Mengautentikasi klien untuk titik akhir online

BERLAKU UNTUK:Ekstensi ml Azure CLI v2 (saat ini)Python SDK azure-ai-ml v2 (saat ini)

Artikel ini membahas cara mengautentikasi klien untuk melakukan operasi sarana kontrol dan sarana data pada titik akhir online.

Operasi sarana kontrol mengontrol titik akhir dan mengubahnya. Operasi sarana kontrol termasuk operasi buat, baca, perbarui, dan hapus (CRUD) pada titik akhir online dan penyebaran online.

Operasi data plane menggunakan data untuk berinteraksi dengan titik akhir online tanpa mengubah titik akhir. Misalnya, operasi data plane dapat terdiri dari pengiriman permintaan penilaian ke titik akhir online dan mendapatkan respons.

Prasyarat

Sebelum mengikuti langkah-langkah dalam artikel ini, pastikan Anda memiliki prasyarat berikut:

• Ruang kerja Azure Machine Learning. Jika Anda tidak memilikinya, gunakan langkah-langkah dalam artikel Mulai Cepat: Membuat sumber daya ruang kerja untuk membuatnya.

• Azure CLI dan ml ekstensi atau Azure Pembelajaran Mesin Python SDK v2:

  • Untuk menginstal Azure CLI dan ekstensi, lihat Menginstal, menyiapkan, dan menggunakan CLI (v2).

    Penting

    Contoh CLI dalam artikel ini mengasumsikan bahwa Anda menggunakan shell Bash (atau kompatibel). Misalnya, dari sistem Linux atau Subsistem Windows untuk Linux.

  • Untuk memasang SDK Python v2, gunakan perintah berikut:

    pip install azure-ai-ml azure-identity
    

    Untuk memperbarui penginstalan SDK yang ada ke versi terbaru, gunakan perintah berikut:

    pip install --upgrade azure-ai-ml azure-identity
    

    Untuk informasi selengkapnya, lihat Menginstal Python SDK v2 untuk Azure Pembelajaran Mesin.

Menyiapkan identitas pengguna

Anda memerlukan identitas pengguna untuk melakukan operasi sarana kontrol (yaitu, operasi CRUD) dan operasi sarana data (yaitu, mengirim permintaan penilaian) di titik akhir online. Anda dapat menggunakan identitas pengguna yang sama atau identitas pengguna yang berbeda untuk operasi sarana kontrol dan sarana data. Dalam artikel ini, Anda menggunakan identitas pengguna yang sama untuk operasi sarana kontrol dan sarana data.

Untuk membuat identitas pengguna di bawah ID Microsoft Entra, lihat Menyiapkan autentikasi. Anda akan memerlukan ID identitas nanti.

Menetapkan izin ke identitas

Di bagian ini, Anda menetapkan izin ke identitas pengguna yang Anda gunakan untuk berinteraksi dengan titik akhir. Anda mulai dengan menggunakan peran bawaan atau dengan membuat peran kustom. Setelah itu, Anda menetapkan peran ke identitas pengguna Anda.

Menggunakan peran bawaan

Peran AzureML Data Scientist bawaan dapat digunakan untuk mengelola dan menggunakan titik akhir dan penyebaran dan menggunakan wildcard untuk menyertakan tindakan RBAC sarana kontrol berikut:

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action

dan untuk menyertakan tindakan RBAC sarana data berikut:

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action

Secara opsional, peran bawaan Azure Machine Learning Workspace Connection Secrets Reader dapat digunakan untuk mengakses rahasia dari koneksi ruang kerja dan mencakup tindakan RBAC sarana kontrol berikut:

• Microsoft.MachineLearningServices/workspaces/connections/listsecrets/action
• Microsoft.MachineLearningServices/workspaces/metadata/secrets/read

Jika Anda menggunakan peran bawaan ini, tidak ada tindakan yang diperlukan pada langkah ini.

(Opsional) Membuat peran kustom

Anda dapat melewati langkah ini jika Anda menggunakan peran bawaan atau peran kustom bawaan lainnya.

