Auktorisering för batchslutpunkter

Batch-slutpunkter stöder Microsoft Entra-autentisering, eller aad_token. Det innebär att för att kunna anropa en batchslutpunkt måste användaren presentera en giltig Microsoft Entra-autentiseringstoken för batchslutpunktens URI. Auktorisering tillämpas på slutpunktsnivå. I följande artikel beskrivs hur du interagerar korrekt med batchslutpunkter och säkerhetskrav för den.

Så här fungerar auktorisering

Om du vill anropa en batchslutpunkt måste användaren visa en giltig Microsoft Entra-token som representerar ett säkerhetsobjekt. Det här huvudkontot kan vara användarens huvudnamn eller tjänstens huvudnamn. När en slutpunkt anropas skapas i vilket fall som helst ett batchdistributionsjobb under den identitet som är associerad med token. Identiteten behöver följande behörigheter för att kunna skapa ett jobb:

• Läsa batchslutpunkter/distributioner.
• Skapa jobb i slutpunkter/distribution av batchinferens.
• Skapa experiment/körningar.
• Läsa och skriva från/till datalager.
• Visar en lista över datalagerhemligheter.

En detaljerad lista över RBAC-behörigheter finns i Konfigurera RBAC för batchslutpunktsanrop .

Viktigt!

Den identitet som används för att anropa en batchslutpunkt kanske inte används för att läsa underliggande data beroende på hur datalagret har konfigurerats. Mer information finns i Konfigurera beräkningskluster för dataåtkomst .

Så här kör du jobb med olika typer av autentiseringsuppgifter

I följande exempel visas olika sätt att starta batchdistributionsjobb med olika typer av autentiseringsuppgifter:

Viktigt!

När du arbetar på en privat länkaktiverad arbetsyta kan batchslutpunkter inte anropas från användargränssnittet i Azure Machine Learning-studio. Använd Azure Machine Learning CLI v2 i stället för att skapa jobb.

Förutsättningar

• Det här exemplet förutsätter att du har en modell korrekt distribuerad som en batchslutpunkt. I synnerhet använder vi hjärttillståndsklassificeraren som skapats i självstudien Använda MLflow-modeller i batchdistributioner.

Köra jobb med användarens autentiseringsuppgifter

I det här fallet vill vi köra en batchslutpunkt med identiteten för den användare som för närvarande är inloggad. Följ de här stegen:

Azure CLI

1. Använd Azure CLI för att logga in med antingen interaktiv autentisering eller enhetskodautentisering:

   az login
   

2. När du har autentiserats använder du följande kommando för att köra ett batchdistributionsjobb:

   az ml batch-endpoint invoke --name $ENDPOINT_NAME \
                               --input https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci
   

Python

1. Använd Azure Machine Learning SDK för Python för att logga in med antingen interaktiv autentisering eller enhetsautentisering:

   from azure.ai.ml import MLClient
   from azure.identity import InteractiveAzureCredentials
   
   subscription_id = "<subscription>"
   resource_group = "<resource-group>"
   workspace = "<workspace>"
   
   ml_client = MLClient(InteractiveAzureCredentials(), subscription_id, resource_group, workspace)
   

2. När du har autentiserats använder du följande kommando för att köra ett batchdistributionsjobb:

   job = ml_client.batch_endpoints.invoke(
           endpoint_name,
           input=Input(path="https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci")
       )
   

REST

När du arbetar med REST rekommenderar vi att du anropar batchslutpunkter med hjälp av tjänstens huvudnamn. Men om du vill testa en viss distribution med hjälp av REST med dina egna autentiseringsuppgifter kan du göra det genom att generera en Microsoft Entra-token för ditt konto. Följ de här stegen:

1. Det enklaste sättet att få en giltig token för ditt användarkonto är att använda Azure CLI. Kör följande kommando i en konsol:

   az account get-access-token --resource https://ml.azure.com \
                               --query "accessToken" \
                               --output tsv
   

2. Anteckna de genererade utdata.

3. När du har autentiserats skickar du en begäran till anrops-URI:n som ersätter <TOKEN> med den som du fick tidigare.

   Begäran:

   POST jobs HTTP/1.1
   Host: <ENDPOINT_URI>
   Authorization: Bearer <TOKEN>
   Content-Type: application/json
   

   Brödtext:

   {
       "properties": {
           "InputData": {
               "mnistinput": {
                   "JobInputType" : "UriFolder",
                   "Uri":  "https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci"
               }
           }
       }
   }
   

Köra jobb med tjänstens huvudnamn

I det här fallet vill vi köra en batchslutpunkt med hjälp av ett huvudnamn för tjänsten som redan har skapats i Microsoft Entra-ID. För att slutföra autentiseringen måste du skapa en hemlighet för att utföra autentiseringen. Följ de här stegen:

Azure CLI

1. Skapa en hemlighet som ska användas för autentisering enligt beskrivningen i Alternativ 3: Skapa en ny klienthemlighet.

2. Om du vill autentisera med tjänstens huvudnamn använder du följande kommando. Mer information finns i Logga in med Azure CLI.

   az login --service-principal \
            --tenant <tenant> \
            -u <app-id> \
            -p <password-or-cert> 
   

3. När du har autentiserats använder du följande kommando för att köra ett batchdistributionsjobb:

   az ml batch-endpoint invoke --name $ENDPOINT_NAME \
                               --input https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci/
   

Python

1. Skapa en hemlighet som ska användas för autentisering enligt beskrivningen i Alternativ 3: Skapa en ny klienthemlighet.

2. Om du vill autentisera med hjälp av tjänstens huvudnamn anger du klient-ID, klient-ID och klienthemlighet för tjänstens huvudnamn med hjälp av miljövariabler enligt följande:

   from azure.ai.ml import MLClient
   from azure.identity import EnvironmentCredential
   
   os.environ["AZURE_TENANT_ID"] = "<TENANT_ID>"
   os.environ["AZURE_CLIENT_ID"] = "<CLIENT_ID>"
   os.environ["AZURE_CLIENT_SECRET"] = "<CLIENT_SECRET>"
   
   subscription_id = "<subscription>"
   resource_group = "<resource-group>"
   workspace = "<workspace>"
   
   ml_client = MLClient(EnvironmentCredential(), subscription_id, resource_group, workspace)
   

3. När du har autentiserats använder du följande kommando för att köra ett batchdistributionsjobb:

   job = ml_client.batch_endpoints.invoke(
           endpoint_name,
           input=Input(path="https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci")
       )
   

REST

1. Skapa en hemlighet som ska användas för autentisering enligt beskrivningen i Alternativ 3: Skapa en ny klienthemlighet.

2. Använd inloggningstjänsten från Azure för att hämta en auktoriseringstoken. Auktoriseringstoken utfärdas till ett visst omfång. Resurstypen för Azure Machine Learning är https://ml.azure.com. Begäran skulle se ut så här:

   Begäran:

   POST /{TENANT_ID}/oauth2/token HTTP/1.1
   Host: login.microsoftonline.com
   

   Brödtext:

   grant_type=client_credentials&client_id=<CLIENT_ID>&client_secret=<CLIENT_SECRET>&resource=https://ml.azure.com
   

   Viktigt!

   Observera att resursomfånget för att anropa en batchslutpunkt (https://ml.azure.com) skiljer sig från det resursomfång som används för att hantera dem. Alla hanterings-API:er i Azure använder resursomfånget https://management.azure.com, inklusive Azure Machine Learning.

3. När du har autentiserats använder du frågan för att köra ett batchdistributionsjobb:

   Begäran:

   POST jobs HTTP/1.1
   Host: <ENDPOINT_URI>
   Authorization: Bearer <TOKEN>
   Content-Type: application/json
   

   Brödtext:

   {
       "properties": {
           "InputData": {
               "mnistinput": {
                   "JobInputType" : "UriFolder",
                   "Uri":  "https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci"
               }
           }
       }
   }
   

Köra jobb med en hanterad identitet

Du kan använda hanterade identiteter för att anropa batchslutpunkter och distributioner. Observera att den här hanteringsidentiteten inte tillhör batchslutpunkten, men det är den identitet som används för att köra slutpunkten och därmed skapa ett batchjobb. Både användartilldelade och systemtilldelade identiteter kan användas i det här scenariot.

