Autenticar clientes para endpoints online

APLICA-SE A:Azure CLI ml extension v2 (current)Python SDK azure-ai-ml v2 (current)

Este artigo aborda como autenticar clientes para executar operações de plano de controle e plano de dados em pontos de extremidade online.

Uma operação de plano de controle controla um ponto de extremidade e o altera. As operações do plano de controle incluem operações de criação, leitura, atualização e exclusão (CRUD) em pontos de extremidade online e implantações online.

Uma operação de plano de dados usa dados para interagir com um ponto de extremidade online sem alterar o ponto de extremidade. Por exemplo, uma operação de plano de dados pode consistir em enviar uma solicitação de pontuação para um ponto de extremidade online e obter uma resposta.

Pré-requisitos

Antes de seguir as etapas neste artigo, verifique se você tem os seguintes pré-requisitos:

• Uma área de trabalho do Azure Machine Learning. Se você não tiver um, use as etapas no artigo Guia de início rápido: criar recursos do espaço de trabalho para criar um.

• A CLI do Azure e a ml extensão ou o SDK do Python do Azure Machine Learning v2:

  • Para instalar a CLI e a extensão do Azure, consulte Instalar, configurar e usar a CLI (v2).

    Importante

    Os exemplos de CLI neste artigo pressupõem que você esteja usando o shell Bash (ou compatível). Por exemplo, de um sistema Linux ou Subsistema Windows para Linux.

  • Para instalar o Python SDK v2, use o seguinte comando:

    pip install azure-ai-ml azure-identity
    

    Para atualizar uma instalação existente do SDK para a versão mais recente, use o seguinte comando:

    pip install --upgrade azure-ai-ml azure-identity
    

    Para obter mais informações, consulte Instalar o Python SDK v2 para Azure Machine Learning.

Preparar uma identidade de usuário

Você precisa de uma identidade de usuário para executar operações de plano de controle (ou seja, operações CRUD) e operações de plano de dados (ou seja, enviar solicitações de pontuação) no ponto de extremidade online. Você pode usar a mesma identidade de usuário ou identidades de usuário diferentes para o plano de controle e operações do plano de dados. Neste artigo, você usa a mesma identidade de usuário para operações do plano de controle e do plano de dados.

Para criar uma identidade de usuário em Microsoft Entra ID, consulte Configurar autenticação. Você precisará do ID de identidade mais tarde.

Atribuir permissões à identidade

Nesta seção, você atribui permissões à identidade de usuário que usa para interagir com o ponto de extremidade. Você começa usando uma função interna ou criando uma função personalizada. Depois disso, você atribui a função à sua identidade de usuário.

Usar uma função interna

A AzureML Data Scientist função interna pode ser usada para gerenciar e usar pontos de extremidade e implantações e usa curingas para incluir as seguintes ações RBAC do plano de controle:

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action

e para incluir a seguinte ação RBAC do plano de dados:

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action

Opcionalmente, a Azure Machine Learning Workspace Connection Secrets Reader função interna pode ser usada para acessar segredos de conexões de espaço de trabalho e inclui as seguintes ações RBAC do plano de controle:

• Microsoft.MachineLearningServices/workspaces/connections/listsecrets/action
• Microsoft.MachineLearningServices/workspaces/metadata/secrets/read

Se você usar essas funções internas, não será necessária nenhuma ação nesta etapa.

(Opcional) Criar uma função personalizada

Pode ignorar este passo se estiver a utilizar funções incorporadas ou outras funções personalizadas pré-criadas.

