Проверка подлинности клиентов для сетевых конечных точек

ОБЛАСТЬ ПРИМЕНЕНИЯ:Расширение машинного обучения Azure CLI версии 2 (current)Python SDK azure-ai-ml версии 2 (current)

В этой статье описывается, как выполнять проверку подлинности клиентов для выполнения операций уровня управления и плоскости данных в сетевых конечных точках.

Операция плоскости управления управляет конечной точкой и изменяет ее. К операциям уровня управления относятся операции создания, чтения, обновления и удаления (CRUD) в сетевых конечных точках и развертываниях в сети.

Операция плоскости данных использует данные для взаимодействия с интернет-конечной точкой без изменения конечной точки. Например, операция плоскости данных может состоять из отправки запроса оценки в конечную точку в Сети и получения ответа.

Необходимые компоненты

Перед выполнением действий, описанных в этой статье, убедитесь, что выполнены следующие необходимые условия:

• Рабочая область Машинного обучения Azure. Если у вас ее нет, создайте ее по инструкциям, приведенным в кратком руководстве по созданию ресурсов рабочей области.

• Azure CLI и ml расширение или пакет SDK для Python версии 2 Машинное обучение Azure:

  • Чтобы установить Azure CLI и расширение, см. статью "Установка,настройка" и использование интерфейса командной строки (версии 2).

    Внимание

    В примерах CLI в этой статье предполагается, что вы используете оболочку Bash (или совместимый вариант). Например, из системы Linux или подсистемы Windows для Linux.

  • Чтобы установить пакет SDK для Python версии 2, используйте следующую команду:

    pip install azure-ai-ml azure-identity
    

    Чтобы обновить существующую установку пакета SDK до последней версии, выполните следующую команду:

    pip install --upgrade azure-ai-ml azure-identity
    

    Дополнительные сведения см. в статье "Установка пакета SDK для Python версии 2 для Машинное обучение Azure".

Подготовка удостоверения пользователя

Для выполнения операций уровня управления (т. е. операций CRUD) и операций плоскости данных (то есть отправки запросов оценки) на конечную точку в сети требуется удостоверение пользователя. Для операций уровня управления и плоскости данных можно использовать одно и то же удостоверение пользователя или разные удостоверения пользователей. В этой статье используется одно и то же удостоверение пользователя для операций уровня управления и плоскости данных.

Сведения о создании удостоверения пользователя в идентификаторе Microsoft Entra см. в разделе "Настройка проверки подлинности". Позже вам потребуется идентификатор удостоверения.

Назначение разрешений удостоверению

В этом разделе описано, как назначить разрешения для удостоверения пользователя, используемого для взаимодействия с конечной точкой. Начните с использования встроенной роли или создания настраиваемой роли. После этого вы назначите роль удостоверению пользователя.

Использование встроенной роли

Встроенная AzureML Data Scientist роль может использоваться для управления конечными точками и развертываниями и использует подстановочные знаки для включения следующих действий уровня управления RBAC:

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action

и включить следующее действие RBAC уровня данных:

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action

Azure Machine Learning Workspace Connection Secrets Reader При необходимости встроенная роль может использоваться для доступа к секретам из подключений к рабочей области и включает следующие действия RBAC уровня управления:

• Microsoft.MachineLearningServices/workspaces/connections/listsecrets/action
• Microsoft.MachineLearningServices/workspaces/metadata/secrets/read

Если вы используете эти встроенные роли, на этом шаге не требуется никаких действий.

(Необязательно) Создание настраиваемой роли

Этот шаг можно пропустить, если вы используете встроенные роли или другие предварительно созданные пользовательские роли.