Azure CLI

Du kan logga in med den hanterade identiteten på resurser som konfigurerats för hanterade identiteter för Azure-resurser. Du loggar in med resursidentiteten via flaggan --identity. Mer information finns i Logga in med Azure CLI.

az login --identity

När du har autentiserats använder du följande kommando för att köra ett batchdistributionsjobb:

az ml batch-endpoint invoke --name $ENDPOINT_NAME \
                            --input https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci

Python

Du kan logga in med den hanterade identiteten på resurser som konfigurerats för hanterade identiteter för Azure-resurser. Använd resurs-ID:t tillsammans med ManagedIdentityCredential -objektet, vilket visas i följande exempel:

from azure.ai.ml import MLClient
from azure.identity import ManagedIdentityCredential

subscription_id = "<subscription>"
resource_group = "<resource-group>"
workspace = "<workspace>"
resource_id = "<resource-id>"

ml_client = MLClient(ManagedIdentityCredential(resource_id), subscription_id, resource_group, workspace)

När du har autentiserats använder du följande kommando för att köra ett batchdistributionsjobb:

job = ml_client.batch_endpoints.invoke(
        endpoint_name,
        input=Input(path="https://azuremlexampledata.blob.core.windows.net/data/heart-disease-uci")
    )

REST

Du kan använda REST-API:et för Azure Machine Learning för att starta ett batchslutpunktsjobb med hjälp av en hanterad identitet. Stegen varierar beroende på vilken underliggande tjänst som används. Några exempel är (men är inte begränsade till):

• Hanterad identitet för Azure Data Factory
• Så här använder du hanterade identiteter för App Service och Azure Functions.
• Så här använder du hanterade identiteter för Azure-resurser på en virtuell Azure-dator för att hämta en åtkomsttoken.

Du kan också använda Azure CLI för att hämta en autentiseringstoken för den hanterade identiteten och skicka den till batchslutpunkternas URI.

Konfigurera RBAC för batchslutpunkter som anropas

Batch-slutpunkter exponerar ett varaktigt API som konsumenter kan använda för att generera jobb. Anroparen begär rätt behörighet för att kunna generera dessa jobb. Du kan antingen använda en av de inbyggda säkerhetsrollerna eller skapa en anpassad roll för ändamålen.

För att kunna anropa en batchslutpunkt behöver du följande explicita åtgärder som beviljats till den identitet som används för att anropa slutpunkterna. Se Steg för att tilldela en Azure-roll för instruktioner för att tilldela dem.

"actions": [
    "Microsoft.MachineLearningServices/workspaces/read",
    "Microsoft.MachineLearningServices/workspaces/data/versions/write",
    "Microsoft.MachineLearningServices/workspaces/datasets/registered/read",
    "Microsoft.MachineLearningServices/workspaces/datasets/registered/write",
    "Microsoft.MachineLearningServices/workspaces/datasets/unregistered/read",
    "Microsoft.MachineLearningServices/workspaces/datasets/unregistered/write",
    "Microsoft.MachineLearningServices/workspaces/datastores/read",
    "Microsoft.MachineLearningServices/workspaces/datastores/write",
    "Microsoft.MachineLearningServices/workspaces/datastores/listsecrets/action",
    "Microsoft.MachineLearningServices/workspaces/listStorageAccountKeys/action",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/read",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/write",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/deployments/read",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/deployments/write",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/deployments/jobs/write",
    "Microsoft.MachineLearningServices/workspaces/batchEndpoints/jobs/write",
    "Microsoft.MachineLearningServices/workspaces/computes/read",
    "Microsoft.MachineLearningServices/workspaces/computes/listKeys/action",
    "Microsoft.MachineLearningServices/workspaces/metadata/secrets/read",
    "Microsoft.MachineLearningServices/workspaces/metadata/snapshots/read",
    "Microsoft.MachineLearningServices/workspaces/metadata/artifacts/read",
    "Microsoft.MachineLearningServices/workspaces/metadata/artifacts/write",
    "Microsoft.MachineLearningServices/workspaces/experiments/read",
    "Microsoft.MachineLearningServices/workspaces/experiments/runs/submit/action",
    "Microsoft.MachineLearningServices/workspaces/experiments/runs/read",
    "Microsoft.MachineLearningServices/workspaces/experiments/runs/write",
    "Microsoft.MachineLearningServices/workspaces/metrics/resource/write",
    "Microsoft.MachineLearningServices/workspaces/modules/read",
    "Microsoft.MachineLearningServices/workspaces/models/read",
    "Microsoft.MachineLearningServices/workspaces/endpoints/pipelines/read",
    "Microsoft.MachineLearningServices/workspaces/endpoints/pipelines/write",
    "Microsoft.MachineLearningServices/workspaces/environments/read",
    "Microsoft.MachineLearningServices/workspaces/environments/write",
    "Microsoft.MachineLearningServices/workspaces/environments/build/action",
    "Microsoft.MachineLearningServices/workspaces/environments/readSecrets/action"
]

Konfigurera beräkningskluster för dataåtkomst

Batch-slutpunkter säkerställer att endast behöriga användare kan anropa batchdistributioner och generera jobb. Beroende på hur indata konfigureras kan dock andra autentiseringsuppgifter användas för att läsa underliggande data. Använd följande tabell för att förstå vilka autentiseringsuppgifter som används:

Datainmatningstyp	Autentiseringsuppgifter i arkivet	Autentiseringsuppgifter som används	Åtkomst som beviljats av
Datalager	Ja	Autentiseringsuppgifter för datalagret på arbetsytan	Åtkomstnyckel eller SAS
Datatillgång	Ja	Autentiseringsuppgifter för datalagret på arbetsytan	Åtkomstnyckel eller SAS
Datalager	Nej	Identitet för jobbet + hanterad identitet för beräkningsklustret	RBAC
Datatillgång	Nej	Identitet för jobbet + hanterad identitet för beräkningsklustret	RBAC
Azure Blob Storage	Gäller inte	Identitet för jobbet + hanterad identitet för beräkningsklustret	RBAC
Azure Data Lake Storage Gen1	Gäller inte	Identitet för jobbet + hanterad identitet för beräkningsklustret	POSIX
Azure Data Lake Storage Gen2	Gäller inte	Identitet för jobbet + hanterad identitet för beräkningsklustret	POSIX och RBAC

För de objekt i tabellen där identiteten för jobbet + den hanterade identiteten för beräkningsklustret visas används beräkningsklustrets hanterade identitet för montering och konfigurering av lagringskonton. Jobbets identitet används dock fortfarande för att läsa underliggande data så att du kan uppnå detaljerad åtkomstkontroll. Det innebär att för att kunna läsa data från lagringen måste den hanterade identiteten för beräkningsklustret där distributionen körs ha minst åtkomst till Lagringsblobdataläsaren till lagringskontot.

Följ dessa steg för att konfigurera beräkningsklustret för dataåtkomst:

1. Gå till Azure Machine Learning-studio.

2. Gå till Beräkning, sedan Beräkningskluster och välj det beräkningskluster som distributionen använder.

3. Tilldela en hanterad identitet till beräkningsklustret:

   1. I avsnittet Hanterad identitet kontrollerar du om beräkningen har en tilldelad hanterad identitet. Om inte väljer du alternativet Redigera.

   2. Välj Tilldela en hanterad identitet och konfigurera den efter behov. Du kan använda en systemtilldelad hanterad identitet eller en användartilldelad hanterad identitet. Om du använder en systemtilldelad hanterad identitet namnges den som "[arbetsytenamn]/computes/[beräkningsklusternamn]".

   3. Spara ändringarna.

   

4. Gå till Azure-portalen och gå till det associerade lagringskontot där data finns. Om dina dataindata är en datatillgång eller ett datalager letar du efter lagringskontot där dessa tillgångar placeras.

5. Tilldela åtkomstnivå för Storage Blob Data Reader i lagringskontot:

   1. Gå till avsnittet Åtkomstkontroll (IAM).

   2. Välj fliken Rolltilldelning och klicka sedan på Lägg till>rolltilldelning.

   3. Leta efter rollen med namnet Storage Blob Data Reader, välj den och klicka på Nästa.

   4. Klicka på Välj medlemmar.

   5. Leta efter den hanterade identitet som du har skapat. Om du använder en systemtilldelad hanterad identitet namnges den som "[arbetsytenamn]/computes/[beräkningsklusternamn]".

   6. Lägg till kontot och slutför guiden.

   

6. Slutpunkten är redo att ta emot jobb och mata in data från det valda lagringskontot.

Nästa steg

• Nätverksisolering i batchslutpunkter
• Anropa batchslutpunkter från Event Grid-händelser i lagring.
• Anropa batchslutpunkter från Azure Data Factory.