1. Tentukan cakupan dan tindakan untuk peran kustom dengan membuat definisi JSON dari peran. Misalnya, definisi peran berikut memungkinkan pengguna untuk CRUD titik akhir online, di bawah ruang kerja tertentu.

   custom-role-for-control-plane.json:

   {
       "Name": "Custom role for control plane operations - online endpoint",
       "IsCustom": true,
       "Description": "Can CRUD against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
       ]
   }
   

   Definisi peran berikut memungkinkan pengguna mengirim permintaan penilaian ke titik akhir online, di bawah ruang kerja tertentu.

   custom-role-for-scoring.json:

   {
       "Name": "Custom role for scoring - online endpoint",
       "IsCustom": true,
       "Description": "Can score against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
       ]
   }
   

2. Gunakan definisi JSON untuk membuat peran kustom:

   az role definition create --role-definition custom-role-for-control-plane.json --subscription <subscriptionId>
   
   az role definition create --role-definition custom-role-for-scoring.json --subscription <subscriptionId>
   

   Catatan

   Untuk membuat peran kustom, Anda memerlukan salah satu dari tiga peran:

   • pemilik
   • administrator akses pengguna
   • peran kustom dengan Microsoft.Authorization/roleDefinitions/write izin (untuk membuat/memperbarui/menghapus peran kustom) dan Microsoft.Authorization/roleDefinitions/read izin (untuk melihat peran kustom).

   Untuk informasi selengkapnya tentang membuat peran kustom, lihat Peran kustom Azure.

3. Verifikasi definisi peran:

   az role definition list --custom-role-only -o table
   
   az role definition list -n "Custom role for control plane operations - online endpoint"
   az role definition list -n "Custom role for scoring - online endpoint"
   
   export role_definition_id1=`(az role definition list -n "Custom role for control plane operations - online endpoint" --query "[0].id" | tr -d '"')`
   
   export role_definition_id2=`(az role definition list -n "Custom role for scoring - online endpoint" --query "[0].id" | tr -d '"')`
   

Menetapkan peran ke identitas

1. Jika Anda menggunakan peran bawaan AzureML Data Scientist , gunakan kode berikut untuk menetapkan peran ke identitas pengguna Anda.

   az role assignment create --assignee <identityId> --role "AzureML Data Scientist" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

2. Secara opsional, jika Anda menggunakan Azure Machine Learning Workspace Connection Secrets Reader peran bawaan, gunakan kode berikut untuk menetapkan peran ke identitas pengguna Anda.

   az role assignment create --assignee <identityId> --role "Azure Machine Learning Workspace Connection Secrets Reader" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

3. Jika Anda menggunakan peran kustom, gunakan kode berikut untuk menetapkan peran ke identitas pengguna Anda.

   az role assignment create --assignee <identityId> --role "Custom role for control plane operations - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   
   az role assignment create --assignee <identityId> --role "Custom role for scoring - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

   Catatan

   Untuk menetapkan peran kustom ke identitas pengguna, Anda memerlukan salah satu dari tiga peran:

   • pemilik
   • administrator akses pengguna
   • peran kustom yang memungkinkan Microsoft.Authorization/roleAssignments/write izin (untuk menetapkan peran kustom) dan Microsoft.Authorization/roleAssignments/read (untuk melihat penetapan peran).

   Untuk informasi selengkapnya tentang berbagai peran Azure dan izinnya, lihat Peran Azure dan Menetapkan peran Azure menggunakan Portal Microsoft Azure.

4. Konfirmasikan penetapan peran:

   az role assignment list --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

Mendapatkan token Microsoft Entra untuk operasi sarana kontrol

Lakukan langkah ini jika Anda berencana untuk melakukan operasi sarana kontrol dengan REST API, yang akan langsung menggunakan token.

Jika Anda berencana menggunakan cara lain seperti Azure Pembelajaran Mesin CLI (v2), Python SDK (v2), atau studio Azure Pembelajaran Mesin, Anda tidak perlu mendapatkan token Microsoft Entra secara manual. Sebaliknya, selama masuk, identitas pengguna Anda akan sudah diautentikasi, dan token akan secara otomatis diambil dan diteruskan untuk Anda.

Anda dapat mengambil token Microsoft Entra untuk operasi sarana kontrol dari titik akhir sumber daya Azure: https://management.azure.com.