1. Определите область и действия для пользовательских ролей, создав определения JSON ролей. Например, следующее определение роли позволяет пользователю CRUD использовать конечную точку в сети в указанной рабочей области.

   custom-role-for-control-plane.json:

   {
       "Name": "Custom role for control plane operations - online endpoint",
       "IsCustom": true,
       "Description": "Can CRUD against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
       ]
   }
   

   Следующее определение роли позволяет пользователю отправлять запросы оценки в конечную точку в сети в указанной рабочей области.

   custom-role-for-scoring.json:

   {
       "Name": "Custom role for scoring - online endpoint",
       "IsCustom": true,
       "Description": "Can score against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>"
       ]
   }
   

2. Используйте определения JSON для создания пользовательских ролей:

   az role definition create --role-definition custom-role-for-control-plane.json --subscription <subscriptionId>
   
   az role definition create --role-definition custom-role-for-scoring.json --subscription <subscriptionId>
   

   Примечание.

   Чтобы создать пользовательские роли, вам потребуется одна из трех ролей:

   • владелец
   • администратор доступа пользователей
   • пользовательская роль с Microsoft.Authorization/roleDefinitions/write разрешением (для создания и обновления и удаления пользовательских ролей) и Microsoft.Authorization/roleDefinitions/read разрешений (для просмотра пользовательских ролей).

   Дополнительные сведения о создании пользовательских ролей см. в статье о пользовательских ролях Azure.

3. Проверьте определение роли:

   az role definition list --custom-role-only -o table
   
   az role definition list -n "Custom role for control plane operations - online endpoint"
   az role definition list -n "Custom role for scoring - online endpoint"
   
   export role_definition_id1=`(az role definition list -n "Custom role for control plane operations - online endpoint" --query "[0].id" | tr -d '"')`
   
   export role_definition_id2=`(az role definition list -n "Custom role for scoring - online endpoint" --query "[0].id" | tr -d '"')`
   

Назначение роли удостоверению

1. Если вы используете AzureML Data Scientist встроенную роль, используйте следующий код, чтобы назначить роль идентификатору пользователя.

   az role assignment create --assignee <identityId> --role "AzureML Data Scientist" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

2. При необходимости, если вы используете Azure Machine Learning Workspace Connection Secrets Reader встроенную роль, используйте следующий код, чтобы назначить роль удостоверению пользователя.

   az role assignment create --assignee <identityId> --role "Azure Machine Learning Workspace Connection Secrets Reader" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

3. Если вы используете пользовательскую роль, используйте следующий код, чтобы назначить роль идентификатору пользователя.

   az role assignment create --assignee <identityId> --role "Custom role for control plane operations - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   
   az role assignment create --assignee <identityId> --role "Custom role for scoring - online endpoint" --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

   Примечание.

   Чтобы назначить пользовательские роли удостоверению пользователя, вам потребуется одна из трех ролей:

   • владелец
   • администратор доступа пользователей
   • пользовательская роль, которая разрешает Microsoft.Authorization/roleAssignments/write разрешение (назначать пользовательские роли) и Microsoft.Authorization/roleAssignments/read (просматривать назначения ролей).

   Дополнительные сведения о разных ролях Azure и их разрешениях см. в статье "Роли Azure " и "Назначение ролей Azure" с помощью портала Azure.

4. Подтвердите назначение роли:

   az role assignment list --scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

Получение маркера Microsoft Entra для операций плоскости управления

Выполните этот шаг , если планируется выполнять операции плоскости управления с REST API, который будет напрямую использовать маркер.

Если вы планируете использовать другие способы, такие как Машинное обучение Azure CLI (версия 2), пакет SDK Для Python (версия 2) или Студия машинного обучения Azure, вам не нужно вручную получить маркер Microsoft Entra. Скорее, во время входа удостоверение пользователя уже будет проходить проверку подлинности, и маркер будет автоматически получен и передан для вас.

Маркер Microsoft Entra для операций уровня управления можно получить из конечной точки ресурса Azure: https://management.azure.com

Azure CLI

1. войдите в Azure.

   az login
   

2. Если вы хотите использовать определенное удостоверение, используйте следующий код для входа с помощью удостоверения:

   az login --identity --username <identityId>
   

3. Используйте этот контекст для получения маркера.

   export CONTROL_PLANE_TOKEN=`(az account get-access-token --resource https://management.azure.com --query accessToken | tr -d '"')`
   

REST

Из виртуальной машины Azure

Маркер можно получить на основе управляемого удостоверения для виртуальной машины Azure (если виртуальная машина включает управляемое удостоверение).

