Autentikasi dan otorisasi untuk titik akhir online
BERLAKU UNTUK:
Ekstensi ml Azure CLI v2 (saat ini)Python SDK azure-ai-ml v2 (saat ini)
Artikel ini menjelaskan konsep identitas dan izin dalam konteks titik akhir online Azure Pembelajaran Mesin. Artikel ini membahas ID Microsoft Entra yang mendukung kontrol dan izin akses berbasis peran. ID Microsoft Entra disebut identitas pengguna atau identitas titik akhir, tergantung pada tujuannya.
Identitas pengguna adalah ID Microsoft Entra yang dapat membuat titik akhir dan penyebarannya, atau berinteraksi dengan titik akhir atau ruang kerja. Identitas pengguna mengeluarkan permintaan ke titik akhir, penyebaran, atau ruang kerja. Identitas pengguna memerlukan izin yang tepat untuk melakukan operasi sarana kontrol dan sarana data pada titik akhir atau ruang kerja.
Identitas titik akhir adalah ID Microsoft Entra yang menjalankan kontainer pengguna dalam penyebaran. Kontainer pengguna menggunakan identitas titik akhir untuk penyebaran. Identitas titik akhir juga memerlukan izin yang tepat bagi kontainer pengguna untuk berinteraksi dengan sumber daya sesuai kebutuhan. Misalnya, identitas titik akhir memerlukan izin yang tepat untuk menarik gambar dari Azure Container Registry atau untuk berinteraksi dengan layanan Azure lainnya.
Identitas pengguna dan identitas titik akhir memiliki persyaratan izin terpisah. Untuk informasi selengkapnya tentang mengelola identitas dan izin, lihat Cara mengautentikasi klien untuk titik akhir online.
Penting
Autentikasi ID aad_token Microsoft Entra hanya didukung untuk titik akhir online terkelola. Untuk titik akhir online Kubernetes, Anda dapat menggunakan kunci atau Azure Pembelajaran Mesin aml_token.
Izin dan cakupan untuk otorisasi
Kontrol akses berbasis peran Azure (RBAC) memungkinkan Anda menentukan dan menetapkan peran dengan serangkaian tindakan yang diizinkan dan/atau ditolak pada cakupan tertentu. Anda dapat menyesuaikan peran dan cakupan ini sesuai dengan kebutuhan bisnis Anda. Contoh berikut berfungsi sebagai titik awal yang dapat Anda perlukan seperlunya.
Untuk identitas pengguna:
- Untuk mengelola operasi sarana kontrol dan sarana data, Anda dapat menggunakan peran bawaan AzureML Data Scientist yang menyertakan tindakan
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/actionsizin . - Untuk mengontrol operasi untuk titik akhir tertentu, gunakan cakupan
/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>/onlineEndpoints/<endpointName>. - Untuk mengontrol operasi untuk semua titik akhir di ruang kerja, gunakan cakupan
/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>.
Untuk identitas titik akhir, untuk memungkinkan kontainer pengguna membaca blob, peran bawaan Storage Blob Data Reader menyertakan tindakan Microsoft.Storage/storageAccounts/blobServices/containers/blobs/readdata izin .
Untuk informasi selengkapnya tentang mengelola otorisasi ke ruang kerja Azure Pembelajaran Mesin, lihat Mengelola akses ke Azure Pembelajaran Mesin. Untuk informasi selengkapnya tentang definisi peran, cakupan, dan penetapan peran, lihat Azure RBAC. Untuk memahami cakupan peran yang ditetapkan, lihat Memahami cakupan untuk Azure RBAC.
Izin yang diperlukan untuk identitas pengguna
Saat Anda masuk ke penyewa Azure dengan akun Microsoft Anda, misalnya dengan menggunakan az login, Anda menyelesaikan langkah autentikasi pengguna autentikasi autentikasi yang menentukan identitas Anda sebagai pengguna. Untuk membuat titik akhir online di bawah ruang kerja Azure Pembelajaran Mesin, identitas Anda memerlukan izin yang tepat, juga disebut otorisasi atau authz. Identitas pengguna memerlukan izin yang sesuai untuk melakukan operasi sarana kontrol dan sarana data.
Operasi sarana kontrol
Kontrol kontrol operasi sarana dan ubah titik akhir online. Operasi ini termasuk operasi buat, baca, perbarui, dan hapus (CRUD) pada titik akhir online dan penyebaran online. Untuk titik akhir dan penyebaran online, permintaan untuk melakukan operasi sarana kontrol masuk ke ruang kerja Azure Pembelajaran Mesin.
Autentikasi untuk operasi sarana kontrol
Untuk operasi sarana kontrol, Anda menggunakan token Microsoft Entra untuk mengautentikasi klien ke ruang kerja. Bergantung pada kasus penggunaan Anda, Anda dapat memilih dari beberapa alur kerja autentikasi untuk mendapatkan token ini. Identitas pengguna juga harus memiliki peran Azure RBAC yang tepat yang ditetapkan untuk mengakses sumber daya.
