Авторизация на конечных точках пакетной службы

Конечные точки пакетной службы поддерживают проверку подлинности Microsoft Entra или aad_token. Это означает, что для вызова пакетной конечной точки пользователь должен добавить действительный токен проверки подлинности Microsoft Entra в URI пакетной конечной точки. Авторизация применяется на уровне конечной точки. В следующей статье объясняется, как правильно взаимодействовать с конечными точками пакетной службы и требованиями к безопасности.

Принцип действия авторизации

Чтобы вызвать конечную точку пакетной службы, пользователь должен представить действительный маркер Microsoft Entra, представляющий субъект безопасности. Этот субъект может быть субъектом-пользователем или субъектом-службой. В любом случае после вызова конечной точки задание пакетного развертывания создается под удостоверением, связанным с маркером. Удостоверение должно иметь следующие разрешения, чтобы успешно создать задание:

• Чтение конечных точек и развертываний пакетной службы.
• Создание заданий в конечных точках и развертывании пакетного вывода.
• Создание экспериментов и запусков.
• Чтение и запись из и в хранилища данных.
• Перечисляет секреты хранилища данных.

Подробный список разрешений RBAC см. в разделе "Настройка RBAC" для вызова пакетной конечной точки.

Внимание

Удостоверение, используемое для вызова пакетной конечной точки, может не использоваться для чтения базовых данных в зависимости от того, как настроено хранилище данных. Дополнительные сведения см. в статье "Настройка вычислительных кластеров для доступа к данным".

Выполнение заданий с использованием различных типов учетных данных

В следующих примерах показаны различные способы запуска заданий пакетного развертывания с использованием различных типов учетных данных:

Внимание

При работе с рабочими областями с поддержкой приватного канала конечные точки пакетной службы нельзя вызывать из пользовательского интерфейса в Студия машинного обучения Azure. Вместо этого используйте Машинное обучение Azure CLI версии 2 для создания задания.

Необходимые компоненты

• В этом примере предполагается, что модель правильно развернута в качестве пакетной конечной точки. В частности, мы используем классификатор состояния сердца, созданный в руководстве с использованием моделей MLflow в пакетных развертываниях.

Выполнение заданий с использованием учетных данных пользователя

В этом случае мы хотим выполнить пакетную конечную точку с помощью удостоверения пользователя, вошедшего в систему. Выполните следующие действия:

Azure CLI

1. Используйте Azure CLI для входа с помощью интерактивной проверки подлинности или кода устройства:

   az login
   

2. После проверки подлинности выполните следующую команду для выполнения задания пакетного развертывания:

   az ml batch-endpoint invoke --name $ENDPOINT_NAME \
                               --input https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci
   

Python

1. Используйте пакет SDK Машинное обучение Azure для Python для входа с помощью интерактивной проверки подлинности или проверки подлинности устройства:

   from azure.ai.ml import MLClient
   from azure.identity import InteractiveAzureCredentials
   
   subscription_id = "<subscription>"
   resource_group = "<resource-group>"
   workspace = "<workspace>"
   
   ml_client = MLClient(InteractiveAzureCredentials(), subscription_id, resource_group, workspace)
   

2. После проверки подлинности выполните следующую команду для выполнения задания пакетного развертывания:

   job = ml_client.batch_endpoints.invoke(
           endpoint_name,
           input=Input(path="https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci")
       )
   

REST

При работе с REST рекомендуется вызывать конечные точки пакетной службы с помощью субъекта-службы. Однако если вы хотите протестировать определенное развертывание с помощью REST с собственными учетными данными, это можно сделать, создав маркер Microsoft Entra для вашей учетной записи. Выполните следующие действия:

1. Самый простой способ получения допустимого маркера для учетной записи пользователя — использовать Azure CLI. В консоли выполните следующую команду:

   az account get-access-token --resource https://ml.azure.com \
                               --query "accessToken" \
                               --output tsv
   

2. Запишите созданные выходные данные.

3. После проверки подлинности выполните запрос к URI вызова, заменив <TOKEN> его полученным ранее.

   Запрос:

   POST jobs HTTP/1.1
   Host: <ENDPOINT_URI>
   Authorization: Bearer <TOKEN>
   Content-Type: application/json
   

   Текст.