1. Чтобы получить маркер Microsoft Entra (aad_token) для операции плоскости управления на виртуальной машине Azure, отправьте запрос в конечную точку службы метаданных экземпляра Azure (IMDS) для конечной точки management.azure.comресурса Azure:

   export CONTROL_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
   

   Совет

   Чтобы извлечь маркер из выходных данных JSON, jq программа используется в качестве примера. Однако для этой цели можно использовать любое подходящее средство.

   Дополнительные сведения о получении маркеров на основе управляемых удостоверений см. в статье "Получение маркера с помощью ПРОТОКОЛА HTTP".

Из вычислительного экземпляра

Маркер можно получить, если вы используете вычислительный экземпляр рабочей области Машинное обучение Azure. Чтобы получить маркер, необходимо передать идентификатор клиента и секрет управляемого удостоверения вычислительного экземпляра в конечную точку управляемого системного удостоверения (MSI), настроенную локально в вычислительном экземпляре. Конечную точку MSI, идентификатор клиента и секрет можно получить из переменных MSI_ENDPOINTDEFAULT_IDENTITY_CLIENT_IDсреды и MSI_SECRETсоответственно. Эти переменные задаются автоматически, если включить управляемое удостоверение для вычислительного экземпляра.

1. Получите маркер для конечной точки management.azure.com ресурса Azure из вычислительного экземпляра рабочей области:

   export CONTROL_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
   

Python

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check if given credential can get token successfully.
    access_token = credential.get_token("https://management.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential not work
    # This will open a browser page for
    credential = InteractiveBrowserCredential()

Дополнительные сведения см. в статье "Получение маркера" с помощью клиентской библиотеки удостоверений Azure.

Studio

Студия не предоставляет маркер Microsoft Entra для операций плоскости управления.

(Необязательно) Проверка конечной точки ресурса и идентификатора клиента для маркера Microsoft Entra

После получения маркера Microsoft Entra можно убедиться, что маркер предназначен для правильной конечной точки management.azure.com ресурса Azure и правильного идентификатора клиента, декодируя маркер с помощью jwt.ms, который вернет ответ JSON со следующими сведениями:

{
    "aud": "https://management.azure.com",
    "oid": "<your-object-id>"
}

Создание конечной точки

В следующем примере создается конечная точка с удостоверением, назначенным системой (SAI) в качестве удостоверения конечной точки. SAI — это тип удостоверения по умолчанию управляемого удостоверения для конечных точек. Некоторые основные роли автоматически назначаются для SAI. Дополнительные сведения о назначении ролей для удостоверения, назначаемого системой, см. в разделе "Автоматическое назначение ролей" для удостоверения конечной точки.

Azure CLI

Интерфейс командной строки не требует явного предоставления маркера плоскости управления. Вместо этого интерфейс командной строки az login выполняет проверку подлинности во время входа, а маркер автоматически извлекается и передается для вас.

1. Создайте файл YAML определения конечной точки.

   endpoint.yml:

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineEndpoint.schema.json
   name: my-endpoint
   auth_mode: aad_token
   

2. Вы можете заменить auth_mode на key проверку подлинности ключа или aml_token для проверки подлинности маркера Машинное обучение Azure. В этом примере используется aad_token для проверки подлинности маркера Microsoft Entra.

   az ml online-endpoint create -f endpoint.yml
   

3. Проверьте состояние конечной точки:

   az ml online-endpoint show -n my-endpoint
   

4. Если вы хотите переопределить auth_mode (например, на aad_token) при создании конечной точки, выполните следующий код:

   az ml online-endpoint create -n my-endpoint --auth_mode aad_token
   

5. Если вы хотите обновить существующую конечную точку и указать auth_mode (например, чтобы aad_token), выполните следующий код:

   az ml online-endpoint update -n my-endpoint --set auth_mode=aad_token
   

REST

Вызов REST API требует явного предоставления маркера плоскости управления. Используйте полученный ранее маркер плоскости управления.