1. Defina o escopo e as ações para funções personalizadas criando definições JSON das funções. Por exemplo, a definição de função a seguir permite que o usuário CRUD um ponto de extremidade online, em um espaço de trabalho especificado.

   custom-role-for-control-plane.json:

   {
       "Name": "Custom role for control plane operations - online endpoint",
       "IsCustom": true,
       "Description": "Can CRUD against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
       ]
   }
   

   A definição de função a seguir permite que o usuário envie solicitações de pontuação para um ponto de extremidade online, em um espaço de trabalho especificado.

   custom-role-for-scoring.json:

   {
       "Name": "Custom role for scoring - online endpoint",
       "IsCustom": true,
       "Description": "Can score against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
       ]
   }
   

2. Use as definições JSON para criar funções personalizadas:

   az role definition create --role-definition custom-role-for-control-plane.json --subscription <subscriptionId>
   
   az role definition create --role-definition custom-role-for-scoring.json --subscription <subscriptionId>
   

   Nota

   Para criar funções personalizadas, você precisa de uma das três funções:

   • proprietário
   • Administrador de Acesso de Usuário
   • Uma função personalizada com Microsoft.Authorization/roleDefinitions/write permissão (para criar/atualizar/excluir funções personalizadas) e Microsoft.Authorization/roleDefinitions/read permissão (para exibir funções personalizadas).

   Para obter mais informações sobre como criar funções personalizadas, consulte Funções personalizadas do Azure.

3. Verifique a definição de função:

   az role definition list --custom-role-only -o table
   
   az role definition list -n "Custom role for control plane operations - online endpoint"
   az role definition list -n "Custom role for scoring - online endpoint"
   
   export role_definition_id1=`(az role definition list -n "Custom role for control plane operations - online endpoint" --query "[0].id" | tr -d '"')`
   
   export role_definition_id2=`(az role definition list -n "Custom role for scoring - online endpoint" --query "[0].id" | tr -d '"')`
   

Atribuir a função à identidade

1. Se você estiver usando a AzureML Data Scientist função interna, use o código a seguir para atribuir a função à sua identidade de usuário.

   az role assignment create --assignee <identityId> --role "AzureML Data Scientist" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

2. Opcionalmente, se você estiver usando a Azure Machine Learning Workspace Connection Secrets Reader função interna, use o código a seguir para atribuir a função à sua identidade de usuário.

   az role assignment create --assignee <identityId> --role "Azure Machine Learning Workspace Connection Secrets Reader" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

3. Se você estiver usando uma função personalizada, use o código a seguir para atribuir a função à sua identidade de usuário.

   az role assignment create --assignee <identityId> --role "Custom role for control plane operations - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   
   az role assignment create --assignee <identityId> --role "Custom role for scoring - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

   Nota

   Para atribuir funções personalizadas à identidade do usuário, você precisa de uma das três funções:

   • proprietário
   • Administrador de Acesso de Usuário
   • Uma função personalizada que permite Microsoft.Authorization/roleAssignments/write permissão (para atribuir funções personalizadas) e Microsoft.Authorization/roleAssignments/read (para exibir atribuições de função).

   Para obter mais informações sobre as diferentes funções do Azure e suas permissões, consulte Funções do Azure e Atribuição de funções do Azure usando o Portal do Azure.

4. Confirme a atribuição da função:

   az role assignment list --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

Obtenha o token Microsoft Entra para operações de plano de controle

Execute esta etapa se você planeja executar operações de plano de controle com a API REST, que usará diretamente o token.

Se você planeja usar outras maneiras, como a CLI do Azure Machine Learning (v2), o Python SDK (v2) ou o estúdio do Azure Machine Learning, não é necessário obter o token do Microsoft Entra manualmente. Em vez disso, durante o login, sua identidade de usuário já seria autenticada e o token seria automaticamente recuperado e passado para você.

Você pode recuperar o token do Microsoft Entra para operações do plano de controle do ponto de extremidade de recurso do Azure: https://management.azure.com.

CLI do Azure

1. Inicie sessão no Azure.

   az login
   

2. Se você quiser usar uma identidade específica, use o seguinte código para entrar com a identidade:

   az login --identity --username <identityId>
   

3. Use este contexto para obter o token.

   export CONTROL_PLANE_TOKEN=`(az account get-access-token --resource https://management.azure.com --query accessToken | tr -d '"')`
   

REST

A partir de uma máquina virtual do Azure

Você pode adquirir o token com base na identidade gerenciada para uma VM do Azure (quando a VM habilita uma identidade gerenciada).

