példányából:

   export DATA_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
   export EXPIRY_TIME_UTC=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.expiryTimeUtc' )`
   

Fontos

A vezérlősík műveleteihez használt Microsoft Entra-jogkivonattól eltérően, amelyből management.azure.comlekéri a rendszer az adatsík-műveletekhez szükséges Microsoft Entra-jogkivonatot az Azure-erőforrásvégpontról ml.azure.com.

Piton

Ha az SDK-val szeretné meghívni a végpontot, nem szükséges kifejezetten lekérnie az adatsík műveleteihez szükséges kulcsokat vagy jogkivonatokat, mivel az SDK kezeli az Ön számára. Az SDK-val azonban továbbra is lekérheti az adatsík-műveletek kulcsait vagy tokenjét, hogy más csatornákkal, például a REST API-val is használhassa.

Az adatsík-műveletek kulcsainak vagy jogkivonatának lekéréséhez használja az osztály get_keys metódusát OnlineEndpointOperations . Ez a metódus kulcsokat és jogkivonatokat tartalmazó objektumot ad vissza.

Mikor auth_mode van a végpont key

• A rendszer visszaadja a kulcsokat a primary_key mezőkben secondary_key .

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).primary_key
DATA_PLANE_TOKEN2 = ml_client.online_endpoints.get_keys(name=endpoint_name).secondary_key

Mikor auth_mode van a végpont aml_token

• A jogkivonat a access_token mezőben lesz visszaadva.
• A jogkivonat lejárati ideje a expiry_time_utc mezőben lesz visszaadva.
• A jogkivonat frissítési ideje a refresh_after_time_utc mezőben lesz visszaadva.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc
REFRESH_AFTER_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).refresh_after_time_utc

Mikor auth_mode van a végpont aad_token

• A jogkivonat a access_token mezőben lesz visszaadva.
• A jogkivonat lejárati ideje a expiry_time_utc mezőben lesz visszaadva.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc

További információ: Jogkivonat beszerzése az Azure Identity-ügyfélkódtár használatával.

Stúdió

A végpont lapJának Használat lapján található a kulcs, az Azure Machine Learning-jogkivonat vagy a Microsoft Entra-jogkivonat.

A Microsoft Entra-jogkivonat erőforrásvégpontjának és ügyfélazonosítójának ellenőrzése

Az Entra-jogkivonat lekérése után ellenőrizheti, hogy a jogkivonat a megfelelő Azure-erőforrásvégponthoz ml.azure.com és a megfelelő ügyfél-azonosítóhoz tartozik-e a jogkivonat jwt.ms keresztül történő dekódolásával, amely json-választ ad vissza az alábbi információkkal:

{
    "aud": "https://ml.azure.com",
    "oid": "<your-object-id>"
}

Adatok pontozása a kulcs vagy a jogkivonat használatával

Azure CLI

A végpontokhoz kulcs, Azure Machine Learning-jogkivonat vagy Microsoft Entra-jogkivonat használható az ml online-endpoint invoke . A parancssori felület automatikusan kezeli a kulcsot vagy a jogkivonatot, így önnek nem kell explicit módon átadnia.

az ml online-endpoint invoke -n my-endpoint -r request.json

REST

Az online végpont pontozáshoz való meghívásakor adja át a kulcsot, az Azure Machine Learning-jogkivonatot vagy a Microsoft Entra-jogkivonatot az engedélyezési fejlécben. Az alábbi kód bemutatja, hogyan hívhatja meg az online végpontot kulcs vagy jogkivonat használatával a curl segédprogrammal:

curl --request POST "$scoringUri" --header "Authorization: Bearer $DATA_PLANE_TOKEN" --header 'Content-Type: application/json' --data @endpoints/online/model-1/sample-request.json

Piton

Az Azure Machine Learning SDK használata ml_client.online_endpoints.invoke() a kulcs, az Azure Machine Learning-jogkivonat és a Microsoft Entra-jogkivonat esetében támogatott. Az Azure Machine Learning SDK használata mellett egy általános Python SDK-val is elküldheti a POST-kérelmet a pontozó URI-nak.

Amikor az online végpontot pontozásra hívja meg, adja át a kulcsot vagy a jogkivonatot az engedélyezési fejlécben. Az alábbi kód bemutatja, hogyan hívhatja meg az online végpontot egy kulcs vagy jogkivonat használatával egy általános Python SDK-val. A kódban cserélje le a változót a api_key kulcsra vagy a jogkivonatra.

import urllib.request
import json
import os

data = {"data": [
    [1,2,3,4,5,6,7,8,9,10], 
    [10,9,8,7,6,5,4,3,2,1]
]}

body = str.encode(json.dumps(data))

url = '<scoring URI as retrieved earlier>'
api_key = '<key or token as retrieved earlier>'
headers = {'Content-Type':'application/json', 'Authorization':('Bearer '+ api_key)}

req = urllib.request.Request(url, body, headers)

try:
    response = urllib.request.urlopen(req)

    result = response.read()
    print(result)
except urllib.error.HTTPError as error:
    print("The request failed with status code: " + str(error.code))

    # Print the headers - they include the requert ID and the timestamp, which are useful for debugging the failure
    print(error.info())
    print(error.read().decode("utf8", 'ignore'))

Stúdió

Kulcs vagy Azure Machine Learning-jogkivonat

Az üzembe helyezés részletes lapjának Teszt lapja támogatja a végpontok pontozását kulcs, Azure Machine Learning-jogkivonat vagy Microsoft Entra-jogkivonat hitelesítésével.

Forgalom naplózása és figyelése

Ha engedélyezni szeretné a forgalomnaplózást a végpont diagnosztikai beállításaiban, kövesse a Naplók bekapcsolása című témakörben leírt lépéseket.

Ha a diagnosztikai beállítás engedélyezve van, a táblában megtekintheti a AmlOnlineEndpointTrafficLogs hitelesítési módot és a felhasználói identitást.

Kapcsolódó tartalom

• Hitelesítés felügyelt online végponthoz
• Gépi tanulási modell üzembe helyezése online végpont használatával
• Hálózati elkülönítés engedélyezése felügyelt online végpontokhoz