Azure CLI

1. Masuk ke Azure.

   az login
   

2. Jika Anda ingin menggunakan identitas tertentu, gunakan kode berikut untuk masuk dengan identitas:

   az login --identity --username <identityId>
   

3. Gunakan konteks ini untuk mendapatkan token.

   export CONTROL_PLANE_TOKEN=`(az account get-access-token --resource https://management.azure.com --query accessToken | tr -d '"')`
   

REST

Dari komputer virtual Azure

Anda dapat memperoleh token berdasarkan identitas terkelola untuk Azure VM (saat VM mengaktifkan identitas terkelola).

1. Untuk mendapatkan token Microsoft Entra (aad_token) untuk operasi sarana kontrol pada Azure VM, kirimkan permintaan ke titik akhir Azure Instance Metadata Service (IMDS) untuk titik management.azure.comakhir sumber daya Azure :

   export CONTROL_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
   

   Tip

   Untuk mengekstrak token dari output JSON, jq utilitas digunakan sebagai contoh. Namun, Anda dapat menggunakan alat yang sesuai untuk tujuan ini.

   Untuk informasi selengkapnya tentang mendapatkan token berdasarkan identitas terkelola, lihat Mendapatkan token menggunakan HTTP.

Dari instans komputasi

Anda bisa mendapatkan token jika Anda menggunakan instans komputasi ruang kerja Azure Pembelajaran Mesin. Untuk mendapatkan token, Anda harus meneruskan ID klien dan rahasia identitas terkelola instans komputasi ke titik akhir identitas sistem terkelola (MSI) yang dikonfigurasi secara lokal di instans komputasi. Anda bisa mendapatkan titik akhir MSI, ID klien, dan rahasia dari variabel MSI_ENDPOINTlingkungan , , DEFAULT_IDENTITY_CLIENT_IDdan MSI_SECRET, masing-masing. Variabel ini diatur secara otomatis jika Anda mengaktifkan identitas terkelola untuk instans komputasi.

1. Dapatkan token untuk titik management.azure.com akhir sumber daya Azure dari instans komputasi ruang kerja:

   export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
   

Python

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://management.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

Lihat Mendapatkan token menggunakan pustaka klien identitas Azure untuk informasi selengkapnya.

Studio

Studio tidak mengekspos token Microsoft Entra untuk operasi sarana kontrol.

(Opsional) Memverifikasi titik akhir sumber daya dan ID klien untuk token Microsoft Entra

Setelah mengambil token Microsoft Entra, Anda dapat memverifikasi bahwa token adalah untuk titik management.azure.com akhir sumber daya Azure yang tepat dan ID klien yang tepat dengan mendekode token melalui jwt.ms, yang akan mengembalikan respons json dengan informasi berikut:

{
    "aud": "https://management.azure.com",
    "oid": "<your-object-id>"
}

Buat titik akhir

Contoh berikut membuat titik akhir dengan identitas yang ditetapkan sistem (SAI) sebagai identitas titik akhir. SAI adalah jenis identitas default identitas terkelola untuk titik akhir. Beberapa peran dasar secara otomatis ditetapkan untuk SAI. Untuk informasi selengkapnya tentang penetapan peran untuk identitas yang ditetapkan sistem, lihat Penetapan peran otomatis untuk identitas titik akhir.

Azure CLI

CLI tidak mengharuskan Anda untuk secara eksplisit menyediakan token sarana kontrol. Sebaliknya, CLI az login mengautentikasi Anda selama masuk, dan token secara otomatis diambil dan diteruskan untuk Anda.

1. Buat file YAML definisi titik akhir.

   endpoint.yml:

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineEndpoint.schema.json
   name: my-endpoint
   auth_mode: aad_token
   

2. Anda dapat mengganti auth_mode dengan key untuk autentikasi kunci, atau aml_token untuk autentikasi token Azure Pembelajaran Mesin. Dalam contoh ini, Anda menggunakan aad_token untuk autentikasi token Microsoft Entra.

   az ml online-endpoint create -f endpoint.yml
   

3. Periksa status titik akhir:

   az ml online-endpoint show -n my-endpoint
   

4. Jika Anda ingin mengambil auth_mode alih (misalnya, ke aad_token) saat membuat titik akhir, jalankan kode berikut:

   az ml online-endpoint create -n my-endpoint --auth_mode aad_token
   

5. Jika Anda ingin memperbarui titik akhir yang ada dan menentukan auth_mode (misalnya, ke aad_token), jalankan kode berikut:

   az ml online-endpoint update -n my-endpoint --set auth_mode=aad_token
   

REST

Panggilan REST API mengharuskan Anda untuk secara eksplisit menyediakan token sarana kontrol. Gunakan token sarana kontrol yang Anda ambil sebelumnya.