1. Para obter o token Microsoft Entra (aad_token) para a operação do plano de controle na VM do Azure, envie a solicitação para o ponto de extremidade do Serviço de Metadados de Instância do Azure (IMDS) para o ponto de extremidade management.azure.comde recurso do Azure :

   export CONTROL_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
   

   Gorjeta

   Para extrair o token da saída JSON, o jq utilitário é usado como exemplo. No entanto, você pode usar qualquer ferramenta adequada para este fim.

   Para obter mais informações sobre como obter tokens com base em identidades gerenciadas, consulte Obter um token usando HTTP.

A partir de uma instância de computação

Você pode obter o token se estiver usando a instância de computação do espaço de trabalho do Azure Machine Learning. Para obter o token, você deve passar a ID do cliente e o segredo da identidade gerenciada da instância de computação para o ponto de extremidade de identidade do sistema gerenciado (MSI) configurado localmente na instância de computação. Você pode obter o ponto de extremidade MSI, a ID do cliente e o segredo das variáveis MSI_ENDPOINTde ambiente , DEFAULT_IDENTITY_CLIENT_ID, e MSI_SECRET, respectivamente. Essas variáveis são definidas automaticamente se você habilitar a identidade gerenciada para a instância de computação.

1. Obtenha o token para o ponto de extremidade management.azure.com de recurso do Azure da instância de computação do espaço de trabalho:

   export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
   

Python

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://management.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

Consulte Obter um token usando a biblioteca de cliente de identidade do Azure para obter mais informações.

Estúdio

O estúdio não expõe o token Microsoft Entra para operações de plano de controle.

(Opcional) Verifique o ponto de extremidade do recurso e a ID do cliente para o token do Microsoft Entra

Depois de recuperar o token do Microsoft Entra, você pode verificar se o token é para o ponto de extremidade management.azure.com de recurso do Azure correto e a ID do cliente correta decodificando o token via jwt.ms, que retornará uma resposta json com as seguintes informações:

{
    "aud": "https://management.azure.com",
    "oid": "<your-object-id>"
}

Criar um ponto final

O exemplo a seguir cria o ponto de extremidade com uma identidade atribuída pelo sistema (SAI) como a identidade do ponto de extremidade. O SAI é o tipo de identidade padrão da identidade gerenciada para pontos de extremidade. Algumas funções básicas são atribuídas automaticamente para o SAI. Para obter mais informações sobre a atribuição de função para uma identidade atribuída pelo sistema, consulte Atribuição automática de função para identidade de ponto de extremidade.

CLI do Azure

A CLI não exige que você forneça explicitamente o token do plano de controle. Em vez disso, a CLI az login autentica você durante o login, e o token é automaticamente recuperado e passado para você.

1. Crie um arquivo YAML de definição de ponto final.

   endpoint.yml:

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineEndpoint.schema.json
   name: my-endpoint
   auth_mode: aad_token
   

2. Você pode substituir auth_mode por key for key auth ou aml_token por Azure Machine Learning token auth. Neste exemplo, você usa aad_token para Microsoft Entra token auth.

   az ml online-endpoint create -f endpoint.yml
   

3. Verifique o status do endpoint:

   az ml online-endpoint show -n my-endpoint
   

4. Se você quiser substituir auth_mode (por exemplo, para aad_token) ao criar um ponto de extremidade, execute o seguinte código:

   az ml online-endpoint create -n my-endpoint --auth_mode aad_token
   

5. Se desejar atualizar o ponto de extremidade existente e especificar auth_mode (por exemplo, para aad_token), execute o seguinte código:

   az ml online-endpoint update -n my-endpoint --set auth_mode=aad_token
   

REST

A chamada à API REST requer que você forneça explicitamente o token do plano de controle. Use o token de plano de controle recuperado anteriormente.