   {
       "properties": {
           "InputData": {
               "mnistinput": {
                   "JobInputType" : "UriFolder",
                   "Uri":  "https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci"
               }
           }
       }
   }
   

Выполнение заданий с помощью субъекта-службы

В этом случае мы хотим выполнить пакетную конечную точку с помощью субъекта-службы, уже созданного в идентификаторе Microsoft Entra. Чтобы завершить проверку подлинности, необходимо создать секрет для выполнения проверки подлинности. Выполните следующие действия:

Azure CLI

1. Создайте секрет для проверки подлинности, как описано в варианте 3. Создание нового секрета клиента.

2. Чтобы пройти проверку подлинности с помощью субъекта-службы, используйте следующую команду. Дополнительные сведения см. в статье "Вход с помощью Azure CLI".

   az login --service-principal \
            --tenant <tenant> \
            -u <app-id> \
            -p <password-or-cert> 
   

3. После проверки подлинности выполните следующую команду для выполнения задания пакетного развертывания:

   az ml batch-endpoint invoke --name $ENDPOINT_NAME \
                               --input https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci/
   

Python

1. Создайте секрет для проверки подлинности, как описано в варианте 3. Создание нового секрета клиента.

2. Чтобы проверить подлинность с помощью субъекта-службы, укажите идентификатор клиента, идентификатор клиента и секрет клиента субъекта-службы, используя переменные среды, как показано ниже.

   from azure.ai.ml import MLClient
   from azure.identity import EnvironmentCredential
   
   os.environ["AZURE_TENANT_ID"] = "<TENANT_ID>"
   os.environ["AZURE_CLIENT_ID"] = "<CLIENT_ID>"
   os.environ["AZURE_CLIENT_SECRET"] = "<CLIENT_SECRET>"
   
   subscription_id = "<subscription>"
   resource_group = "<resource-group>"
   workspace = "<workspace>"
   
   ml_client = MLClient(EnvironmentCredential(), subscription_id, resource_group, workspace)
   

3. После проверки подлинности выполните следующую команду для выполнения задания пакетного развертывания:

   job = ml_client.batch_endpoints.invoke(
           endpoint_name,
           input=Input(path="https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci")
       )
   

REST

1. Создайте секрет для проверки подлинности, как описано в варианте 3. Создание нового секрета клиента.

2. Используйте службу входа из Azure, чтобы получить маркер авторизации. Маркеры авторизации выдаются определенной область. Тип ресурса для Машинное обучение Azure https://ml.azure.com. Запрос будет выглядеть следующим образом:

   Запрос:

   POST /{TENANT_ID}/oauth2/token HTTP/1.1
   Host: login.microsoftonline.com
   

   Текст.

   grant_type=client_credentials&client_id=<CLIENT_ID>&client_secret=<CLIENT_SECRET>&resource=https://ml.azure.com
   

   Внимание

   Обратите внимание, что область ресурса для вызова конечных точек пакетной службы (https://ml.azure.com) отличается от область ресурсов, используемых для управления ими. Все API управления в Azure используют область https://management.azure.comресурсов, включая Машинное обучение Azure.

3. После проверки подлинности используйте запрос для выполнения задания пакетного развертывания:

   Запрос:

   POST jobs HTTP/1.1
   Host: <ENDPOINT_URI>
   Authorization: Bearer <TOKEN>
   Content-Type: application/json
   

   Текст.

   {
       "properties": {
           "InputData": {
               "mnistinput": {
                   "JobInputType" : "UriFolder",
                   "Uri":  "https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci"
               }
           }
       }
   }
   

Выполнение заданий с помощью управляемого удостоверения

Управляемые удостоверения можно использовать для вызова конечной точки и развертываний пакетной службы. Обратите внимание, что это удостоверение управления не принадлежит конечной точке пакетной службы, но оно используется для выполнения конечной точки и, следовательно, создает пакетное задание. В этом сценарии можно использовать как назначенные пользователем, так и назначенные системой удостоверения.