1. Membuat atau memperbarui titik akhir:

   export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
   export RESOURCE_GROUP=<RESOURCE_GROUP>
   export WORKSPACE=<AML_WORKSPACE_NAME>
   export ENDPOINT_NAME=<ENDPOINT_NAME>
   export LOCATION=<LOCATION_NAME>
   export API_VERSION=2023-04-01
   
   response=$(curl --location --request PUT "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
   --header "Content-Type: application/json" \
   --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
   --data-raw "{
       \"identity\": {
          \"type\": \"systemAssigned\"
       },
       \"properties\": {
           \"authMode\": \"AADToken\"
       },
       \"location\": \"$LOCATION\"
   }")
   
   echo $response
   

   Anda dapat mengganti authMode dengan key untuk autentikasi kunci, atau AMLToken untuk autentikasi token Azure Pembelajaran Mesin. Dalam contoh ini, Anda menggunakan AADToken untuk autentikasi token Microsoft Entra.

2. Dapatkan status titik akhir online saat ini:

   response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
   --header "Content-Type: application/json" \
   --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
   )
   
   echo $response
   

Python

Python SDK tidak mengharuskan Anda untuk secara eksplisit menyediakan token sarana kontrol. Sebaliknya, SDK MLClient mengautentikasi Anda selama masuk, dan token secara otomatis diambil dan diteruskan untuk Anda.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    ManagedOnlineEndpoint,
    ManagedOnlineDeployment,
    Model,
    Environment,
    CodeConfiguration,
)
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<AML_WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

endpoint = ManagedOnlineEndpoint(
    name="my-endpoint",
    description="this is a sample online endpoint",
    auth_mode="aad_token",
    tags={"foo": "bar"},
)
ml_client.online_endpoints.begin_create_or_update(endpoint).result()

Anda dapat mengganti auth_mode dengan key untuk autentikasi kunci, atau aml_token untuk autentikasi token Azure Pembelajaran Mesin. Dalam contoh ini, Anda menggunakan aad_token untuk autentikasi token Microsoft Entra.

Studio

Studio tidak mengharuskan Anda untuk secara eksplisit menyediakan token sarana kontrol, karena studio akan mengautentikasi Anda selama masuk, dan token akan secara otomatis diambil dan diteruskan untuk Anda.

Untuk informasi selengkapnya tentang menyebarkan titik akhir online, lihat Menyebarkan model ML dengan titik akhir online (melalui Studio)

Membuat penyebaran

Untuk membuat penyebaran, lihat Menyebarkan model ML dengan titik akhir online atau Menggunakan REST untuk menyebarkan model sebagai titik akhir online. Tidak ada perbedaan dalam cara Anda membuat penyebaran untuk mode autentikasi yang berbeda.

Azure CLI

Kode berikut adalah contoh cara membuat penyebaran. Untuk informasi selengkapnya tentang menyebarkan titik akhir online, lihat Menyebarkan model ML dengan titik akhir online (melalui CLI)

1. Buat file YAML definisi penyebaran.

   blue-deployment.yml:

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineDeployment.schema.json
   name: blue
   endpoint_name: my-aad-auth-endp1
   model:
     path: ../../model-1/model/
   code_configuration:
     code: ../../model-1/onlinescoring/
     scoring_script: score.py
   environment: 
     conda_file: ../../model-1/environment/conda.yml
     image: mcr.microsoft.com/azureml/openmpi4.1.0-ubuntu20.04:latest
   instance_type: Standard_DS3_v2
   instance_count: 1
   

2. Buat penyebaran menggunakan file YAML. Untuk contoh ini, atur semua lalu lintas ke penyebaran baru.

   az ml online-deployment create -f blue-deployment.yml --all-traffic
   

REST

Untuk informasi selengkapnya tentang menyebarkan titik akhir online menggunakan REST, lihat Menggunakan REST untuk menyebarkan model sebagai titik akhir online.