1. Criar ou atualizar um ponto de extremidade:

   export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
   export RESOURCE_GROUP=<RESOURCE_GROUP>
   export WORKSPACE=<AML_WORKSPACE_NAME>
   export ENDPOINT_NAME=<ENDPOINT_NAME>
   export LOCATION=<LOCATION_NAME>
   export API_VERSION=2023-04-01
   
   response=$(curl --location --request PUT "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
   --header "Content-Type: application/json" \
   --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
   --data-raw "{
       \"identity\": {
          \"type\": \"systemAssigned\"
       },
       \"properties\": {
           \"authMode\": \"AADToken\"
       },
       \"location\": \"$LOCATION\"
   }")
   
   echo $response
   

   Você pode substituir authMode por key for key auth ou AMLToken por Azure Machine Learning token auth. Neste exemplo, você usa AADToken para Microsoft Entra token auth.

2. Obtenha o status atual do ponto de extremidade online:

   response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
   --header "Content-Type: application/json" \
   --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
   )
   
   echo $response
   

Python

Python SDK não requer que você forneça explicitamente o token de plano de controle. Em vez disso, o SDK MLClient autentica você durante o login, e o token é automaticamente recuperado e passado para você.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    ManagedOnlineEndpoint,
    ManagedOnlineDeployment,
    Model,
    Environment,
    CodeConfiguration,
)
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<AML_WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

endpoint = ManagedOnlineEndpoint(
    name="my-endpoint",
    description="this is a sample online endpoint",
    auth_mode="aad_token",
    tags={"foo": "bar"},
)
ml_client.online_endpoints.begin_create_or_update(endpoint).result()

Você pode substituir auth_mode por key for key auth ou aml_token por Azure Machine Learning token auth. Neste exemplo, você usa aad_token para Microsoft Entra token auth.

Estúdio

O estúdio não exige que você forneça explicitamente o token do plano de controle, pois o estúdio já autenticaria você durante o login, e o token seria automaticamente recuperado e passado para você.

Para obter mais informações sobre como implantar pontos de extremidade online, consulte Implantar um modelo de ML com um ponto de extremidade online (via Studio)

Criar uma implantação

Para criar uma implantação, consulte Implantar um modelo de ML com um ponto de extremidade online ou Usar REST para implantar um modelo como um ponto de extremidade online. Não há diferença na forma como você cria implantações para diferentes modos de autenticação.

CLI do Azure

O código a seguir é um exemplo de como criar uma implantação. Para obter mais informações sobre como implantar pontos de extremidade online, consulte Implantar um modelo de ML com um ponto de extremidade online (via CLI)

1. Crie um arquivo YAML de definição de implantação.

   blue-deployment.yml:

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineDeployment.schema.json
   name: blue
   endpoint_name: my-aad-auth-endp1
   model:
     path: ../../model-1/model/
   code_configuration:
     code: ../../model-1/onlinescoring/
     scoring_script: score.py
   environment: 
     conda_file: ../../model-1/environment/conda.yml
     image: mcr.microsoft.com/azureml/openmpi4.1.0-ubuntu20.04:latest
   instance_type: Standard_DS3_v2
   instance_count: 1
   

2. Crie a implantação usando o arquivo YAML. Para este exemplo, defina todo o tráfego para a nova implantação.

   az ml online-deployment create -f blue-deployment.yml --all-traffic
   

REST

Para obter mais informações sobre como implantar pontos de extremidade online usando REST, consulte Usar REST para implantar um modelo como um ponto de extremidade online.

