Çevrimiçi uç noktalar için istemcilerin kimliğini doğrulama

ŞUNLAR IÇIN GEÇERLIDIR: Azure CLI ml uzantısı v2 (geçerli)Python SDK azure-ai-ml v2 (geçerli)

Bu makalede, Azure Machine Learning çevrimiçi uç noktaları için istemcilerin kimliğini doğrulamayı öğreneceksiniz. İzinleri ayarlar, uç nokta oluşturur, belirteçleri veya anahtarları alır ve üç kimlik doğrulama modundan birini kullanarak verileri puanlarsınız: anahtar, Azure Machine Learning belirteci (aml_token) veya Microsoft Entra belirteci (aad_token).

Çevrimiçi uç nokta kimlik doğrulaması iki tür işlem içerir:

• Denetim düzlemi işlemi, bir uç noktayı kontrol eder ve değiştirir. Denetim düzlemi işlemleri, çevrimiçi uç noktalarda ve çevrimiçi dağıtımlarda oluşturma, okuma, güncelleştirme ve silme (CRUD) işlemlerini içerir.
• Veri düzlemi işlemi , uç noktayı değiştirmeden çevrimiçi uç noktayla etkileşime geçmek için verileri kullanır. Örneğin veri düzlemi işlemi, çevrimiçi uç noktaya puanlama isteği gönderme ve yanıt alma işlemlerinden oluşur.

Kimlik doğrulaması modu seçme

Çevrimiçi uç noktalar, veri düzlemi işlemleri için üç kimlik doğrulama modunu destekler. Güvenlik gereksinimlerinize ve uç nokta türüne en uygun modu seçin.

	Anahtar	Azure Machine Learning belirteci (aml_token)	Microsoft Entra belirteci (aad_token)
Güvenlik düzeyi	En düşük — statik anahtarların süresi dolmaz	Orta — kısa ömürlü, otomatik olarak yenilenen	Üst düzey — kimlik tabanlı, rol tabanlı sınırlandırılmış
Uç nokta türleri	Yönetilen ve Kubernetes	Yönetilen ve Kubernetes	Sadece yönetilen
Puanlama için RBAC gerekiyor	Hayır	Hayır	Evet (score/action rol)
Jeton ömrü	Süre sonu yok (elle döndürülür)	Yenileme ile kısa ömürlü	Kısa ömürlü (Microsoft Entra ilkesine göre)
En uygun	Geliştirme ve test	Otomatik işlem hatları	Üretim iş yükleri

Yönetilen çevrimiçi uç noktalarda üretim iş yükleri için en güçlü güvenlik için Microsoft Entra belirteci kimlik doğrulamasını (aad_token) kullanın. Geliştirme veya Kubernetes uç noktaları için anahtar tabanlı kimlik doğrulaması en basit seçenektir.

Önemli

Microsoft Entra belirteci (aad_token) kimlik doğrulaması yalnızca yönetilen çevrimiçi uç noktalar için desteklenir. Kubernetes çevrimiçi uç noktaları için anahtar veya Azure Machine Learning belirteci (aml_token) kimlik doğrulamasını kullanın. Daha fazla bilgi için bkz. Çevrimiçi uç noktalar için kimlik doğrulaması ve yetkilendirme.

Önkoşullar

• Azure Machine Learning çalışma alanı. Çalışma alanı oluşturma yönergeleri için bkz. Çalışma alanı oluşturma.

• Azure CLI ve ml uzantısı veya Azure Machine Learning Python SDK v2:

  Azure CLI

  Azure CLI'yı ve uzantıyı ml yüklemek için bkz. CLI'yi (v2) yükleme ve ayarlama.

  Bu makaledeki örneklerde Bash kabuğu veya uyumlu bir kabuk kullandığınız varsayılır. Örneğin, Linux sisteminde veya Linux için Windows Alt Sistemi'nde kabuk kullanabilirsiniz.

  Piton

  • Python 3.10 veya üzeri.

  Python SDK v2'yi yüklemek için aşağıdaki komutu kullanın:

  pip install azure-ai-ml azure-identity
  

  SDK'nın mevcut yüklemesini en son sürüme güncelleştirmek için aşağıdaki komutu kullanın:

  pip install --upgrade azure-ai-ml azure-identity
  

  Daha fazla bilgi için bkz. Python için Azure Machine Learning Paketi istemci kitaplığı.

• Python SDK'sı: azure-ai-ml ve azure-identity paketleri (pip install azure-ai-ml azure-identity)
• Azure CLI: ml Uzantı (az extension add -n ml)
• Microsoft Entra Id'de bir kullanıcı kimliği. Kullanıcı kimliği oluşturma hakkında bilgi için bkz. Kimlik doğrulamasını ayarlama. Sonraki bir adımda kimlik ID'sine ihtiyacınız olacak.
• Denetim düzlemi ve veri düzlemi işlemleri için gerekli RBAC rolü: Çalışma alanı kapsamında kullanıcı kimliğinize aşağıdaki rollerden birini atayın:
  • AzureML Veri Bilimcisi (yerleşik) — Uç noktalar ve puanlama üzerinde CRUD işlemleri için izinler içerir. Bkz. AzureML Veri Bilimcisi rolü.
  • Sahip veya Katkıda Bulunan — Uç noktaları yönetmek için tam erişim.
  • Microsoft.MachineLearningServices/workspaces/onlineEndpoints/* eylemlerle birlikte olan özel bir rol.
• (İsteğe bağlı) Azure Machine Learning Çalışma Alanı Bağlantı Gizli Dizileri Okuyucusu — Yalnızca çalışma alanı bağlantılarından gizli dizilere erişmeniz gerekiyorsa gereklidir.

Kurulumunuzu doğrulama

Kimlik bilgilerinizin ve RBAC izinlerinizin doğru yapılandırıldığını doğrulamak için bu kod parçacığını çalıştırın:

Azure CLI

az login
az ml online-endpoint list --resource-group <RESOURCE_GROUP> --workspace-name <WORKSPACE_NAME>

Beklenen çıkış: JSON uç nokta dizisi (henüz uç nokta yoksa boş [] ).

Referans: az ml online-endpoint list

Piton

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

# List existing endpoints to verify access
endpoints = ml_client.online_endpoints.list()
print("Existing endpoints:", [ep.name for ep in endpoints])

Beklenen çıkış: Uç nokta adlarının listesi (henüz uç nokta yoksa boş liste [] ).

Başvuru: MLClient, DefaultAzureCredential

REST

# First, get a token
export CONTROL_PLANE_TOKEN=$(az account get-access-token \
    --resource https://management.azure.com \
    --query accessToken -o tsv)

# List endpoints
curl -s -X GET \
    "https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.MachineLearningServices/workspaces/<WORKSPACE_NAME>/onlineEndpoints?api-version=2024-04-01" \
    -H "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
    -H "Content-Type: application/json"

Beklenen çıkış: Uç noktaları içeren bir value dizi ile JSON yanıtı.

Stüdyo

Erişimi doğrulamak için Azure Machine Learning Stüdyosu'da oturum açın ve Uç Noktalar>Gerçek zamanlı uç noktalar'a gidin.

Kimliğe izinler atayın

Gerekli RBAC rolü zaten atanmışsa (Önkoşullar kısmında listelendiği gibi) Bir uç nokta oluşturun kısmına atlayın. Bu bölümde, gerekirse özel rol oluşturma ayrıntıları sağlanır.

Yerleşik rol ayrıntılarını görüntüleme

AzureML Veri Bilimci Yerleşik rol, şu RBAC (Yetki Tabanlı Erişim Kontrolü) denetim düzlemi eylemlerini içerir:

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action
• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action

Ve bu veri düzlemi RBAC eylemi:

• Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action

Azure Machine Learning Workspace Connection Secrets Reader Bir yerleşik rol şunları içerir:

• Microsoft.MachineLearningServices/workspaces/connections/listsecrets/action
• Microsoft.MachineLearningServices/workspaces/metadata/secrets/read

(İsteğe bağlı) Özel rol oluşturma

Yerleşik roller veya önceden oluşturulmuş diğer özel roller kullanıyorsanız bu adımı atlayın.

1. Rollerin JSON tanımlarını oluşturarak özel rollerin kapsamını ve eylemlerini tanımlayın. Örneğin, custom-role-for-control-plane.jsonaşağıdaki rol tanımı, kullanıcının belirtilen çalışma alanında çevrimiçi bir uç noktada CRUD işlemleri gerçekleştirmesine izin verir.

   {
       "Name": "Custom role for control plane operations - online endpoint",
       "IsCustom": true,
       "Description": "Can CRUD against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action",
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>"
       ]
   }
   

   Aşağıdaki rol tanımı custom-role-for-scoring.jsonkullanıcının belirtilen çalışma alanında bir çevrimiçi uç noktaya puanlama istekleri göndermesine olanak tanır.

   {
       "Name": "Custom role for scoring - online endpoint",
       "IsCustom": true,
       "Description": "Can score against online endpoints.",
       "Actions": [
           "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/action"
       ],
       "NotActions": [
       ],
       "AssignableScopes": [
           "/subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>"
       ]
   }
   

2. Özel roller oluşturmak için JSON tanımlarını kullanın:

   az role definition create --role-definition custom-role-for-control-plane.json --subscription <subscriptionID>
   
   az role definition create --role-definition custom-role-for-scoring.json --subscription <subscriptionID>
   

   Not

   Özel roller oluşturmak için üç rolden birine ihtiyacınız vardır:

   • Sahibi
   • Kullanıcı Erişimi Yöneticisi
   • Özel roller oluşturmak/güncelleştirmek/silmek için Microsoft.Authorization/roleDefinitions/write izni ve özel rolleri görüntülemek için Microsoft.Authorization/roleDefinitions/read izni olan özel rol.

   Özel roller oluşturma hakkında daha fazla bilgi için bkz . Azure özel rolleri.

3. Rol tanımını doğrulayın:

   az role definition list --custom-role-only -o table
   
   az role definition list -n "Custom role for control plane operations - online endpoint"
   az role definition list -n "Custom role for scoring - online endpoint"
   
   export role_definition_id1=`(az role definition list -n "Custom role for control plane operations - online endpoint" --query "[0].id" | tr -d '"')`
   
   export role_definition_id2=`(az role definition list -n "Custom role for scoring - online endpoint" --query "[0].id" | tr -d '"')`
   

Rolü kimliğe ata

1. Yerleşik rolü kullanıyorsanız AzureML Veri Bilimci , rolü kullanıcı kimliğinize atamak için aşağıdaki kodu kullanın.

   az role assignment create --assignee <identityID> --role "AzureML Data Scientist" --scope /subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

2. İsteğe bağlı olarak, yerleşik rolü kullanıyorsanız Azure Machine Learning Workspace Connection Secrets Reader , rolü kullanıcı kimliğinize atamak için aşağıdaki kodu kullanın.

   az role assignment create --assignee <identityID> --role "Azure Machine Learning Workspace Connection Secrets Reader" --scope /subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

3. Özel bir rol kullanıyorsanız, rolü kullanıcı kimliğinize atamak için aşağıdaki kodu kullanın.

   az role assignment create --assignee <identityID> --role "Custom role for control plane operations - online endpoint" --scope /subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   
   az role assignment create --assignee <identityID> --role "Custom role for scoring - online endpoint" --scope /subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

   Not

   Kullanıcı kimliğine özel roller atamak için üç rolden birine ihtiyacınız vardır:

   • Sahibi
   • Kullanıcı Erişimi Yöneticisi
   • Özel roller atama izni (Microsoft.Authorization/roleAssignments/write) ve rol atamalarını görüntüleme izni (Microsoft.Authorization/roleAssignments/read) veren özel bir rol.

   Azure rolleri ve izinleri hakkında daha fazla bilgi için bkz. Azure rolleri ve Azure portalını kullanarak Azure rolleri atama.

4. Rol atamasını onaylayın:

   az role assignment list --scope /subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
   

Denetim düzlemi belirteci alın

Doğrudan belirteci kullanan REST API'yi kullanarak denetim düzlemi işlemleri gerçekleştirmeyi planlıyorsanız bu adımı tamamlayın.

Ml uzantısı v2, Python SDK v2 veya Azure Machine Learning Stüdyosu ile Azure CLI gibi diğer yöntemleri kullanmayı planlıyorsanız Microsoft Entra belirtecini el ile almanız gerekmez. Oturum açma sırasında kullanıcı kimliğiniz doğrulanır ve kimlik doğrulama belirteci sizin adınıza otomatik olarak alınır ve iletilir.

Denetim düzlemi işlemleri için Microsoft Entra belirtecini Azure kaynak uç noktasından alabilirsiniz: https://management.azure.com.

Azure CLI

1. Azure'da oturum açın.

   az login
   

2. Belirli bir kimlik kullanmak istiyorsanız, kimlikle oturum açmak için aşağıdaki kodu kullanın:

   az login --identity --username <identityID>
   

3. Belirteci almak için bu bağlamı kullanın:

   export CONTROL_PLANE_TOKEN=$(az account get-access-token \
       --resource https://management.azure.com \
       --query accessToken -o tsv)
   

Referans: az login, az account get-access-token

Piton

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check whether given credential can get token.
    access_token = credential.get_token("https://management.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential doesn't work.
    # This will open a browser page. 
    credential = InteractiveBrowserCredential()

Referans: DefaultAzureCredential, InteractiveBrowserCredential

Daha fazla bilgi için bkz. Azure Identity istemci kitaplığını kullanarak belirteç alma.

REST

Azure sanal makinesinden

Bir Azure VM'sinin yönetilen kimliğine göre bir belirteç alabilirsiniz (VM, yönetilen kimliği etkinleştirdiğinde).

• Azure VM'deki denetim düzlemi işlemi için Microsoft Entra belirtecini (aad_token) almak için, isteği Azure kaynak uç noktası için Azure Örnek Meta Veri Hizmeti (IMDS) uç noktasına management.azure.comgönderin:

  export CONTROL_PLANE_TOKEN=$(curl -s \
      'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' \
      -H Metadata:true | jq -r '.access_token')
  

  İpucu

  yardımcı jq programı JSON çıkışından belirteci ayıklamak için kullanılır. Ancak, bu amaçla uygun herhangi bir aracı kullanabilirsiniz.

  Yönetilen kimlikleri temel alan belirteçler hakkında daha fazla bilgi için bkz. HTTP kullanarak belirteç alma.

Hesaplama örneğinden

Azure Machine Learning çalışma alanının işlem örneğini kullanıyorsanız belirteci alabilirsiniz. Belirteci almak için istemci kimliğini ve hesaplama örneğinin yönetilen kimliğinin gizli anahtarını, hesaplama örneğinde yerel olarak yapılandırılan Yönetilen Sistem Kimliği (MSI) uç noktasına geçirmeniz gerekir. MSI uç noktasını, istemci kimliğini ve gizli diziyi sırasıyla MSI_ENDPOINT, DEFAULT_IDENTITY_CLIENT_ID ve MSI_SECRET ortam değişkenlerinden alabilirsiniz. İşlem örneği için yönetilen kimliği etkinleştirirseniz bu değişkenler otomatik olarak ayarlanır.

• Çalışma alanının işlem örneğinden Azure kaynak uç noktası management.azure.com için belirteci alın:

  export CONTROL_PLANE_TOKEN=$(curl -s \
      "${MSI_ENDPOINT}?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F&clientid=${DEFAULT_IDENTITY_CLIENT_ID}" \
      -H Metadata:true \
      -H "Secret:$MSI_SECRET" | jq -r '.access_token')
  

Stüdyo

Stüdyo, kontrol düzlemi işlemleri için Microsoft Entra belirtecini açığa çıkarmaz.

Denetim düzlemi belirtecini doğrulama (isteğe bağlı)

Microsoft Entra belirtecini aldıktan sonra belirtecin kodunu management.azure.com aracılığıyla çözerek belirtecin doğru Azure kaynak uç noktası () ve doğru istemci kimliği için olduğunu doğrulayabilirsiniz.

İpucu

jwt.ms sitesi, belirteçlerin kodunu tamamen tarayıcıda çözen Microsoft'a ait bir araçtır; sunucuya veri gönderilmez. Belirteçleri asla güvenilmeyen kod çözme araçlarına yapıştırmayın.

Kodu çözülen belirteç, aşağıdaki bilgileri içeren bir JSON yanıtı döndürür:

{
    "aud": "https://management.azure.com",
    "oid": "<your-object-id>"
}

Uç nokta oluşturma

Aşağıdaki örnek, sistem tarafından atanan kimliği (SAI) uç nokta kimliği olarak kullanarak uç noktayı oluşturur. SAI, uç noktalar için varsayılan kimlik türüdür ve bazı temel roller otomatik olarak atanır. Daha fazla bilgi için bkz. Uç nokta kimliği için otomatik rol ataması.

Azure CLI

CLI, denetim düzlemi belirtecini açıkça sağlamanızı gerektirmez. Bunun yerine, CLI az login komutu oturum açma sırasında kimliğinizi doğrular ve kimlik belirteci sizin için otomatik olarak elde edilip iletilir.

1. endpoint.yml adlı bir uç nokta tanımı YAML dosyası oluşturun:

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineEndpoint.schema.json
   name: my-endpoint
   auth_mode: aad_token
   

   auth_mode'yı anahtar kimlik doğrulaması için veya key'yi Azure Machine Learning belirteci kimlik doğrulaması için aml_token olarak ayarlayabilirsiniz. Bu örnekte Microsoft Entra belirteci kimlik doğrulaması için kullanılır aad_token .

   Not

   aad_token Kimlik doğrulama modu yalnızca yönetilen çevrimiçi uç noktalar için desteklenir. Kubernetes çevrimiçi uç noktaları için auth_mode'yi key veya aml_token olarak ayarlayın.

2. Uç noktayı oluşturun:

   az ml online-endpoint create -f endpoint.yml
   

3. Uç noktanın durumunu denetleyin:

   az ml online-endpoint show -n my-endpoint
   

4. Uç nokta oluştururken auth_mode'yi geçersiz kılmak istiyorsanız (örneğin, aad_token için), aşağıdaki kodu çalıştırın.

   az ml online-endpoint create -n my-endpoint --auth-mode aad_token
   

5. Mevcut uç noktayı güncelleştirmek ve belirtmek auth_mode istiyorsanız (örneğin, gibi aad_token) aşağıdaki kodu çalıştırın:

   az ml online-endpoint update -n my-endpoint --set auth_mode=aad_token
   

Referans: az ml online-endpoint create, az ml online-endpoint show, az ml online-endpoint update

Piton

Python SDK'sı, denetim düzlemi belirtecini açıkça sağlamanızı gerektirmez. Bunun yerine, SDK MLClient oturum açma sırasında kimliğinizi doğrular ve belirteç sizin için otomatik olarak alınarak iletilir.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    ManagedOnlineEndpoint,
    ManagedOnlineDeployment,
    Model,
    Environment,
    CodeConfiguration,
)
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

endpoint = ManagedOnlineEndpoint(
    name="my-endpoint",
    description="this is a sample online endpoint",
    auth_mode="aad_token",
    tags={"foo": "bar"},
)
ml_client.online_endpoints.begin_create_or_update(endpoint).result()

auth_mode anahtar kimlik doğrulaması için veya key Azure Machine Learning belirteci kimlik doğrulaması için aml_token ile değiştirebilirsiniz. Örnek, Microsoft Entra belirteci kimlik doğrulaması için aad_token kullanır.

Not

aad_token Kimlik doğrulama modu yalnızca yönetilen çevrimiçi uç noktalar için desteklenir. Kubernetes çevrimiçi uç noktaları için auth_mode'yi key veya aml_token olarak ayarlayın.

Referans: MLClient, ManagedOnlineEndpoint, begin_create_or_update

REST

REST API çağrısı, denetim düzlemi belirtecini açıkça sağlamanızı gerektirir. Daha önce aldığınız denetim düzlemi belirtecini kullanın.

1. Uç nokta oluşturma veya güncelleştirme:

   export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
   export RESOURCE_GROUP=<RESOURCE_GROUP>
   export WORKSPACE=<WORKSPACE_NAME>
   export ENDPOINT_NAME=<ENDPOINT_NAME>
   export LOCATION=<LOCATION_NAME>
   export API_VERSION=2024-04-01
   
   response=$(curl --location --request PUT \
       "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
       --header "Content-Type: application/json" \
       --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
       --data-raw '{
           "identity": {
              "type": "systemAssigned"
           },
           "properties": {
               "authMode": "AADToken"
           },
           "location": "'"$LOCATION"'"
       }')
   
   echo $response
   

   authMode anahtar kimlik doğrulaması için veya key Azure Machine Learning belirteci kimlik doğrulaması için AMLToken ile değiştirebilirsiniz. Bu örnekte, AADToken Microsoft Entra belirteci kimlik doğrulaması için kullanacaksınız.

   Not

   AADToken Kimlik doğrulama modu yalnızca yönetilen çevrimiçi uç noktalar için desteklenir. Kubernetes çevrimiçi uç noktaları için authMode'yi key veya AMLToken olarak ayarlayın.

2. Çevrimiçi uç noktanın geçerli durumunu alın:

   response=$(curl --location --request GET \
       "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
       --header "Content-Type: application/json" \
       --header "Authorization: Bearer $CONTROL_PLANE_TOKEN")
   
   echo $response
   

Referans: Çevrimiçi Uç Noktalar - Oluştur veya Güncelle, Çevrimiçi Uç Noktalar - Getir

Stüdyo

Stüdyo oturum açma sırasında kimliğinizi doğruladığı ve belirteç sizin için otomatik olarak alınıp iletildiği için, denetim düzlemi belirtecini sizin açıkça sağlamanız gerekmiyor.

Çevrimiçi uç noktaları dağıtma hakkında daha fazla bilgi için bkz. Çevrimiçi uç nokta ile makine öğrenmesi modeli dağıtma (stüdyo aracılığıyla).

Dağıtım oluştur

Dağıtım oluşturmak için bkz. Çevrimiçi uç nokta ile makine öğrenmesi modeli dağıtma veya Modeli çevrimiçi uç nokta olarak dağıtmak için REST kullanma. Farklı kimlik doğrulama modları için dağıtım oluşturma yönteminizde bir fark yoktur.

Azure CLI

Aşağıdaki kod, bir dağıtımın nasıl oluşturulacağını gösteren bir örnektir. Çevrimiçi uç noktaları dağıtma hakkında daha fazla bilgi için bkz. Çevrimiçi uç nokta ile makine öğrenmesi modeli dağıtma (CLI aracılığıyla).

1. blue-deployment.yml adlı bir dağıtım tanımı YAML dosyası oluşturun:

   $schema: https://azuremlschemas.azureedge.net/latest/managedOnlineDeployment.schema.json
   name: blue
   endpoint_name: my-aad-auth-endp1
   model:
     path: ../../model-1/model/
   code_configuration:
     code: ../../model-1/onlinescoring/
     scoring_script: score.py
   environment: 
     conda_file: ../../model-1/environment/conda.yml
     image: mcr.microsoft.com/azureml/openmpi4.1.0-ubuntu22.04:latest
   instance_type: Standard_DS3_v2
   instance_count: 1
   

2. YAML dosyasını kullanarak dağıtımı oluşturun. Bu örnek için tüm trafiği yeni dağıtıma ayarlayın.

   az ml online-deployment create -f blue-deployment.yml --all-traffic
   

Referans: az ml online-deployment create

Piton

Çevrimiçi uç noktaları dağıtma hakkında daha fazla bilgi için bkz. Çevrimiçi uç nokta (SDK aracılığıyla) ile makine öğrenmesi modeli dağıtma.

REST

REST kullanarak çevrimiçi uç noktaları dağıtma hakkında daha fazla bilgi için bkz. Modeli çevrimiçi uç nokta olarak dağıtmak için REST kullanma.

Stüdyo

Çevrimiçi uç noktaları dağıtma hakkında daha fazla bilgi için bkz. Çevrimiçi uç nokta ile makine öğrenmesi modeli dağıtma (stüdyo aracılığıyla).

Puanlama URI'sini alma

Azure CLI

Uç noktayı çağırmak için kullanırsanız az ml online-endpoint invoke , CLI puanlama URI'sini otomatik olarak çözümler, bu nedenle el ile almanız gerekmez.

Ancak, diğer araçlarla (REST API veya özel HTTP istemcileri gibi) kullanmak için puanlama URI'sine ihtiyacınız varsa, bunu aşağıdaki komutla alabilirsiniz:

scoringUri=$(az ml online-endpoint show -n my-endpoint --query "scoring_uri")

Komut referansı: az ml online-endpoint show

Piton

Uç noktayı çağırmak için Python SDK'sını kullanmayı planlıyorsanız, SDK bunu size sağladığından puanlama URI'sini açıkça almanız gerekmez. Ancak, PUANLAMA URI'sini almak için SDK'yı kullanmaya devam edebilirsiniz; böylece REST API gibi diğer kanallarla da kullanabilirsiniz.

scoring_uri = ml_client.online_endpoints.get(name=endpoint_name).scoring_uri

Referans: OnlineEndpointOperations.get

REST

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export API_VERSION=2024-04-01

response=$(curl --location --request GET \
    "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

scoringUri=$(echo $response | jq -r '.properties.scoringUri')

echo $response
echo $scoringUri

Stüdyo

Uç noktayı çağırmak için stüdyoyu kullanmayı planlıyorsanız, studio bunu size sağladığından puanlama URI'sini açıkça almanız gerekmez. Ancak, puanlama URI'sini almak için stüdyoyu kullanmaya devam edebilirsiniz, böylece REST API gibi diğer kanallarla da kullanabilirsiniz.

Puanlama URI'sini uç nokta sayfasının Ayrıntılar sekmesinde bulabilirsiniz.

Veri düzlemine ait anahtar veya jetonu alın

Anahtarı veya belirteci alma işlemi bir denetim düzlemi işlemi olsa da, veri düzlemi işlemleri için bir anahtar veya belirteç kullanabilirsiniz. Başka bir deyişle, veri düzlemi işlemlerinde kullanacağınız anahtarı veya belirteci elde etmek için bir denetim düzlemi belirteci kullanırsınız.

Belirteç yaşam süreleri kimlik doğrulama moduna göre farklılık gösterir:

• Anahtar: Anahtarların süresi dolmaz, ancak güvenlik için düzenli olarak döndürülmelidir. regenerateKeys Tuşları döndürmek için eylemi kullanın.
• Azure Machine Learning belirteci (aml_token): Kısa ömürlü ve bir refreshAfterTimeUtc alanı içeren belirteçler. Sürenin dolmasını önlemek için bu süreden sonra yeni bir jeton isteyin.
• Microsoft Entra belirteci (aad_token): Microsoft Entra ID belirteci yaşam süresi ilkenize (genellikle 60-90 dakika) uyar. Belirteci expiryTimeUtc öncesinde yenileyin.

Anahtarı veya Azure Machine Learning belirtecini almak için, bunu isteyen kullanıcı kimliğinin denetim düzlemi işlemleri için yetkilendirme bölümünde açıklandığı gibi doğru rolün atanması gerekir. Kullanıcı kimliğinin Microsoft Entra belirtecini almak için ek rollere ihtiyacı yoktur.

Azure CLI

Uç noktayı çağırmak için CLI kullanmayı planlıyorsanız, CLI bunu size sağladığından veri düzlemi işlemleri için anahtarları veya belirteci açıkça almanız gerekmez. Bununla birlikte, CLI'yi kullanarak veri düzlemi işlemlerinin anahtarlarını veya belirtecini almaya devam edebilirsiniz; böylece REST API gibi diğer kanallarla da kullanabilirsiniz.

Veri düzlemi işlemlerinin anahtarlarını veya belirtecini almak için az ml online-endpoint get-credentials komutunu kullanın. Bu komut anahtarları, belirteci ve/veya ek bilgileri içeren JSON çıkışını döndürür.

İpucu

Aşağıdaki komutta --query parametresi, JSON çıkışından belirli bilgileri ayıklamak için kullanılır. Ancak, bu amaç için uygun herhangi bir aracı kullanabilirsiniz.

auth_mode olduğunda key uç noktasının

• Anahtarlar primaryKey ve secondaryKey alanlarında döndürülür.

  export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query primaryKey)
  export DATA_PLANE_TOKEN2=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query secondaryKey)
  

auth_mode olduğunda aml_token uç noktasının

• Jeton, accessToken alanında döndürülür.

• Belirteç sona erme süresi expiryTimeUtc alanında döndürülür.

• Belirteç yenileme süresi, refreshAfterTimeUtc alanında döndürülür.

  export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
  export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)
  export REFRESH_AFTER_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query refreshAfterTimeUtc)
  

auth_mode olduğunda aad_token uç noktasının

• Jeton, accessToken alanında döndürülür.

• Belirteç sona erme süresi expiryTimeUtc alanında döndürülür.

  export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
  export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)
  

Referans: az ml online-endpoint get-credentials

Piton

Uç noktayı çağırmak için SDK'nın invoke() yöntemini kullanırsanız, SDK kimlik doğrulamasını otomatik olarak işler, bu nedenle anahtarları veya belirteçleri el ile almanız gerekmez.

Ancak, diğer araçlarla (REST API veya özel HTTP istemcileri gibi) kullanmak üzere anahtarları veya belirteçleri almanız gerekiyorsa, sınıfındaki OnlineEndpointOperations yöntemini kullanabilirsiniz. Bu yöntem anahtar ve belirteç içeren bir nesne döndürür.

auth_mode olduğunda key uç noktasının

• Anahtarlar primary_key ve secondary_key alanlarında döndürülür.

  DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).primary_key
  DATA_PLANE_TOKEN2 = ml_client.online_endpoints.get_keys(name=endpoint_name).secondary_key
  

auth_mode olduğunda aml_token uç noktasının

• Jeton, access_token alanında döndürülür.

• Belirteç sona erme süresi expiry_time_utc alanında döndürülür.

• Belirteç yenileme süresi, refresh_after_time_utc alanında döndürülür.

  DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
  EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc
  REFRESH_AFTER_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).refresh_after_time_utc
  

auth_mode olduğunda aad_token uç noktasının

• Jeton, access_token alanında döndürülür.

• Belirteç sona erme süresi expiry_time_utc alanında döndürülür.

  DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
  EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc
  

Başvuru: OnlineEndpointOperations.get_keys

Daha fazla bilgi için bkz. Azure kimlik istemci kitaplığını kullanarak belirteç alma.

REST

Veri düzlemi işlemlerinin anahtarlarını veya belirtecini almak için uç noktaya bağlı olarak doğru API'yi auth_mode seçin. API, anahtarları ve belirteci içeren JSON çıkışını döndürür.

İpucu

yardımcı jq programı, JSON çıkışından belirli bilgileri ayıklamayı göstermek için kullanılır. Ancak, bu amaç için uygun herhangi bir aracı kullanabilirsiniz.

auth_mode olduğunda key uç noktasının

• API'yi listkeys kullanın.

• Anahtarlar primaryKey ve secondaryKey alanlarında döndürülür.

  response=$(curl -H "Content-Length: 0" --location --request POST \
       "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/listkeys?api-version=$API_VERSION" \
       --header "Authorization: Bearer $CONTROL_PLANE_TOKEN")
  
  export DATA_PLANE_TOKEN=$(echo $response | jq -r '.primaryKey')
  

auth_mode olduğunda aml_token uç noktasının

• API'yi token kullanın.

• Jeton, accessToken alanında döndürülür.

• Belirteç sona erme süresi expiryTimeUtc alanında döndürülür.

• Belirteç yenileme süresi, refreshAfterTimeUtc alanında döndürülür.

  response=$(curl -H "Content-Length: 0" --location --request POST \
       "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/token?api-version=$API_VERSION" \
       --header "Authorization: Bearer $CONTROL_PLANE_TOKEN")
  
  export DATA_PLANE_TOKEN=$(echo $response | jq -r '.accessToken')
  export EXPIRY_TIME_UTC=$(echo $response | jq -r '.expiryTimeUtc')
  export REFRESH_AFTER_TIME_UTC=$(echo $response | jq -r '.refreshAfterTimeUtc')
  

auth_mode olduğunda aad_token uç noktasının

• Belirteci istediğiniz yere bağlı olarak IMDS uç noktasını veya MSI uç noktasını kullanın.
• Jeton, accessToken alanında döndürülür.
• Belirteç sona erme süresi expiryTimeUtc alanında döndürülür.

Azure sanal makinesinden

Azure VM için yönetilen kimliklere dayalı olarak jetonu alabilirsiniz (VM bir yönetilen kimlik etkinleştirdiğinde).

• Yönetilen kimlikle Azure VM'sinde veri düzlemi işlemi için Microsoft Entra belirtecini (aad_token) almak için isteği Azure kaynak uç noktası için IMDS uç noktasına ml.azure.comgönderin:

  export DATA_PLANE_TOKEN=$(curl -s \
      'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' \
      -H Metadata:true | jq -r '.access_token')
  export EXPIRY_TIME_UTC=$(curl -s \
      'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' \
      -H Metadata:true | jq -r '.expiryTimeUtc')
  

  Yönetilen kimlikleri temel alan belirteçler hakkında daha fazla bilgi için bkz. HTTP kullanarak belirteç alma.

Hesaplama örneğinden

Azure Machine Learning çalışma alanının işlem örneğini kullanıyorsanız belirteci alabilirsiniz. Belirteci almak için, işlem örneğinin yönetilen kimliğine ait istemci kimliği ve gizli anahtarı, işlem örneğinde yerel olarak yapılandırılan MSI uç noktasına iletmeniz gerekir. MSI uç noktasını, istemci kimliğini ve gizli diziyi sırasıyla MSI_ENDPOINT, DEFAULT_IDENTITY_CLIENT_ID ve MSI_SECRET ortam değişkenlerinden alabilirsiniz. İşlem örneği için yönetilen kimliği etkinleştirirseniz bu değişkenler otomatik olarak ayarlanır.

• Çalışma alanının işlem örneğinden Azure kaynak uç noktası ml.azure.com için belirteci alın:

  export DATA_PLANE_TOKEN=$(curl -s \
      "${MSI_ENDPOINT}?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid=${DEFAULT_IDENTITY_CLIENT_ID}" \
      -H Metadata:true \
      -H "Secret:$MSI_SECRET" | jq -r '.access_token')
  export EXPIRY_TIME_UTC=$(curl -s \
      "${MSI_ENDPOINT}?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid=${DEFAULT_IDENTITY_CLIENT_ID}" \
      -H Metadata:true \
      -H "Secret:$MSI_SECRET" | jq -r '.expiryTimeUtc')
  

Önemli

'den alınan denetim düzlemi işlemleri için Microsoft Entra belirtecinden management.azure.comfarklı olarak, veri düzlemi işlemleri için Microsoft Entra belirteci Azure kaynak uç noktasından ml.azure.comalınır.

Stüdyo

Anahtarı, Azure Machine Learning belirtecini veya Microsoft Entra belirtecini bir dağıtımın sayfasının Kullanım sekmesinde bulabilirsiniz.

Veri düzlemi belirtecini doğrulama (isteğe bağlı)

Entra belirtecini aldıktan sonra, ml.azure.com belirtecin kodunu çözerek belirtecin doğru Azure kaynak uç noktası, ve doğru istemci kimliği için olduğunu doğrulayabilirsiniz; bu da aşağıdaki bilgileri içeren bir JSON yanıtı döndürür:

İpucu

jwt.ms sitesi, belirteçlerin kodunu tamamen tarayıcıda çözen Microsoft'a ait bir araçtır; sunucuya veri gönderilmez. Belirteçleri asla güvenilmeyen kod çözme araçlarına yapıştırmayın.

{
    "aud": "https://ml.azure.com",
    "oid": "<your-object-id>"
}

Verileri puanla

Azure CLI

az ml online-endpoint invoke anahtar, Azure Machine Learning belirteci veya Microsoft Entra belirteci ile uç noktalar için kullanabilirsiniz. CLI, anahtarı veya belirteci otomatik olarak sağlar, dolayısıyla sizin manuel olarak iletmenize gerek yoktur.

az ml online-endpoint invoke -n my-endpoint -r request.json

Referans: az ml online-endpoint invoke

Piton

Azure Machine Learning SDK'sı ml_client.online_endpoints.invoke() anahtarlar, Azure Machine Learning belirteçleri ve Microsoft Entra belirteçleri için desteklenir. Puanlama URI'sine POST isteği göndermek için genel bir Python SDK'sı da kullanabilirsiniz.

Puanlama için çevrimiçi uç noktayı çağırdığınızda, anahtarı veya belirteci yetkilendirme başlığına geçirin. Aşağıdaki kodda bir anahtar veya belirteç kullanarak çevrimiçi uç noktanın nasıl çağrıldığı gösterilmektedir. Kodda değişkeni anahtarınızla veya belirtecinizle değiştirin api_key .

import urllib.request
import json
import os

data = {"data": [
    [1,2,3,4,5,6,7,8,9,10], 
    [10,9,8,7,6,5,4,3,2,1]
]}

body = str.encode(json.dumps(data))

url = '<scoring URI as retrieved earlier>'
api_key = '<key or token as retrieved earlier>'
headers = {'Content-Type':'application/json', 'Authorization':('Bearer '+ api_key)}

req = urllib.request.Request(url, body, headers)

try:
    response = urllib.request.urlopen(req)

    result = response.read()
    print(result)
except urllib.error.HTTPError as error:
    print("The request failed with status code: " + str(error.code))

    # Print the headers - useful for debugging
    print(error.info())
    print(error.read().decode("utf8", 'ignore'))

Alternatif olarak SDK'nın invoke() yöntemini kullanın:

ml_client.online_endpoints.invoke(
    endpoint_name="my-endpoint",
    request_file="./sample-request.json"
)

Referans: OnlineEndpointOperations.invoke

REST

Puanlama için çevrimiçi uç noktayı çağırdığınızda, yetkilendirme üst bilgisinde anahtarı, Azure Machine Learning belirtecini veya Microsoft Entra belirtecini geçirin. Aşağıdaki örnek, çevrimiçi uç noktayı çağırmak için cURL yardımcı programını kullanır:

curl --request POST "$scoringUri" \
    --header "Authorization: Bearer $DATA_PLANE_TOKEN" \
    --header 'Content-Type: application/json' \
    --data @endpoints/online/model-1/sample-request.json

Stüdyo

Azure Machine Learning anahtarı veya jetonu

Dağıtımın ayrıntı sayfasının Test sekmesi anahtar, Azure Machine Learning belirteci veya Microsoft Entra belirteci kimlik doğrulaması ile uç noktalar için puanlamayı destekler.

Uç nokta trafiğini izleme

Uç noktanın tanılama ayarlarında trafik günlüğünü etkinleştirmek için Günlükleri açma başlığındaki adımları tamamlayın.

Tanılama ayarı etkinse, kimlik doğrulama modunu ve kullanıcı kimliğini görmek için AmlOnlineEndpointTrafficLogs tablosunu görüntüleyebilirsiniz.

Kimlik doğrulama sorunlarını giderme

Aşağıdaki tabloda yaygın kimlik doğrulama hataları ve bunların çözümleri listelemektedir.

Error	Olası neden	Çözünürlük
401 Yetkisiz	Eksik, süresi dolmuş veya yanlış hedef kitle belirteci	Belirteç hedef kitlesinin uç nokta türüyle eşleştiklerini doğrulayın: management.azure.com denetim düzlemi için, ml.azure.com veri düzlemi için. Süresi dolan belirteçleri yenileyin.
403 Yasak	Kullanıcı kimliğinde gerekli RBAC rolü yok	Özel bir rol veya AzureML Veri Bilimci izniyle uç nokta kapsamına score/action atayın. Bkz . