Clients verifiëren voor online-eindpunten

VAN TOEPASSING OP:Azure CLI ml extension v2 (current)Python SDK azure-ai-ml v2 (current)

In dit artikel wordt beschreven hoe u clients verifieert voor het uitvoeren van besturingsvlak- en gegevensvlakbewerkingen op online-eindpunten.

Een besturingsvlak bepaalt een eindpunt en wijzigt het. Besturingsvlakbewerkingen zijn onder andere CRUD-bewerkingen (create, read, update, delete) op online-eindpunten en onlineimplementaties.

Een gegevensvlakbewerking maakt gebruik van gegevens om te communiceren met een online-eindpunt zonder het eindpunt te wijzigen. Een gegevensvlakbewerking kan bijvoorbeeld bestaan uit het verzenden van een scoreaanvraag naar een online-eindpunt en het ophalen van een antwoord.

Vereisten

Voordat u de stappen in dit artikel volgt, moet u ervoor zorgen dat u over de volgende vereisten beschikt:

• Een Azure Machine Learning-werkruimte. Als u er nog geen hebt, gebruikt u de stappen in de quickstart: artikel Werkruimtebronnen maken om er een te maken.

• De Azure CLI en de ml extensie of de Azure Machine Learning Python SDK v2:

  • Zie De CLI (v2) installeren, instellen en gebruiken om de Azure CLI en extensie te installeren.

    Belangrijk

    In de CLI-voorbeelden in dit artikel wordt ervan uitgegaan dat u de Bash-shell (of compatibele) shell gebruikt. Bijvoorbeeld vanuit een Linux-systeem of Windows-subsysteem voor Linux.

  • Gebruik de volgende opdracht om de Python SDK v2 te installeren:

    pip install azure-ai-ml azure-identity
    

    Gebruik de volgende opdracht om een bestaande installatie van de SDK bij te werken naar de nieuwste versie:

    pip install --upgrade azure-ai-ml azure-identity
    

    Zie De Python SDK v2 voor Azure Machine Learning installeren voor meer informatie.

Een gebruikersidentiteit voorbereiden

U hebt een gebruikersidentiteit nodig voor het uitvoeren van besturingsvlakbewerkingen (dat wil gezegd CRUD-bewerkingen) en gegevensvlakbewerkingen (dat wil gezegd scoreaanvragen verzenden) op het online-eindpunt. U kunt dezelfde gebruikersidentiteit of verschillende gebruikersidentiteiten gebruiken voor de besturingsvlak- en gegevensvlakbewerkingen. In dit artikel gebruikt u dezelfde gebruikersidentiteit voor bewerkingen op het besturingsvlak en het gegevensvlak.

Zie Verificatie instellen als u een gebruikersidentiteit wilt maken onder Microsoft Entra-id. U hebt de id later nodig.

Machtigingen toewijzen aan de identiteit

In deze sectie wijst u machtigingen toe aan de gebruikersidentiteit die u gebruikt voor interactie met het eindpunt. U begint met het gebruik van een ingebouwde rol of door een aangepaste rol te maken. Daarna wijst u de rol toe aan uw gebruikersidentiteit.

Een ingebouwde rol gebruiken

De AzureML Data Scientist ingebouwde rol kan worden gebruikt voor het beheren en gebruiken van eindpunten en implementaties en maakt gebruik van jokertekens om de volgende RBAC-acties voor het besturingsvlak op te nemen:

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action

en om de volgende RBAC-actie voor het gegevensvlak op te nemen:

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action

De ingebouwde rol kan eventueel Azure Machine Learning Workspace Connection Secrets Reader worden gebruikt voor toegang tot geheimen vanuit werkruimteverbindingen en bevat de volgende RBAC-acties voor het besturingsvlak :

• Microsoft.MachineLearningServices/workspaces/connections/listsecrets/action
• Microsoft.MachineLearningServices/workspaces/metadata/secrets/read

Als u deze ingebouwde rollen gebruikt, is er geen actie nodig bij deze stap.

(Optioneel) Een aangepaste rol maken

U kunt deze stap overslaan als u ingebouwde rollen of andere vooraf gemaakte aangepaste rollen gebruikt.

1. Definieer het bereik en de acties voor aangepaste rollen door JSON-definities van de rollen te maken. Met de volgende roldefinitie kan de gebruiker bijvoorbeeld een online-eindpunt onder een opgegeven werkruimte CRUD gebruiken.

   custom-role-for-control-plane.json:

   {
       "Name": "Custom role for control plane operations - online endpoint",
       "IsCustom": true,
       "Description": "Can CRUD against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
       ]
   }
   

   Met de volgende roldefinitie kan de gebruiker scoreaanvragen verzenden naar een online-eindpunt, onder een opgegeven werkruimte.

   custom-role-for-scoring.json:

   {
       "Name": "Custom role for scoring - online endpoint",
       "IsCustom": true,
       "Description": "Can score against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
       ]
   }
   

2. Gebruik de JSON-definities om aangepaste rollen te maken:

   az role definition create --role-definition custom-role-for-control-plane.json --subscription <subscriptionId>
   
   az role definition create --role-definition custom-role-for-scoring.json --subscription <subscriptionId>
   

   Notitie

   Als u aangepaste rollen wilt maken, hebt u een van de volgende drie rollen nodig:

   • eigenaar
   • beheerder van gebruikerstoegang
   • een aangepaste rol met Microsoft.Authorization/roleDefinitions/write machtiging (aangepaste rollen maken/bijwerken/verwijderen) en Microsoft.Authorization/roleDefinitions/read machtiging (om aangepaste rollen weer te geven).

   Zie Aangepaste Azure-rollen voor meer informatie over het maken van aangepaste rollen.

3. Controleer de roldefinitie:

   az role definition list --custom-role-only -o table
   
   az role definition list -n "Custom role for control plane operations - online endpoint"
   az role definition list -n "Custom role for scoring - online endpoint"
   
   export role_definition_id1=`(az role definition list -n "Custom role for control plane operations - online endpoint" --query "[0].id" | tr -d '"')`
   
   export role_definition_id2=`(az role definition list -n "Custom role for scoring - online endpoint" --query "[0].id" | tr -d '"')`
   

De rol toewijzen aan de identiteit

1. Als u de AzureML Data Scientist ingebouwde rol gebruikt, gebruikt u de volgende code om de rol toe te wijzen aan uw gebruikersidentiteit.

   az role assignment create --assignee <identityId> --role "AzureML Data Scientist" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

2. Als u de Azure Machine Learning Workspace Connection Secrets Reader ingebouwde rol gebruikt, gebruikt u desgewenst de volgende code om de rol toe te wijzen aan uw gebruikersidentiteit.

   az role assignment create --assignee <identityId> --role "Azure Machine Learning Workspace Connection Secrets Reader" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

3. Als u een aangepaste rol gebruikt, gebruikt u de volgende code om de rol toe te wijzen aan uw gebruikersidentiteit.

   az role assignment create --assignee <identityId> --role "Custom role for control plane operations - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   
   az role assignment create --assignee <identityId> --role "Custom role for scoring - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

   Notitie

   Als u aangepaste rollen wilt toewijzen aan de gebruikersidentiteit, hebt u een van de volgende drie rollen nodig:

   • eigenaar
   • beheerder van gebruikerstoegang
   • een aangepaste rol die machtigingen toestaat Microsoft.Authorization/roleAssignments/write (aangepaste rollen toewijzen) en Microsoft.Authorization/roleAssignments/read (om roltoewijzingen weer te geven).

   Zie Azure-rollen en het toewijzen van Azure-rollen met behulp van Azure Portal voor meer informatie over de verschillende Azure-rollen en hun machtigingen.

4. Bevestig de roltoewijzing:

   az role assignment list --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

Het Microsoft Entra-token ophalen voor besturingsvlakbewerkingen

Voer deze stap uit als u van plan bent om besturingsvlakbewerkingen uit te voeren met REST API, die rechtstreeks gebruikmaken van het token.

Als u van plan bent om andere manieren te gebruiken, zoals Azure Machine Learning CLI (v2), Python SDK (v2) of de Azure Machine Learning-studio, hoeft u het Microsoft Entra-token niet handmatig op te halen. In plaats daarvan wordt uw gebruikersidentiteit tijdens het aanmelden al geverifieerd en wordt het token automatisch voor u opgehaald en doorgegeven.

U kunt het Microsoft Entra-token ophalen voor besturingsvlakbewerkingen van het Azure-resource-eindpunt: https://management.azure.com.

Azure-CLI

1. Meld u aan bij Azure.

   az login
   

2. Als u een specifieke identiteit wilt gebruiken, gebruikt u de volgende code om u aan te melden met de identiteit:

   az login --identity --username <identityId>
   

3. Gebruik deze context om het token op te halen.

   export CONTROL_PLANE_TOKEN=`(az account get-access-token --resource https://management.azure.com --query accessToken | tr -d '"')`
   

REST

Van een virtuele Azure-machine

U kunt het token verkrijgen op basis van de beheerde identiteit voor een Azure-VM (wanneer de VM een beheerde identiteit inschakelt).

1. Als u het Microsoft Entra-token (aad_token) wilt ophalen voor de bewerking van het besturingsvlak op de Azure-VM, dient u de aanvraag in bij het EINDPUNT van de Azure Instance Metadata Service (IMDS) voor het Azure-resource-eindpunt management.azure.com:

   export CONTROL_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
   

   Tip

   Als u het token wilt extraheren uit de JSON-uitvoer, wordt het jq hulpprogramma als voorbeeld gebruikt. U kunt hiervoor echter elk geschikt hulpmiddel gebruiken.

   Zie Een token ophalen met BEHULP van HTTP voor meer informatie over het ophalen van tokens op basis van beheerde identiteiten.

Vanuit een rekenproces

U kunt het token ophalen als u het rekenproces van de Azure Machine Learning-werkruimte gebruikt. Als u het token wilt ophalen, moet u de client-id en het geheim van de beheerde identiteit van het rekenproces doorgeven aan het MSI-eindpunt (Managed System Identity) dat lokaal in het rekenproces is geconfigureerd. U kunt het MSI-eindpunt, de client-id en het geheim ophalen uit de omgevingsvariabelenMSI_ENDPOINTDEFAULT_IDENTITY_CLIENT_ID, en MSI_SECRETrespectievelijk. Deze variabelen worden automatisch ingesteld als u beheerde identiteit voor het rekenproces inschakelt.

1. Haal het token voor het Azure-resource-eindpunt management.azure.com op uit het rekenproces van de werkruimte:

   export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
   

Python

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://management.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

Zie Een token ophalen met behulp van de Azure Identity-clientbibliotheek voor meer informatie.

Studio

In de studio wordt het Microsoft Entra-token niet weergegeven voor besturingsvlakbewerkingen.

(Optioneel) Het resource-eindpunt en de client-id voor het Microsoft Entra-token verifiëren

Nadat u het Microsoft Entra-token hebt opgehaald, kunt u controleren of het token voor het juiste Azure-resource-eindpunt management.azure.com en de juiste client-id is door het token te decoderen via jwt.ms, waarmee een json-antwoord wordt geretourneerd met de volgende informatie:

{
    "aud": "https://management.azure.com",
    "oid": "<your-object-id>"
}

Een eindpunt maken

In het volgende voorbeeld wordt het eindpunt gemaakt met een door het systeem toegewezen identiteit (SAI) als eindpuntidentiteit. De SAI is het standaardidentiteitstype van de beheerde identiteit voor eindpunten. Sommige basisrollen worden automatisch toegewezen voor de SAI. Zie Automatische roltoewijzing voor eindpuntidentiteit voor meer informatie over roltoewijzing voor een door het systeem toegewezen identiteit.

Azure-CLI

De CLI vereist niet dat u het token voor het besturingsvlak expliciet opgeeft. In plaats daarvan verifieert de CLI az login u tijdens het aanmelden en wordt het token automatisch voor u opgehaald en doorgegeven.

1. Maak een YAML-bestand met eindpuntdefinities.

   endpoint.yml:

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineEndpoint.schema.json
   name: my-endpoint
   auth_mode: aad_token
   

2. U kunt vervangen door auth_mode key sleutelverificatie of aml_token voor verificatie van Azure Machine Learning-token. In dit voorbeeld gebruikt aad_token u voor verificatie van Microsoft Entra-token.

   az ml online-endpoint create -f endpoint.yml
   

3. Controleer de status van het eindpunt:

   az ml online-endpoint show -n my-endpoint
   

4. Als u wilt overschrijven auth_mode (bijvoorbeeld naar aad_token) bij het maken van een eindpunt, voert u de volgende code uit:

   az ml online-endpoint create -n my-endpoint --auth_mode aad_token
   

5. Als u het bestaande eindpunt wilt bijwerken en wilt opgeven auth_mode (bijvoorbeeld naar aad_token), voert u de volgende code uit:

   az ml online-endpoint update -n my-endpoint --set auth_mode=aad_token
   

REST

Voor de REST API-aanroep moet u expliciet het token voor het besturingsvlak opgeven. Gebruik het token van het besturingsvlak dat u eerder hebt opgehaald.

1. Een eindpunt maken of bijwerken:

   export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
   export RESOURCE_GROUP=<RESOURCE_GROUP>
   export WORKSPACE=<AML_WORKSPACE_NAME>
   export ENDPOINT_NAME=<ENDPOINT_NAME>
   export LOCATION=<LOCATION_NAME>
   export API_VERSION=2023-04-01
   
   response=$(curl --location --request PUT "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
   --header "Content-Type: application/json" \
   --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
   --data-raw "{
       \"identity\": {
          \"type\": \"systemAssigned\"
       },
       \"properties\": {
           \"authMode\": \"AADToken\"
       },
       \"location\": \"$LOCATION\"
   }")
   
   echo $response
   

   U kunt vervangen door authMode key sleutelverificatie of AMLToken voor verificatie van Azure Machine Learning-token. In dit voorbeeld gebruikt AADToken u voor verificatie van Microsoft Entra-token.

2. De huidige status van het online-eindpunt ophalen:

   response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
   --header "Content-Type: application/json" \
   --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
   )
   
   echo $response
   

Python

Python SDK vereist niet dat u het token voor het besturingsvlak expliciet opgeeft. In plaats daarvan verifieert de SDK MLClient u tijdens het aanmelden en wordt het token automatisch voor u opgehaald en doorgegeven.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    ManagedOnlineEndpoint,
    ManagedOnlineDeployment,
    Model,
    Environment,
    CodeConfiguration,
)
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<AML_WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

endpoint = ManagedOnlineEndpoint(
    name="my-endpoint",
    description="this is a sample online endpoint",
    auth_mode="aad_token",
    tags={"foo": "bar"},
)
ml_client.online_endpoints.begin_create_or_update(endpoint).result()

U kunt vervangen door auth_mode key sleutelverificatie of aml_token voor verificatie van Azure Machine Learning-token. In dit voorbeeld gebruikt aad_token u voor verificatie van Microsoft Entra-token.

Studio

De studio vereist niet dat u expliciet het token voor het besturingsvlak opgeeft, omdat de studio u al zou verifiëren tijdens het aanmelden en het token automatisch voor u wordt opgehaald en doorgegeven.

Zie Een ML-model implementeren met een online-eindpunt (via Studio) voor meer informatie over het implementeren van online-eindpunten

Een implementatie maken

Zie Een ML-model implementeren met een online-eindpunt of REST gebruiken om een model als een online-eindpunt te implementeren om een implementatie te maken. Er is geen verschil in hoe u implementaties maakt voor verschillende verificatiemodi.

Azure-CLI

De volgende code is een voorbeeld van het maken van een implementatie. Zie Een ML-model implementeren met een online-eindpunt (via CLI) voor meer informatie over het implementeren van online-eindpunten

1. Maak een YAML-bestand voor de implementatiedefinitie.

   blue-deployment.yml:

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineDeployment.schema.json
   name: blue
   endpoint_name: my-aad-auth-endp1
   model:
     path: ../../model-1/model/
   code_configuration:
     code: ../../model-1/onlinescoring/
     scoring_script: score.py
   environment: 
     conda_file: ../../model-1/environment/conda.yml
     image: mcr.microsoft.com/azureml/openmpi4.1.0-ubuntu20.04:latest
   instance_type: Standard_DS3_v2
   instance_count: 1
   

2. Maak de implementatie met behulp van het YAML-bestand. In dit voorbeeld stelt u al het verkeer in op de nieuwe implementatie.

   az ml online-deployment create -f blue-deployment.yml --all-traffic
   

REST

Zie REST gebruiken om een model als een online-eindpunt te implementeren voor meer informatie over het implementeren van online-eindpunten met BEHULP van REST.

Python

Zie Een ML-model implementeren met een online-eindpunt (via SDK) voor meer informatie over het implementeren van online-eindpunten

Studio

Zie Een ML-model implementeren met een online-eindpunt (via Studio) voor meer informatie over het implementeren van online-eindpunten

De score-URI voor het eindpunt ophalen

Azure-CLI

Als u van plan bent om de CLI te gebruiken om het eindpunt aan te roepen, hoeft u de score-URI niet expliciet op te halen, omdat de CLI dit voor u afhandelt. U kunt echter nog steeds de CLI gebruiken om de score-URI op te halen, zodat u deze kunt gebruiken met andere kanalen, zoals REST API.

scoringUri=$(az ml online-endpoint show -n my-endpoint --query "scoring_uri")

REST

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export API_VERSION=2023-04-01
response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")
scoringUri=$(echo $response | jq -r '.properties' | jq -r '.scoringUri')

echo $response
echo $scoringUri

Python

Als u van plan bent om de Python SDK te gebruiken om het eindpunt aan te roepen, hoeft u de score-URI niet expliciet op te halen, omdat de SDK deze voor u afhandelt. U kunt de SDK echter nog steeds gebruiken om de score-URI op te halen, zodat u deze kunt gebruiken met andere kanalen, zoals REST API.

scoring_uri = ml_client.online_endpoints.get(name=endpoint_name).scoring_uri

Studio

Als u van plan bent om de studio te gebruiken om het eindpunt aan te roepen, hoeft u de score-URI niet expliciet op te halen, omdat de studio dit voor u afhandelt. U kunt de studio echter nog steeds gebruiken om de score-URI op te halen, zodat u deze kunt gebruiken met andere kanalen, zoals REST API.

U vindt de score-URI op het tabblad Details van de pagina van het eindpunt.

De sleutel of het token ophalen voor bewerkingen van het gegevensvlak

Een sleutel of token kan worden gebruikt voor bewerkingen van het gegevensvlak, ook al is het ophalen van de sleutel of het token een besturingsvlakbewerking. Met andere woorden, u gebruikt een token voor het besturingsvlak om de sleutel of het token op te halen die u later gebruikt om uw gegevensvlakbewerkingen uit te voeren.

Als u de sleutel of het Azure Machine Learning-token ophaalt, moet de juiste rol worden toegewezen aan de gebruikersidentiteit die deze aanvraagt, zoals wordt beschreven in autorisatie voor besturingsvlakbewerkingen. Voor het ophalen van het Microsoft Entra-token zijn geen extra rollen vereist voor de gebruikersidentiteit.

Azure-CLI

Als u van plan bent om de CLI te gebruiken om het eindpunt aan te roepen, hoeft u de sleutels of het token niet expliciet op te halen voor gegevensvlakbewerkingen, omdat de CLI dit voor u afhandelt. U kunt echter nog steeds de CLI gebruiken om de sleutels of het token op te halen voor de bewerking van het gegevensvlak, zodat u deze kunt gebruiken met andere kanalen, zoals REST API.

Gebruik de opdracht az ml online-endpoint get-credentials om de sleutels of het token op te halen voor gegevensvlakbewerkingen . Met deze opdracht wordt een JSON-uitvoer geretourneerd die de sleutels, het token en/of aanvullende informatie bevat.

Tip

Als u een specifieke informatie wilt extraheren uit de JSON-uitvoer, wordt de --query parameter van de CLI-opdracht gebruikt als voorbeeld. U kunt hiervoor echter elk geschikt hulpmiddel gebruiken.

Wanneer auth_mode van het eindpunt key

• Sleutels worden geretourneerd in de primaryKey en secondaryKey velden.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query primaryKey)
export DATA_PLANE_TOKEN2=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query secondaryKey)

Wanneer auth_mode van het eindpunt aml_token

• Token wordt geretourneerd in het accessToken veld.
• De verlooptijd van het token wordt geretourneerd in het expiryTimeUtc veld.
• De vernieuwingstijd van het token wordt geretourneerd in het refreshAfterTimeUtc veld.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)
export REFRESH_AFTER_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query refreshAfterTimeUtc)

Wanneer auth_mode van het eindpunt aad_token

• Token wordt geretourneerd in het accessToken veld.
• De verlooptijd van het token wordt geretourneerd in het expiryTimeUtc veld.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)

REST

Als u de sleutels of het token voor bewerkingen van het gegevensvlak wilt ophalen, kiest u de juiste API, afhankelijk van het auth_mode eindpunt. De API retourneert een JSON-uitvoer die de sleutels en het token bevat.

Tip

Het jq hulpprogramma wordt gebruikt om te laten zien hoe u een specifieke informatie uit de JSON-uitvoer kunt extraheren. U kunt hiervoor echter elk geschikt hulpmiddel gebruiken.

Wanneer auth_mode van het eindpunt key

• Gebruik de listkeys API.
• Sleutels worden geretourneerd in de primaryKey en secondaryKey velden.

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/listkeys?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.primaryKey')

Wanneer auth_mode van het eindpunt aml_token

• Gebruik de token API.
• Token wordt geretourneerd in het accessToken veld.
• Verlooptijd van token wordt geretourneerd in het expiryTimeUtc veld
• De vernieuwingstijd van het token wordt geretourneerd in het refreshAfterTimeUtc veld

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/token?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.accessToken')
export EXPIRY_TIME_UTC=$(echo $response | jq -r '.expiryTimeUtc')
export REFRESH_AFTER_TIME_UTC=$(echo $response | jq -r '.refreshAfterTimeUtc')

Wanneer auth_mode van het eindpunt aad_token

• Gebruik IMDS-eindpunt of MSI-eindpunt, afhankelijk van waar u het token aanvraagt.
• Token wordt geretourneerd in het accessToken veld.
• Verlooptijd van token wordt geretourneerd in het expiryTimeUtc veld

Van een virtuele Azure-machine

U kunt het token verkrijgen op basis van de beheerde identiteiten voor een Azure-VM (wanneer de VM een beheerde identiteit inschakelt).

1. Als u het Microsoft Entra-token (aad_token) wilt ophalen voor de bewerking van het gegevensvlak op de Azure-VM met een beheerde identiteit, dient u de aanvraag in bij het EINDPUNT van de Azure Instance Metadata Service (IMDS) voor het Azure-resource-eindpunt ml.azure.com:

   export DATA_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
   export EXPIRY_TIME_UTC=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.expiryTimeUtc' )`
   

   Zie Een token ophalen met BEHULP van HTTP voor meer informatie over het ophalen van tokens op basis van beheerde identiteiten.

Vanuit een rekenproces

U kunt het token ophalen als u het rekenproces van de Azure Machine Learning-werkruimte gebruikt. Als u het token wilt ophalen, moet u de client-id en het geheim van de beheerde identiteit van het rekenproces doorgeven aan het MSI-eindpunt (Managed System Identity) dat lokaal in het rekenproces is geconfigureerd. U kunt het MSI-eindpunt, de client-id en het geheim ophalen uit de omgevingsvariabelenMSI_ENDPOINTDEFAULT_IDENTITY_CLIENT_ID, en MSI_SECRETrespectievelijk. Deze variabelen worden automatisch ingesteld als u beheerde identiteit voor het rekenproces inschakelt.

1. Haal het token voor het Azure-resource-eindpunt ml.azure.com op uit het rekenproces van de werkruimte:

   export DATA_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
   export EXPIRY_TIME_UTC=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.expiryTimeUtc' )`
   

Belangrijk

In tegenstelling tot het Microsoft Entra-token voor besturingsvlakbewerkingen, die worden opgehaald uit management.azure.com, wordt het Microsoft Entra-token voor gegevensvlakbewerkingen opgehaald uit het Azure-resource-eindpunt ml.azure.com.

Python

Als u van plan bent om de SDK te gebruiken om het eindpunt aan te roepen, hoeft u de sleutels of het token niet expliciet op te halen voor gegevensvlakbewerkingen, omdat de SDK dit voor u afhandelt. U kunt echter nog steeds de SDK gebruiken om de sleutels of het token op te halen voor bewerkingen in het gegevensvlak, zodat u deze kunt gebruiken met andere kanalen, zoals REST API.

Gebruik de methode get_keys in de klasse om de sleutels of het token op te halen voor bewerkingen in het OnlineEndpointOperations gegevensvlak. Met deze methode wordt een object geretourneerd dat sleutels en token bevat.

Wanneer auth_mode van het eindpunt key

• Sleutels worden geretourneerd in de primary_key en secondary_key velden.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).primary_key
DATA_PLANE_TOKEN2 = ml_client.online_endpoints.get_keys(name=endpoint_name).secondary_key

Wanneer auth_mode van het eindpunt aml_token

• Token wordt geretourneerd in het access_token veld.
• De verlooptijd van het token wordt geretourneerd in het expiry_time_utc veld.
• De vernieuwingstijd van het token wordt geretourneerd in het refresh_after_time_utc veld.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc
REFRESH_AFTER_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).refresh_after_time_utc

Wanneer auth_mode van het eindpunt aad_token

• Token wordt geretourneerd in het access_token veld.
• De verlooptijd van het token wordt geretourneerd in het expiry_time_utc veld.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc

Zie Een token ophalen met behulp van de Azure Identity-clientbibliotheek voor meer informatie.

Studio

U vindt de sleutel, het Azure Machine Learning-token of het Microsoft Entra-token op het tabblad Verbruik van de pagina van het eindpunt.

Controleer het resource-eindpunt en de client-id voor het Microsoft Entra-token

Nadat u het Entra-token hebt opgehaald, kunt u controleren of het token voor het juiste Azure-resource-eindpunt ml.azure.com en de juiste client-id is door het token te decoderen via jwt.ms, waarmee een json-antwoord wordt geretourneerd met de volgende informatie:

{
    "aud": "https://ml.azure.com",
    "oid": "<your-object-id>"
}

Gegevens beoordelen met behulp van de sleutel of het token

Azure-CLI

U kunt az ml online-endpoint invoke gebruiken voor eindpunten met een sleutel, een Azure Machine Learning-token of een Microsoft Entra-token. De CLI verwerkt de sleutel of het token automatisch, zodat u deze niet expliciet hoeft door te geven.

az ml online-endpoint invoke -n my-endpoint -r request.json

REST

Wanneer u het online-eindpunt aanroept voor scoren, geeft u de sleutel, het Azure Machine Learning-token of het Microsoft Entra-token door in de autorisatieheader. De volgende code laat zien hoe u het curl-hulpprogramma gebruikt om het online-eindpunt aan te roepen met behulp van een sleutel of token:

curl --request POST "$scoringUri" --header "Authorization: Bearer $DATA_PLANE_TOKEN" --header 'Content-Type: application/json' --data @endpoints/online/model-1/sample-request.json

Python

Azure Machine Learning SDK die wordt ml_client.online_endpoints.invoke() gebruikt, wordt ondersteund voor sleutel, Azure Machine Learning-token en Microsoft Entra-token. Naast het gebruik van de Azure Machine Learning SDK kunt u ook een algemene Python SDK gebruiken om de POST-aanvraag naar de score-URI te verzenden.

Wanneer u het online-eindpunt aanroept voor scoren, geeft u de sleutel of het token door in de autorisatieheader. De volgende code laat zien hoe u het online-eindpunt aanroept met behulp van een sleutel of token met een algemene Python SDK. Vervang de variabele door uw sleutel of token in de api_key code.

import urllib.request
import json
import os

data = {"data": [
    [1,2,3,4,5,6,7,8,9,10], 
    [10,9,8,7,6,5,4,3,2,1]
]}

body = str.encode(json.dumps(data))

url = '<scoring URI as retrieved earlier>'
api_key = '<key or token as retrieved earlier>'
headers = {'Content-Type':'application/json', 'Authorization':('Bearer '+ api_key)}

req = urllib.request.Request(url, body, headers)

try:
    response = urllib.request.urlopen(req)

    result = response.read()
    print(result)
except urllib.error.HTTPError as error:
    print("The request failed with status code: " + str(error.code))

    # Print the headers - they include the requert ID and the timestamp, which are useful for debugging the failure
    print(error.info())
    print(error.read().decode("utf8", 'ignore'))

Studio

Sleutel- of Azure Machine Learning-token

Het tabblad Testen van de detailpagina van de implementatie ondersteunt scoren voor eindpunten met sleutel, Azure Machine Learning-token of Verificatie van Microsoft Entra-token.

Logboekregistratie en bewaking van verkeer

Als u logboekregistratie van verkeer wilt inschakelen in de diagnostische instellingen voor het eindpunt, volgt u de stappen in Logboeken in- of uitschakelen.

Als de diagnostische instelling is ingeschakeld, kunt u de AmlOnlineEndpointTrafficLogs tabel controleren om de verificatiemodus en gebruikersidentiteit te zien.

Gerelateerde inhoud

• Verificatie voor beheerd online-eindpunt
• Een machine learning-model implementeren met behulp van een online-eindpunt
• Netwerkisolatie inschakelen voor beheerde online-eindpunten