Python

Para obter mais informações sobre como implantar pontos de extremidade online, consulte Implantar um modelo de ML com um ponto de extremidade online (via SDK)

Estúdio

Para obter mais informações sobre como implantar pontos de extremidade online, consulte Implantar um modelo de ML com um ponto de extremidade online (via Studio)

Obter o URI de pontuação para o ponto de extremidade

CLI do Azure

Se você planeja usar a CLI para invocar o ponto de extremidade, não é necessário obter o URI de pontuação explicitamente, pois a CLI o manipula para você. No entanto, você ainda pode usar a CLI para obter o URI de pontuação para que possa usá-lo com outros canais, como a API REST.

scoringUri=$(az ml online-endpoint show -n my-endpoint --query "scoring_uri")

REST

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export API_VERSION=2023-04-01
response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")
scoringUri=$(echo $response | jq -r '.properties' | jq -r '.scoringUri')

echo $response
echo $scoringUri

Python

Se você planeja usar o SDK do Python para invocar o ponto de extremidade, não é necessário obter o URI de pontuação explicitamente, pois o SDK o manipula para você. No entanto, você ainda pode usar o SDK para obter o URI de pontuação para que possa usá-lo com outros canais, como a API REST.

scoring_uri = ml_client.online_endpoints.get(name=endpoint_name).scoring_uri

Estúdio

Se você planeja usar o estúdio para invocar o ponto de extremidade, não é necessário obter o URI de pontuação explicitamente, pois o estúdio lida com isso para você. No entanto, você ainda pode usar o estúdio para obter o URI de pontuação para que possa usá-lo com outros canais, como a API REST.

Você pode encontrar o URI de pontuação na guia Detalhes da página do ponto de extremidade.

Obter a chave ou token para operações de plano de dados

Uma chave ou token pode ser usado para operações de plano de dados, mesmo que o processo de obtenção da chave ou token seja uma operação de plano de controle. Em outras palavras, você usa um token de plano de controle para obter a chave ou token que você usa posteriormente para executar suas operações de plano de dados.

Obter a chave ou o token do Azure Machine Learning requer que a função correta seja atribuída à identidade do usuário que a está solicitando, conforme descrito em autorização para operações de plano de controle. Obter o token do Microsoft Entra não requer nenhuma função extra para a identidade do usuário.

CLI do Azure

Se você planeja usar a CLI para invocar o ponto de extremidade, não é necessário obter as chaves ou o token para operações de plano de dados explicitamente, pois a CLI lida com isso para você. No entanto, você ainda pode usar a CLI para obter as chaves ou o token para a operação do plano de dados para que possa usá-lo com outros canais, como a API REST.

Para obter as chaves ou o token para operações de plano de dados, use o comando az ml online-endpoint get-credentials . Este comando retorna uma saída JSON que contém as chaves, o token e/ou informações adicionais.

Gorjeta

Para extrair uma informação específica da saída JSON, o --query parâmetro do comando CLI é usado como exemplo. No entanto, você pode usar qualquer ferramenta adequada para este fim.

Quando auth_mode do parâmetro de avaliação final é key

• As chaves são retornadas nos primaryKey campos e secondaryKey .

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query primaryKey)
export DATA_PLANE_TOKEN2=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query secondaryKey)

Quando auth_mode do parâmetro de avaliação final é aml_token

• O token é retornado no accessToken campo.
• O tempo de expiração do token é retornado no expiryTimeUtc campo.
• O tempo de atualização do token é retornado no refreshAfterTimeUtc campo.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)
export REFRESH_AFTER_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query refreshAfterTimeUtc)

Quando auth_mode do parâmetro de avaliação final é aad_token

• O token é retornado no accessToken campo.
• O tempo de expiração do token é retornado no expiryTimeUtc campo.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)

REST

Para obter as chaves ou o token para operações de plano de dados, escolha a API correta, dependendo do auth_mode ponto de extremidade. A API retorna uma saída JSON que inclui as chaves e o token.

Gorjeta

O jq utilitário é usado para demonstrar como extrair uma informação específica da saída JSON. No entanto, você pode usar qualquer ferramenta adequada para este fim.