Otorisasi untuk operasi sarana kontrol
Untuk operasi sarana kontrol, identitas pengguna Anda harus memiliki peran Azure RBAC yang tepat yang ditetapkan untuk mengakses sumber daya Anda. Secara khusus, untuk operasi CRUD pada titik akhir dan penyebaran online, identitas pengguna harus memiliki peran yang ditetapkan untuk tindakan berikut:
| Operasi | Peran Azure RBAC yang diperlukan | Cakupan |
|---|---|---|
| Lakukan operasi buat/perbarui pada titik akhir dan penyebaran online. | Pemilik, Kontributor, atau peran apa pun yang memungkinkan Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write |
Ruang kerja |
| Lakukan operasi penghapusan pada titik akhir dan penyebaran online. | Pemilik, Kontributor, atau peran apa pun yang memungkinkan Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete |
Ruang kerja |
| Lakukan operasi buat/perbarui/hapus pada titik akhir dan penyebaran online melalui Azure Pembelajaran Mesin studio. | Pemilik, Kontributor, atau peran apa pun yang memungkinkan Microsoft.Resources/deployments/write |
Grup sumber daya yang berisi ruang kerja |
| Lakukan operasi baca pada titik akhir dan penyebaran online. | Pemilik, Kontributor, atau peran apa pun yang memungkinkan Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read |
Ruang kerja |
Ambil token Azure Pembelajaran Mesin (aml_token) untuk memanggil titik akhir online terkelola dan Kubernetes dari ruang kerja. |
Pemilik, Kontributor, atau peran apa pun yang memungkinkan Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action |
Titik akhir |
| Ambil kunci untuk memanggil titik akhir online (baik terkelola maupun Kubernetes) dari ruang kerja. | Pemilik, Kontributor, atau peran apa pun yang memungkinkan Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action |
Titik akhir |
| Regenerasi kunci untuk titik akhir online terkelola dan Kubernetes. | Pemilik, Kontributor, atau peran apa pun yang memungkinkan Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action |
Titik akhir |
Ambil Microsoft Entra aad_token untuk memanggil titik akhir online terkelola. |
Tidak memerlukan peran | Tidak berlaku* |
* Anda dapat mengambil Microsoft Entra aad_token langsung dari MICROSOFT Entra ID setelah masuk, sehingga operasi tidak memerlukan izin Azure RBAC di ruang kerja.
Izin untuk identitas pengguna untuk menerapkan akses ke penyimpanan rahasia default
Jika Anda menggunakan fitur injeksi rahasia, dan Anda mengatur bendera untuk menerapkan akses ke penyimpanan rahasia default saat membuat titik akhir, identitas pengguna Anda harus memiliki izin untuk membaca rahasia dari koneksi ruang kerja.
Identitas titik akhir dapat berupa identitas yang ditetapkan sistem (SAI) atau identitas yang ditetapkan pengguna (UAI). Ketika titik akhir dibuat dengan SAI dan bendera untuk menerapkan akses ke penyimpanan rahasia default diatur, identitas pengguna harus memiliki izin untuk membaca rahasia dari koneksi ruang kerja saat membuat titik akhir dan penyebaran. Pembatasan ini memastikan bahwa hanya identitas pengguna dengan izin untuk membaca rahasia yang dapat memberikan identitas titik akhir izin untuk membaca rahasia.
Jika identitas pengguna yang tidak memiliki izin untuk membaca rahasia dari koneksi ruang kerja mencoba membuat titik akhir atau penyebaran dengan SAI, dan bendera titik akhir diatur untuk menerapkan akses ke penyimpanan rahasia default, titik akhir, atau pembuatan penyebaran ditolak.
Jika titik akhir dibuat dengan UAI, atau titik akhir menggunakan SAI tetapi bendera untuk menerapkan akses ke penyimpanan rahasia default tidak diatur, identitas pengguna tidak perlu dapat membaca rahasia dari koneksi ruang kerja untuk membuat titik akhir atau penyebaran. Dalam hal ini, identitas titik akhir tidak secara otomatis diberikan izin untuk membaca rahasia, tetapi dapat diberikan izin ini secara manual dengan menetapkan peran yang tepat.
Terlepas dari apakah penetapan peran otomatis atau manual, pengambilan rahasia, dan injeksi dipicu jika Anda memetakan variabel lingkungan dengan referensi rahasia dalam definisi titik akhir atau penyebaran. Fitur injeksi rahasia menggunakan identitas titik akhir untuk melakukan pengambilan dan injeksi rahasia. Untuk informasi selengkapnya tentang injeksi rahasia, lihat Injeksi rahasia di titik akhir online.
Operasi sarana data
Operasi sarana data tidak mengubah titik akhir online, tetapi menggunakan data yang berinteraksi dengan titik akhir. Contoh operasi sarana data adalah mengirim permintaan penilaian ke titik akhir online dan mendapatkan respons darinya. Untuk titik akhir dan penyebaran online, permintaan untuk melakukan operasi sarana data masuk ke URI penilaian titik akhir.