1. Создайте или обновите конечную точку:

   export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
   export RESOURCE_GROUP=<RESOURCE_GROUP>
   export WORKSPACE=<AML_WORKSPACE_NAME>
   export ENDPOINT_NAME=<ENDPOINT_NAME>
   export LOCATION=<LOCATION_NAME>
   export API_VERSION=2023-04-01
   
   response=$(curl --location --request PUT "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
   --header "Content-Type: application/json" \
   --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
   --data-raw "{
       \"identity\": {
          \"type\": \"systemAssigned\"
       },
       \"properties\": {
           \"authMode\": \"AADToken\"
       },
       \"location\": \"$LOCATION\"
   }")
   
   echo $response
   

   Вы можете заменить authMode на key проверку подлинности ключа или AMLToken для проверки подлинности маркера Машинное обучение Azure. В этом примере используется AADToken для проверки подлинности маркера Microsoft Entra.

2. Получение текущего состояния веб-конечной точки:

   response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
   --header "Content-Type: application/json" \
   --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
   )
   
   echo $response
   

Python

Пакет SDK для Python не требует явного предоставления маркера уровня управления. Скорее, пакет SDK MLClient проходит проверку подлинности во время входа, и маркер автоматически извлекается и передается для вас.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    ManagedOnlineEndpoint,
    ManagedOnlineDeployment,
    Model,
    Environment,
    CodeConfiguration,
)
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<AML_WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

endpoint = ManagedOnlineEndpoint(
    name="my-endpoint",
    description="this is a sample online endpoint",
    auth_mode="aad_token",
    tags={"foo": "bar"},
)
ml_client.online_endpoints.begin_create_or_update(endpoint).result()

Вы можете заменить auth_mode на key проверку подлинности ключа или aml_token для проверки подлинности маркера Машинное обучение Azure. В этом примере используется aad_token для проверки подлинности маркера Microsoft Entra.

Studio

Студия не требует явного предоставления маркера плоскости управления, так как студия уже будет проходить проверку подлинности во время входа, а маркер автоматически будет получен и передан для вас.

Дополнительные сведения о развертывании сетевых конечных точек см. в статье "Развертывание модели машинного обучения" с помощью сетевой конечной точки (через Студию)

Создание развертывания

Сведения о создании развертывания см. в статье "Развертывание модели машинного обучения с помощью сетевой конечной точки " или "Использование REST" для развертывания модели в качестве сетевой конечной точки. Нет разницы в том, как создавать развертывания для разных режимов проверки подлинности.

Azure CLI

Следующий код является примером создания развертывания. Дополнительные сведения о развертывании сетевых конечных точек см. в статье "Развертывание модели машинного обучения с помощью сетевой конечной точки" (с помощью ИНТЕРФЕЙСА командной строки)

1. Создайте файл YAML определения развертывания.

   blue-deployment.yml:

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineDeployment.schema.json
   name: blue
   endpoint_name: my-aad-auth-endp1
   model:
     path: ../../model-1/model/
   code_configuration:
     code: ../../model-1/onlinescoring/
     scoring_script: score.py
   environment: 
     conda_file: ../../model-1/environment/conda.yml
     image: mcr.microsoft.com/azureml/openmpi4.1.0-ubuntu20.04:latest
   instance_type: Standard_DS3_v2
   instance_count: 1
   

2. Создайте развертывание с помощью YAML-файла. В этом примере задайте для нового развертывания весь трафик.

   az ml online-deployment create -f blue-deployment.yml --all-traffic
   

REST

Дополнительные сведения о развертывании сетевых конечных точек с помощью REST см. в статье "Использование REST" для развертывания модели в качестве сетевой конечной точки.

Python

Дополнительные сведения о развертывании сетевых конечных точек см. в статье "Развертывание модели машинного обучения с помощью сетевой конечной точки( с помощью пакета SDK)

Studio

Дополнительные сведения о развертывании сетевых конечных точек см. в статье "Развертывание модели машинного обучения" с помощью сетевой конечной точки (через Студию)

Получение URI оценки для конечной точки

Azure CLI

Если вы планируете использовать ИНТЕРФЕЙС командной строки для вызова конечной точки, вам не нужно явно получать URI оценки, так как интерфейс командной строки обрабатывает его для вас. Однако вы по-прежнему можете использовать ИНТЕРФЕЙС командной строки для получения URI оценки, чтобы использовать его с другими каналами, такими как REST API.

scoringUri=$(az ml online-endpoint show -n my-endpoint --query "scoring_uri")

REST

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<AML_WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export API_VERSION=2023-04-01
response=$(curl --location --request GET "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")
scoringUri=$(echo $response | jq -r '.properties' | jq -r '.scoringUri')

echo $response
echo $scoringUri

Python

Если вы планируете использовать пакет SDK Python для вызова конечной точки, вам не нужно явно получать URI оценки, так как пакет SDK обрабатывает его для вас. Однако пакет SDK по-прежнему можно использовать для получения URI оценки, чтобы использовать его с другими каналами, такими как REST API.

scoring_uri = ml_client.online_endpoints.get(name=endpoint_name).scoring_uri

Studio

Если вы планируете использовать студию для вызова конечной точки, вам не нужно явно получать URI оценки, так как студия обрабатывает ее для вас. Однако вы по-прежнему можете использовать студию для получения URI оценки, чтобы использовать его с другими каналами, такими как REST API.

URI оценки можно найти на вкладке "Сведения " страницы конечной точки.

Получение ключа или маркера для операций плоскости данных

Ключ или маркер можно использовать для операций плоскости данных, даже если процесс получения ключа или маркера является операцией плоскости управления. Другими словами, маркер плоскости управления используется для получения ключа или маркера, который позже используется для выполнения операций плоскости данных.

Получение ключа или маркера Машинное обучение Azure требует, чтобы правильная роль была назначена идентификатору пользователя, запрашивающего его, как описано в авторизации для операций плоскости управления. Получение маркера Microsoft Entra не требует дополнительных ролей для удостоверения пользователя.

Azure CLI

Если вы планируете использовать ИНТЕРФЕЙС командной строки для вызова конечной точки, вам не нужно явно получать ключи или маркер для операций плоскости данных, так как интерфейс командной строки обрабатывает его для вас. Однако вы по-прежнему можете использовать интерфейс командной строки для получения ключей или маркера для операции плоскости данных, чтобы использовать его с другими каналами, такими как REST API.

Чтобы получить ключи или маркер для операций плоскости данных, используйте команду az ml online-endpoint get-credentials . Эта команда возвращает выходные данные JSON, содержащие ключи, маркеры и/или дополнительные сведения.

Совет

Для извлечения определенных сведений из выходных данных --query JSON параметр команды CLI используется в качестве примера. Однако для этой цели можно использовать любое подходящее средство.

Когда auth_mode конечная точка находится key

• Ключи возвращаются в primaryKey полях и secondaryKey полях.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query primaryKey)
export DATA_PLANE_TOKEN2=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query secondaryKey)

Когда auth_mode конечная точка находится aml_token

• Маркер возвращается в accessToken поле.
• Время окончания срока действия маркера возвращается в expiryTimeUtc поле.
• Время обновления маркера возвращается в refreshAfterTimeUtc поле.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)
export REFRESH_AFTER_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query refreshAfterTimeUtc)

Когда auth_mode конечная точка находится aad_token

• Маркер возвращается в accessToken поле.
• Время окончания срока действия маркера возвращается в expiryTimeUtc поле.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)

REST

Чтобы получить ключи или маркер для операций плоскости данных, выберите правильный API в зависимости от auth_mode конечной точки. API возвращает выходные данные JSON, включающие ключи и маркер.

Совет

Служебная jq программа используется для демонстрации извлечения определенных сведений из выходных данных JSON. Однако для этой цели можно использовать любое подходящее средство.

Когда auth_mode конечная точка находится key

• listkeys Используйте API.
• Ключи возвращаются в primaryKey полях и secondaryKey полях.