Quando auth_mode do parâmetro de avaliação final é key

• Use a listkeys API.
• As chaves são retornadas nos primaryKey campos e secondaryKey .

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/listkeys?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.primaryKey')

Quando auth_mode do parâmetro de avaliação final é aml_token

• Use a token API.
• O token é retornado no accessToken campo.
• O tempo de expiração do token é retornado no expiryTimeUtc campo
• O tempo de atualização do token é retornado no refreshAfterTimeUtc campo

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/token?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.accessToken')
export EXPIRY_TIME_UTC=$(echo $response | jq -r '.expiryTimeUtc')
export REFRESH_AFTER_TIME_UTC=$(echo $response | jq -r '.refreshAfterTimeUtc')

Quando auth_mode do parâmetro de avaliação final é aad_token

• Use o ponto de extremidade IMDS ou o ponto de extremidade MSI, dependendo de onde você solicita o token.
• O token é retornado no accessToken campo.
• O tempo de expiração do token é retornado no expiryTimeUtc campo

A partir de uma máquina virtual do Azure

Você pode adquirir o token com base nas identidades gerenciadas para uma VM do Azure (quando a VM habilita uma identidade gerenciada).

1. Para obter o token Microsoft Entra (aad_token) para a operação do plano de dados na VM do Azure com identidade gerenciada, envie a solicitação para o ponto de extremidade do IMDS (Serviço de Metadados de Instância) do Azure para o ponto de extremidade ml.azure.comdo recurso do Azure:

   export DATA_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
   export EXPIRY_TIME_UTC=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.expiryTimeUtc' )`
   

   Para obter mais informações sobre como obter tokens com base em identidades gerenciadas, consulte Obter um token usando HTTP.

A partir de uma instância de computação

Você pode obter o token se estiver usando a instância de computação do espaço de trabalho do Azure Machine Learning. Para obter o token, você deve passar a ID do cliente e o segredo da identidade gerenciada da instância de computação para o ponto de extremidade de identidade do sistema gerenciado (MSI) configurado localmente na instância de computação. Você pode obter o ponto de extremidade MSI, a ID do cliente e o segredo das variáveis MSI_ENDPOINTde ambiente , DEFAULT_IDENTITY_CLIENT_ID, e MSI_SECRET, respectivamente. Essas variáveis são definidas automaticamente se você habilitar a identidade gerenciada para a instância de computação.

1. Obtenha o token para o ponto de extremidade ml.azure.com de recurso do Azure da instância de computação do espaço de trabalho:

   export DATA_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
   export EXPIRY_TIME_UTC=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.expiryTimeUtc' )`
   

Importante

Ao contrário do token Microsoft Entra para operações de plano de controle, que é recuperado do , o token Microsoft Entra para operações de plano de dados é recuperado do ponto de management.azure.comextremidade ml.azure.comde recurso do Azure.

Python

Se você planeja usar o SDK para invocar o ponto de extremidade, não é necessário obter as chaves ou o token para operações de plano de dados explicitamente, pois o SDK lida com isso para você. No entanto, você ainda pode usar o SDK para obter as chaves ou o token para operações de plano de dados para que possa usá-lo com outros canais, como a API REST.

Para obter as chaves ou o token para operações de plano de dados, use o método get_keys na OnlineEndpointOperations classe. Esse método retorna um objeto que inclui chaves e token.

Quando auth_mode do parâmetro de avaliação final é key

• As chaves são retornadas nos primary_key campos e secondary_key .

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).primary_key
DATA_PLANE_TOKEN2 = ml_client.online_endpoints.get_keys(name=endpoint_name).secondary_key

Quando auth_mode do parâmetro de avaliação final é aml_token

• O token é retornado no access_token campo.
• O tempo de expiração do token é retornado no expiry_time_utc campo.
• O tempo de atualização do token é retornado no refresh_after_time_utc campo.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc
REFRESH_AFTER_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).refresh_after_time_utc

Quando auth_mode do parâmetro de avaliação final é aad_token

• O token é retornado no access_token campo.
• O tempo de expiração do token é retornado no expiry_time_utc campo.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc

Consulte Obter um token usando a biblioteca de cliente de identidade do Azure para obter mais informações.