Python

Untuk informasi selengkapnya tentang menyebarkan titik akhir online, lihat Menyebarkan model ML dengan titik akhir online (melalui SDK)

Studio

Untuk informasi selengkapnya tentang menyebarkan titik akhir online, lihat Menyebarkan model ML dengan titik akhir online (melalui Studio)

Mendapatkan URI penilaian untuk titik akhir

Azure CLI

Jika Anda berencana menggunakan CLI untuk memanggil titik akhir, Anda tidak diharuskan untuk mendapatkan URI penilaian secara eksplisit, karena CLI menanganinya untuk Anda. Namun, Anda masih dapat menggunakan CLI untuk mendapatkan URI penilaian sehingga Anda dapat menggunakannya dengan saluran lain, seperti REST API.

scoringUri=$(az ml online-endpoint show -n my-endpoint --query "scoring_uri")

REST

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export API_VERSION=2023-04-01
response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")
scoringUri=$(echo $response | jq -r '.properties' | jq -r '.scoringUri')

echo $response
echo $scoringUri

Python

Jika Anda berencana menggunakan Python SDK untuk memanggil titik akhir, Anda tidak diharuskan untuk mendapatkan URI penilaian secara eksplisit, karena SDK menanganinya untuk Anda. Namun, Anda masih dapat menggunakan SDK untuk mendapatkan URI penilaian sehingga Anda dapat menggunakannya dengan saluran lain, seperti REST API.

scoring_uri = ml_client.online_endpoints.get(name=endpoint_name).scoring_uri

Studio

Jika Anda berencana menggunakan studio untuk memanggil titik akhir, Anda tidak diharuskan untuk mendapatkan URI penilaian secara eksplisit, karena studio menanganinya untuk Anda. Namun, Anda masih dapat menggunakan studio untuk mendapatkan URI penilaian sehingga Anda dapat menggunakannya dengan saluran lain, seperti REST API.

Anda dapat menemukan URI penilaian pada tab Detail di halaman titik akhir.

Mendapatkan kunci atau token untuk operasi sarana data

Kunci atau token dapat digunakan untuk operasi sarana data, meskipun proses mendapatkan kunci atau token adalah operasi sarana kontrol. Dengan kata lain, Anda menggunakan token sarana kontrol untuk mendapatkan kunci atau token yang nantinya Anda gunakan untuk melakukan operasi sarana data Anda.

Mendapatkan kunci atau token Azure Pembelajaran Mesin mengharuskan peran yang benar ditetapkan ke identitas pengguna yang memintanya, seperti yang dijelaskan dalam otorisasi untuk operasi sarana kontrol. Mendapatkan token Microsoft Entra tidak memerlukan peran tambahan untuk identitas pengguna.

Azure CLI

Jika Anda berencana menggunakan CLI untuk memanggil titik akhir, Anda tidak diharuskan untuk mendapatkan kunci atau token untuk operasi bidang data secara eksplisit, karena CLI menanganinya untuk Anda. Namun, Anda masih dapat menggunakan CLI untuk mendapatkan kunci atau token untuk operasi sarana data sehingga Anda dapat menggunakannya dengan saluran lain, seperti REST API.

Untuk mendapatkan kunci atau token untuk operasi bidang data, gunakan perintah az ml online-endpoint get-credentials . Perintah ini mengembalikan output JSON yang berisi kunci, token, dan/atau informasi tambahan.

Tip

Untuk mengekstrak informasi tertentu dari output JSON, --query parameter perintah CLI digunakan sebagai contoh. Namun, Anda dapat menggunakan alat yang sesuai untuk tujuan ini.

Kapan auth_mode titik akhir adalah key

• Kunci dikembalikan di primaryKey bidang dan secondaryKey .

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query primaryKey)
export DATA_PLANE_TOKEN2=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query secondaryKey)

Kapan auth_mode titik akhir adalah aml_token

• Token dikembalikan di accessToken bidang .
• Waktu kedaluwarsa token dikembalikan di expiryTimeUtc bidang .
• Waktu refresh token dikembalikan di refreshAfterTimeUtc bidang .

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)
export REFRESH_AFTER_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query refreshAfterTimeUtc)

Kapan auth_mode titik akhir adalah aad_token

• Token dikembalikan di accessToken bidang .
• Waktu kedaluwarsa token dikembalikan di expiryTimeUtc bidang .

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)

REST

Untuk mendapatkan kunci atau token untuk operasi sarana data, pilih API yang tepat, tergantung pada auth_mode titik akhir. API mengembalikan output JSON yang menyertakan kunci dan token.

Tip

jq Utilitas digunakan untuk menunjukkan cara mengekstrak informasi tertentu dari output JSON. Namun, Anda dapat menggunakan alat yang sesuai untuk tujuan ini.

Kapan auth_mode titik akhir adalah key

• listkeys Gunakan API.
• Kunci dikembalikan di primaryKey bidang dan secondaryKey .

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/listkeys?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.primaryKey')

Kapan auth_mode titik akhir adalah aml_token

• token Gunakan API.
• Token dikembalikan di accessToken bidang .
• Waktu kedaluwarsa token dikembalikan di expiryTimeUtc bidang
• Waktu refresh token dikembalikan di refreshAfterTimeUtc bidang

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/token?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.accessToken')
export EXPIRY_TIME_UTC=$(echo $response | jq -r '.expiryTimeUtc')
export REFRESH_AFTER_TIME_UTC=$(echo $response | jq -r '.refreshAfterTimeUtc')

Kapan auth_mode titik akhir adalah aad_token

• Gunakan titik akhir IMDS atau titik akhir MSI, tergantung di mana Anda meminta token.
• Token dikembalikan di accessToken bidang .
• Waktu kedaluwarsa token dikembalikan di expiryTimeUtc bidang

Dari komputer virtual Azure

Anda dapat memperoleh token berdasarkan identitas terkelola untuk Azure VM (saat VM mengaktifkan identitas terkelola).

1. Untuk mendapatkan token Microsoft Entra (aad_token) untuk operasi sarana data di Azure VM dengan identitas terkelola, kirimkan permintaan ke titik akhir Azure Instance Metadata Service (IMDS) untuk titik ml.azure.comakhir sumber daya Azure :

   export DATA_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
   export EXPIRY_TIME_UTC=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.expiryTimeUtc' )`
   

   Untuk informasi selengkapnya tentang mendapatkan token berdasarkan identitas terkelola, lihat Mendapatkan token menggunakan HTTP.

Dari instans komputasi

Anda bisa mendapatkan token jika Anda menggunakan instans komputasi ruang kerja Azure Pembelajaran Mesin. Untuk mendapatkan token, Anda harus meneruskan ID klien dan rahasia identitas terkelola instans komputasi ke titik akhir identitas sistem terkelola (MSI) yang dikonfigurasi secara lokal di instans komputasi. Anda bisa mendapatkan titik akhir MSI, ID klien, dan rahasia dari variabel MSI_ENDPOINTlingkungan , , DEFAULT_IDENTITY_CLIENT_IDdan MSI_SECRET, masing-masing. Variabel ini diatur secara otomatis jika Anda mengaktifkan identitas terkelola untuk instans komputasi.

1. Dapatkan token untuk titik ml.azure.com akhir sumber daya Azure dari instans komputasi ruang kerja:

   export DATA_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
   export EXPIRY_TIME_UTC=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.expiryTimeUtc' )`
   

Penting

Tidak seperti token Microsoft Entra untuk operasi sarana kontrol, yang diambil dari management.azure.com, token Microsoft Entra untuk operasi sarana data diambil dari titik ml.azure.comakhir sumber daya Azure .

Python

Jika Anda berencana menggunakan SDK untuk memanggil titik akhir, Anda tidak diharuskan untuk mendapatkan kunci atau token untuk operasi bidang data secara eksplisit, karena SDK menanganinya untuk Anda. Namun, Anda masih dapat menggunakan SDK untuk mendapatkan kunci atau token untuk operasi sarana data sehingga Anda dapat menggunakannya dengan saluran lain, seperti REST API.

Untuk mendapatkan kunci atau token untuk operasi bidang data, gunakan metode get_keys di OnlineEndpointOperations kelas . Metode ini mengembalikan objek yang menyertakan kunci dan token.

Kapan auth_mode titik akhir adalah key

• Kunci dikembalikan di primary_key bidang dan secondary_key .

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).primary_key
DATA_PLANE_TOKEN2 = ml_client.online_endpoints.get_keys(name=endpoint_name).secondary_key

Kapan auth_mode titik akhir adalah aml_token

• Token dikembalikan di access_token bidang .
• Waktu kedaluwarsa token dikembalikan di expiry_time_utc bidang .
• Waktu refresh token dikembalikan di refresh_after_time_utc bidang .