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/listkeys?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.primaryKey')

Когда auth_mode конечная точка находится aml_token

• token Используйте API.
• Маркер возвращается в accessToken поле.
• Время истечения срока действия маркера возвращается в expiryTimeUtc поле
• Время обновления маркера возвращается в refreshAfterTimeUtc поле

response=$(curl -H "Content-Length: 0" --location --request POST "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/token?api-version=$API_VERSION" \
--header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.accessToken')
export EXPIRY_TIME_UTC=$(echo $response | jq -r '.expiryTimeUtc')
export REFRESH_AFTER_TIME_UTC=$(echo $response | jq -r '.refreshAfterTimeUtc')

Когда auth_mode конечная точка находится aad_token

• Используйте конечную точку IMDS или конечную точку MSI в зависимости от того, где запрашивается маркер.
• Маркер возвращается в accessToken поле.
• Время истечения срока действия маркера возвращается в expiryTimeUtc поле

Из виртуальной машины Azure

Маркер можно получить на основе управляемых удостоверений для виртуальной машины Azure (если виртуальная машина включает управляемое удостоверение).

1. Чтобы получить маркер Microsoft Entra (aad_token) для операции плоскости данных на виртуальной машине Azure с управляемым удостоверением, отправьте запрос в конечную точку службы метаданных экземпляра Azure (IMDS) для конечной точки ml.azure.comресурса Azure:

   export DATA_PLANE_TOKEN=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.access_token' )`
   export EXPIRY_TIME_UTC=`(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' -H Metadata:true -s | jq -r '.expiryTimeUtc' )`
   

   Дополнительные сведения о получении маркеров на основе управляемых удостоверений см. в статье "Получение маркера с помощью ПРОТОКОЛА HTTP".

Из вычислительного экземпляра

Маркер можно получить, если вы используете вычислительный экземпляр рабочей области Машинное обучение Azure. Чтобы получить маркер, необходимо передать идентификатор клиента и секрет управляемого удостоверения вычислительного экземпляра в конечную точку управляемого системного удостоверения (MSI), настроенную локально в вычислительном экземпляре. Конечную точку MSI, идентификатор клиента и секрет можно получить из переменных MSI_ENDPOINTDEFAULT_IDENTITY_CLIENT_IDсреды и MSI_SECRETсоответственно. Эти переменные задаются автоматически, если включить управляемое удостоверение для вычислительного экземпляра.

1. Получите маркер для конечной точки ml.azure.com ресурса Azure из вычислительного экземпляра рабочей области:

   export DATA_PLANE_TOKEN=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.access_token' )`
   export EXPIRY_TIME_UTC=`(curl $MSI_ENDPOINT'?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid='$DEFAULT_IDENTITY_CLIENT_ID -H Metadata:true -H Secret:$MSI_SECRET -s | jq -r '.expiryTimeUtc' )`
   

Внимание

В отличие от маркера Microsoft Entra для операций уровня управления, полученный из management.azure.com, маркер Microsoft Entra для операций плоскости данных извлекается из конечной точки ml.azure.comресурса Azure.

Python

Если вы планируете использовать пакет SDK для вызова конечной точки, вам не нужно явно получать ключи или маркер для операций плоскости данных, так как пакет SDK обрабатывает его для вас. Однако пакет SDK по-прежнему можно использовать для получения ключей или маркеров для операций плоскости данных, чтобы использовать его с другими каналами, такими как REST API.

Чтобы получить ключи или маркер для операций плоскости данных, используйте метод get_keys в OnlineEndpointOperations классе. Этот метод возвращает объект, включающий ключи и маркер.

Когда auth_mode конечная точка находится key

• Ключи возвращаются в primary_key полях и secondary_key полях.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).primary_key
DATA_PLANE_TOKEN2 = ml_client.online_endpoints.get_keys(name=endpoint_name).secondary_key

Когда auth_mode конечная точка находится aml_token

• Маркер возвращается в access_token поле.
• Время окончания срока действия маркера возвращается в expiry_time_utc поле.
• Время обновления маркера возвращается в refresh_after_time_utc поле.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc
REFRESH_AFTER_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).refresh_after_time_utc

Когда auth_mode конечная точка находится aad_token

• Маркер возвращается в access_token поле.
• Время окончания срока действия маркера возвращается в expiry_time_utc поле.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc

Дополнительные сведения см. в статье "Получение маркера" с помощью клиентской библиотеки удостоверений Azure.