Azure CLI

В ресурсы Azure, которые настроены для использования управляемых удостоверений, можно выполнить вход с помощью такого удостоверения. Чтобы выполнить вход с помощью удостоверения ресурса, используйте флаг --identity. Дополнительные сведения см. в статье "Вход с помощью Azure CLI".

az login --identity

После проверки подлинности выполните следующую команду для выполнения задания пакетного развертывания:

az ml batch-endpoint invoke --name $ENDPOINT_NAME \
                            --input https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci

Python

В ресурсы Azure, которые настроены для использования управляемых удостоверений, можно выполнить вход с помощью такого удостоверения. Используйте идентификатор ресурса вместе с ManagedIdentityCredential объектом, как показано в следующем примере:

from azure.ai.ml import MLClient
from azure.identity import ManagedIdentityCredential

subscription_id = "<subscription>"
resource_group = "<resource-group>"
workspace = "<workspace>"
resource_id = "<resource-id>"

ml_client = MLClient(ManagedIdentityCredential(resource_id), subscription_id, resource_group, workspace)

После проверки подлинности выполните следующую команду для выполнения задания пакетного развертывания:

job = ml_client.batch_endpoints.invoke(
        endpoint_name,
        input=Input(path="https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci")
    )

REST

Rest API Машинное обучение Azure можно использовать для запуска задания конечных точек пакетной службы с помощью управляемого удостоверения. Действия зависят от используемой базовой службы. Некоторые примеры включают (но не ограничиваются):

• Управляемое удостоверение для Фабрики данных Azure
• Использование управляемых удостоверений для Служба приложений и Функции Azure.
• Использование управляемых удостоверений для ресурсов Azure на виртуальной машине Azure для получения маркера доступа.

Вы также можете использовать Azure CLI, чтобы получить маркер проверки подлинности для управляемого удостоверения и передать его в универсальный код ресурса (URI) пакетной конечной точки.

Настройка вызова RBAC для конечных точек пакетной службы

Конечные точки пакетной службы предоставляют устойчивые потребители API, которые могут использовать для создания заданий. Запрашивающий запрос правильного разрешения для создания этих заданий. Вы можете использовать одну из встроенных ролей безопасности или создать пользовательскую роль для целей.

Чтобы успешно вызвать конечную точку пакетной службы, вам потребуется следующее явное действие, предоставленное удостоверению, используемому для вызова конечных точек. Инструкции по назначению роли Azure см. в статье "Действия по назначению".

"actions": [
    "Microsoft.MachineLearningServices/workspaces/read",
    "Microsoft.MachineLearningServices/workspaces/data/versions/write",
    "Microsoft.MachineLearningServices/workspaces/datasets/registered/read",
    "Microsoft.MachineLearningServices/workspaces/datasets/registered/write",
    "Microsoft.MachineLearningServices/workspaces/datasets/unregistered/read",
    "Microsoft.MachineLearningServices/workspaces/datasets/unregistered/write",
    "Microsoft.MachineLearningServices/workspaces/datastores/read",
    "Microsoft.MachineLearningServices/workspaces/datastores/write",
    "Microsoft.MachineLearningServices/workspaces/datastores/listsecrets/action",
    "Microsoft.MachineLearningServices/workspaces/listStorageAccountKeys/action",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/read",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/write",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/deployments/read",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/deployments/write",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/deployments/jobs/write",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/jobs/write",
    "Microsoft.MachineLearningServices/workspaces/computes/read",
    "Microsoft.MachineLearningServices/workspaces/computes/listKeys/action",
    "Microsoft.MachineLearningServices/workspaces/metadata/secrets/read",
    "Microsoft.MachineLearningServices/workspaces/metadata/snapshots/read",
    "Microsoft.MachineLearningServices/workspaces/metadata/artifacts/read",
    "Microsoft.MachineLearningServices/workspaces/metadata/artifacts/write",
    "Microsoft.MachineLearningServices/workspaces/experiments/read",
    "Microsoft.MachineLearningServices/workspaces/experiments/runs/submit/action",
    "Microsoft.MachineLearningServices/workspaces/experiments/runs/read",
    "Microsoft.MachineLearningServices/workspaces/experiments/runs/write",
    "Microsoft.MachineLearningServices/workspaces/metrics/resource/write",
    "Microsoft.MachineLearningServices/workspaces/modules/read",
    "Microsoft.MachineLearningServices/workspaces/models/read",
    "Microsoft.MachineLearningServices/workspaces/endpoints/pipelines/read",
    "Microsoft.MachineLearningServices/workspaces/endpoints/pipelines/write",
    "Microsoft.MachineLearningServices/workspaces/environments/read",
    "Microsoft.MachineLearningServices/workspaces/environments/write",
    "Microsoft.MachineLearningServices/workspaces/environments/build/action",
    "Microsoft.MachineLearningServices/workspaces/environments/readSecrets/action"
]