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc
REFRESH_AFTER_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).refresh_after_time_utc

Kapan auth_mode titik akhir adalah aad_token

• Token dikembalikan di access_token bidang .
• Waktu kedaluwarsa token dikembalikan di expiry_time_utc bidang .

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc

Lihat Mendapatkan token menggunakan pustaka klien identitas Azure untuk informasi selengkapnya.

Studio

Anda dapat menemukan kunci, token Azure Pembelajaran Mesin, atau token Microsoft Entra pada tab Konsumsi di halaman titik akhir.

Memverifikasi titik akhir sumber daya dan ID klien untuk token Microsoft Entra

Setelah mendapatkan token Entra, Anda dapat memverifikasi bahwa token adalah untuk titik ml.azure.com akhir sumber daya Azure yang tepat dan ID klien yang tepat dengan mendekode token melalui jwt.ms, yang akan mengembalikan respons json dengan informasi berikut:

{
    "aud": "https://ml.azure.com",
    "oid": "<your-object-id>"
}

Menilai data menggunakan kunci atau token

Azure CLI

Anda dapat menggunakan az ml online-endpoint invoke untuk titik akhir dengan kunci, token Azure Pembelajaran Mesin, atau token Microsoft Entra. CLI menangani kunci atau token secara otomatis sehingga Anda tidak perlu meneruskannya secara eksplisit.

az ml online-endpoint invoke -n my-endpoint -r request.json

REST

Saat memanggil titik akhir online untuk penilaian, berikan kunci, token Azure Pembelajaran Mesin, atau token Microsoft Entra di header otorisasi. Kode berikut menunjukkan cara menggunakan utilitas curl untuk memanggil titik akhir online menggunakan kunci atau token:

curl --request POST "$scoringUri" --header "Authorization: Bearer $DATA_PLANE_TOKEN" --header 'Content-Type: application/json' --data @endpoints/online/model-1/sample-request.json

Python

Azure Pembelajaran Mesin SDK menggunakan ml_client.online_endpoints.invoke() didukung untuk kunci, token Azure Pembelajaran Mesin, dan token Microsoft Entra. Selain menggunakan Azure Pembelajaran Mesin SDK, Anda juga dapat menggunakan Python SDK generik untuk mengirim permintaan POST ke URI penilaian.

Saat memanggil titik akhir online untuk penilaian, berikan kunci atau token di header otorisasi. Kode berikut menunjukkan cara memanggil titik akhir online menggunakan kunci atau token dengan Python SDK generik. Dalam kode, ganti api_key variabel dengan kunci atau token Anda.

import urllib.request
import json
import os

data = {"data": [
    [1,2,3,4,5,6,7,8,9,10], 
    [10,9,8,7,6,5,4,3,2,1]
]}

body = str.encode(json.dumps(data))

url = '<scoring URI as retrieved earlier>'
api_key = '<key or token as retrieved earlier>'
headers = {'Content-Type':'application/json', 'Authorization':('Bearer '+ api_key)}

req = urllib.request.Request(url, body, headers)

try:
    response = urllib.request.urlopen(req)

    result = response.read()
    print(result)
except urllib.error.HTTPError as error:
    print("The request failed with status code: " + str(error.code))

    # Print the headers - they include the requert ID and the timestamp, which are useful for debugging the failure
    print(error.info())
    print(error.read().decode("utf8", 'ignore'))

Studio

Token Pembelajaran Mesin Kunci atau Azure

Tab Uji halaman detail penyebaran mendukung penilaian untuk titik akhir dengan kunci, token Azure Pembelajaran Mesin, atau autentikasi token Microsoft Entra.

Mencatat dan memantau lalu lintas

Untuk mengaktifkan pengelogan lalu lintas di pengaturan diagnostik untuk titik akhir, ikuti langkah-langkah dalam Cara mengaktifkan/menonaktifkan log.

Jika pengaturan diagnostik diaktifkan, Anda dapat memeriksa AmlOnlineEndpointTrafficLogs tabel untuk melihat mode autentikasi dan identitas pengguna.

Konten terkait

• Autentikasi untuk titik akhir online terkelola
• Menyebarkan model pembelajaran mesin menggunakan titik akhir online
• Mengaktifkan isolasi jaringan untuk titik akhir online terkelola