Studio

Ключ, маркер Машинное обучение Azure или токен Microsoft Entra можно найти на вкладке "Использование" страницы конечной точки.

Проверка конечной точки ресурса и идентификатора клиента для маркера Microsoft Entra

После получения маркера Entra можно убедиться, что маркер предназначен для правильной конечной точки ml.azure.com ресурса Azure и правильного идентификатора клиента, декодируя маркер с помощью jwt.ms, который вернет ответ JSON со следующими сведениями:

{
    "aud": "https://ml.azure.com",
    "oid": "<your-object-id>"
}

Оценка данных с помощью ключа или маркера

Azure CLI

Для конечных точек можно использовать az ml online-endpoint invoke ключ, маркер Машинное обучение Azure или токен Microsoft Entra. Интерфейс командной строки автоматически обрабатывает ключ или маркер, поэтому не нужно явно передавать его.

az ml online-endpoint invoke -n my-endpoint -r request.json

REST

При вызове сетевой конечной точки для оценки передайте ключ, Машинное обучение Azure маркер или токен Microsoft Entra в заголовке авторизации. В следующем коде показано, как использовать служебную программу curl для вызова сетевой конечной точки с помощью ключа или маркера:

curl --request POST "$scoringUri" --header "Authorization: Bearer $DATA_PLANE_TOKEN" --header 'Content-Type: application/json' --data @endpoints/online/model-1/sample-request.json

Python

Машинное обучение Azure использование ml_client.online_endpoints.invoke() пакета SDK поддерживается для ключа, маркера Машинное обучение Azure и маркера Microsoft Entra. Помимо использования пакета SDK Машинное обучение Azure, вы также можете использовать универсальный пакет SDK Для Python для отправки запроса POST в URI оценки.

При вызове сетевой конечной точки для оценки передайте ключ или маркер в заголовке авторизации. В следующем коде показано, как вызвать конечную точку в Сети с помощью ключа или маркера с универсальным пакетом SDK для Python. В коде замените api_key переменную ключом или маркером.

import urllib.request
import json
import os

data = {"data": [
    [1,2,3,4,5,6,7,8,9,10], 
    [10,9,8,7,6,5,4,3,2,1]
]}

body = str.encode(json.dumps(data))

url = '<scoring URI as retrieved earlier>'
api_key = '<key or token as retrieved earlier>'
headers = {'Content-Type':'application/json', 'Authorization':('Bearer '+ api_key)}

req = urllib.request.Request(url, body, headers)

try:
    response = urllib.request.urlopen(req)

    result = response.read()
    print(result)
except urllib.error.HTTPError as error:
    print("The request failed with status code: " + str(error.code))

    # Print the headers - they include the requert ID and the timestamp, which are useful for debugging the failure
    print(error.info())
    print(error.read().decode("utf8", 'ignore'))

Studio

Маркер ключа или Машинное обучение Azure

Вкладка "Тест" на странице сведений развертывания поддерживает оценку конечных точек с помощью ключа, Машинное обучение Azure маркера или проверки подлинности маркера Microsoft Entra.

Журнал и мониторинг трафика

Чтобы включить ведение журнала трафика в параметрах диагностика для конечной точки, выполните действия, описанные в разделе "Включение и отключение журналов".

Если параметр диагностики включен, можно проверить AmlOnlineEndpointTrafficLogs таблицу, чтобы просмотреть режим проверки подлинности и удостоверение пользователя.

Связанный контент

• Проверка подлинности для управляемой сетевой конечной точки
• Развертывание модели машинного обучения с помощью сетевой конечной точки
• Включение сетевой изоляции для управляемых сетевых конечных точек