Autentikasi untuk operasi data plane
Untuk operasi data plane, Anda dapat memilih dari cara berikut untuk mengautentikasi klien untuk mengirim permintaan ke URI penilaian titik akhir:
- Tombol
- Azure Pembelajaran Mesin
aml_token - Microsoft Entra
aad_token
Untuk informasi selengkapnya tentang cara mengautentikasi klien untuk operasi data plane, lihat Cara mengautentikasi klien untuk titik akhir online.
Otorisasi untuk operasi data plane
Untuk operasi data plane, identitas pengguna Anda memerlukan peran Azure RBAC yang tepat untuk mengizinkan akses ke sumber daya Anda hanya jika titik akhir diatur untuk menggunakan Microsoft Entra aad_token. Untuk operasi data plane pada titik akhir dan penyebaran online, identitas pengguna harus memiliki peran yang ditetapkan dengan tindakan berikut:
| Operasi | Peran Azure RBAC yang diperlukan | Cakupan |
|---|---|---|
Panggil titik akhir online dengan key atau Azure Pembelajaran Mesin aml_token. |
Tidak memerlukan peran. | Tidak berlaku |
Panggil titik akhir online terkelola dengan Microsoft Entra aad_token. |
Pemilik, Kontributor, atau peran apa pun yang memungkinkan Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action |
Titik akhir |
Panggil titik akhir online Kubernetes dengan Microsoft Entra aad_token. |
Titik akhir online Kubernetes tidak mendukung token Microsoft Entra untuk operasi sarana data. | Tidak berlaku |
Izin yang diperlukan untuk identitas titik akhir
Penyebaran online menjalankan kontainer pengguna Anda dengan identitas titik akhir, yaitu identitas terkelola yang terkait dengan titik akhir. Identitas titik akhir adalah ID Microsoft Entra yang mendukung Azure RBAC. Oleh karena itu, Anda dapat menetapkan peran Azure ke identitas titik akhir untuk mengontrol izin yang diperlukan untuk melakukan operasi. Identitas titik akhir ini dapat berupa SAI atau UAI. Anda dapat memutuskan apakah akan menggunakan SAI atau UAI saat membuat titik akhir.
- Untuk SAI, identitas dibuat secara otomatis saat Anda membuat titik akhir, dan peran dengan izin mendasar, seperti izin penarikan Container Registry AcrPull dan Pembaca Data Blob Penyimpanan, secara otomatis ditetapkan.
- Untuk UAI, Anda perlu membuat identitas terlebih dahulu, lalu mengaitkannya dengan titik akhir saat Anda membuat titik akhir. Anda juga bertanggung jawab untuk menetapkan peran yang tepat ke UAI sesuai kebutuhan.
Penetapan peran otomatis untuk identitas titik akhir
Jika identitas titik akhir adalah SAI, peran berikut ditetapkan ke identitas titik akhir untuk kenyamanan.
| Peran | Deskripsi | Kondisi untuk penetapan peran otomatis |
|---|---|---|
| AcrPull | Memungkinkan identitas titik akhir untuk menarik gambar dari registri kontainer Azure yang terkait dengan ruang kerja | Identitas titik akhir adalah SAI. |
| Pembaca Data Blob Penyimpanan. | Memungkinkan identitas titik akhir membaca blob dari datastore default ruang kerja | Identitas titik akhir adalah SAI. |
| Penulis Metrik AzureML (pratinjau) | Memungkinkan identitas titik akhir menulis metrik ke ruang kerja | Identitas titik akhir adalah SAI. |
| Pembaca Rahasia Koneksi Ruang Kerja Azure Pembelajaran Mesin | Memungkinkan identitas titik akhir membaca rahasia dari koneksi ruang kerja | Identitas titik akhir adalah SAI dan pembuatan titik akhir memiliki bendera untuk menerapkan akses ke penyimpanan rahasia default. Identitas pengguna yang membuat titik akhir juga memiliki izin untuk membaca rahasia dari koneksi ruang kerja. |
- Jika identitas titik akhir adalah SAI, dan bendera pemberlakuan tidak diatur atau identitas pengguna tidak memiliki izin untuk membaca rahasia, tidak ada penetapan peran otomatis untuk peran Pembaca Rahasia Koneksi Ruang Kerja Azure Pembelajaran Mesin. Untuk informasi selengkapnya, lihat Cara menyebarkan titik akhir online dengan injeksi rahasia.
- Jika identitas titik akhir adalah UAI, tidak ada penetapan peran otomatis untuk peran Pembaca Rahasia Koneksi Ruang Kerja Azure Pembelajaran Mesin. Dalam hal ini, Anda perlu menetapkan peran secara manual ke identitas titik akhir sesuai kebutuhan.
Untuk informasi selengkapnya tentang peran Pembaca Rahasia Koneksi Ruang Kerja Azure Pembelajaran Mesin, lihat Menetapkan izin ke identitas.