Настройка вычислительных кластеров для доступа к данным

Конечные точки пакетной службы гарантируют, что только авторизованные пользователи могут вызывать пакетные развертывания и создавать задания. Однако в зависимости от настройки входных данных другие учетные данные могут использоваться для чтения базовых данных. Используйте следующую таблицу, чтобы понять, какие учетные данные используются:

Тип входных данных	Учетные данные в хранилище	используемые учетные данные.	Доступ, предоставленный
Хранилище данных	Да	Учетные данные хранилища данных в рабочей области	Ключ доступа или SAS
Ресурс данных	Да	Учетные данные хранилища данных в рабочей области	Ключ доступа или SAS
Хранилище данных	No	Удостоверение задания и управляемого удостоверения вычислительного кластера	RBAC
Ресурс данных	No	Удостоверение задания и управляемого удостоверения вычислительного кластера	RBAC
Хранилище BLOB-объектов Azure	Не применяется	Удостоверение задания и управляемого удостоверения вычислительного кластера	RBAC
Хранилище Azure Data Lake Storage 1-го поколения	Не применяется	Удостоверение задания и управляемого удостоверения вычислительного кластера	POSIX
Azure Data Lake Storage 2-го поколения	Не применяется	Удостоверение задания и управляемого удостоверения вычислительного кластера	POSIX и RBAC

Для этих элементов в таблице, в которой отображается удостоверение задания + Управляемое удостоверение вычислительного кластера, управляемое удостоверение вычислительного кластера используется для подключения и настройки учетных записей хранения. Однако удостоверение задания по-прежнему используется для чтения базовых данных, позволяющих добиться детального управления доступом. Это означает, что для успешного чтения данных из хранилища управляемое удостоверение вычислительного кластера, в котором выполняется развертывание, должно иметь по крайней мере служба хранилища доступ к учетной записи хранения.

Чтобы настроить вычислительный кластер для доступа к данным, выполните следующие действия.

1. Перейдите к Студия машинного обучения Azure.

2. Перейдите к вычислительным кластерам, а затем выберите вычислительный кластер, который будет использовать развертывание.

3. Назначьте управляемое удостоверение вычислительному кластеру:

   1. В разделе "Управляемое удостоверение" проверьте, назначено ли вычисление управляемое удостоверение . В противном случае выберите параметр "Изменить".

   2. Выберите " Назначить управляемое удостоверение " и настройте его по мере необходимости. Управляемое удостоверение, назначаемое системой, или управляемое удостоверение, назначаемое пользователем. При использовании управляемого удостоверения, назначаемого системой, оно называется "[имя рабочей области]/computes/[имя вычислительного кластера]".

   3. Сохраните изменения.

   

4. Перейдите к портал Azure и перейдите к связанной учетной записи хранения, в которой находятся данные. Если входные данные являются ресурсом данных или хранилищем данных, найдите учетную запись хранения, в которой размещаются эти ресурсы.

5. Назначьте уровень доступа служба хранилища чтения данных BLOB-объектов в учетной записи хранения:

   1. Перейдите к разделу Управления доступом (IAM).

   2. Выберите назначение роли вкладки и нажмите кнопку "Добавить>назначение роли".

   3. Найдите роль с именем служба хранилища читатель данных BLOB-объектов, выберите ее и нажмите кнопку "Далее".

   4. Щелкните "Выбрать участников".

   5. Найдите созданное управляемое удостоверение. При использовании управляемого удостоверения, назначаемого системой, оно называется "[имя рабочей области]/computes/[имя вычислительного кластера]".

   6. Добавьте учетную запись и завершите работу мастера.

   

6. Конечная точка готова получать задания и входные данные из выбранной учетной записи хранения.

Следующие шаги

• Сетевая изоляция в конечных точках пакетной службы
• Вызов конечных точек пакетной службы из событий Сетки событий в хранилище.
• Вызов конечных точек пакетной службы из Фабрика данных Azure.