Estúdio

Você pode encontrar a chave, o token do Azure Machine Learning ou o token do Microsoft Entra na guia Consumir da página do ponto de extremidade.

Verifique o ponto de extremidade do recurso e a ID do cliente para o token do Microsoft Entra

Depois de obter o token Entra, você pode verificar se o token é para o ponto de extremidade ml.azure.com de recurso do Azure correto e a ID do cliente correta decodificando o token por meio de jwt.ms, que retornará uma resposta json com as seguintes informações:

{
    "aud": "https://ml.azure.com",
    "oid": "<your-object-id>"
}

Pontuar dados usando a chave ou token

CLI do Azure

Você pode usar az ml online-endpoint invoke para pontos de extremidade com uma chave, um token do Azure Machine Learning ou um token do Microsoft Entra. A CLI manipula a chave ou token automaticamente para que você não precise passá-la explicitamente.

az ml online-endpoint invoke -n my-endpoint -r request.json

REST

Ao invocar o ponto de extremidade online para pontuação, passe a chave, o token do Azure Machine Learning ou o token do Microsoft Entra no cabeçalho de autorização. O código a seguir mostra como usar o utilitário curl para chamar o ponto de extremidade online usando uma chave ou token:

curl --request POST "$scoringUri" --header "Authorization: Bearer $DATA_PLANE_TOKEN" --header 'Content-Type: application/json' --data @endpoints/online/model-1/sample-request.json

Python

O SDK do Azure Machine Learning usando ml_client.online_endpoints.invoke() é suportado para chave, token do Azure Machine Learning e token do Microsoft Entra. Além de usar o SDK do Azure Machine Learning, você também pode usar um SDK Python genérico para enviar a solicitação POST para o URI de pontuação.

Ao chamar o ponto de extremidade online para pontuação, passe a chave ou token no cabeçalho de autorização. O código a seguir mostra como chamar o ponto de extremidade online usando uma chave ou token com um SDK Python genérico. No código, substitua a api_key variável pela sua chave ou token.

import urllib.request
import json
import os

data = {"data": [
    [1,2,3,4,5,6,7,8,9,10], 
    [10,9,8,7,6,5,4,3,2,1]
]}

body = str.encode(json.dumps(data))

url = '<scoring URI as retrieved earlier>'
api_key = '<key or token as retrieved earlier>'
headers = {'Content-Type':'application/json', 'Authorization':('Bearer '+ api_key)}

req = urllib.request.Request(url, body, headers)

try:
    response = urllib.request.urlopen(req)

    result = response.read()
    print(result)
except urllib.error.HTTPError as error:
    print("The request failed with status code: " + str(error.code))

    # Print the headers - they include the requert ID and the timestamp, which are useful for debugging the failure
    print(error.info())
    print(error.read().decode("utf8", 'ignore'))

Estúdio

Chave ou token do Azure Machine Learning

A guia Teste da página de detalhes da implantação dá suporte à pontuação de pontos de extremidade com chave, token do Azure Machine Learning ou token do Microsoft Entra auth.

Registre e monitore o tráfego

Para habilitar o log de tráfego nas configurações de diagnóstico para o ponto de extremidade, siga as etapas em Como habilitar/desabilitar logs.

Se a configuração de diagnóstico estiver ativada, você poderá verificar a tabela para ver o AmlOnlineEndpointTrafficLogs modo de autenticação e a identidade do usuário.

Conteúdos relacionados

• Autenticação para endpoint online gerenciado
• Implantar um modelo de aprendizado de máquina usando um ponto de extremidade online
• Habilite o isolamento de rede para pontos de extremidade online gerenciados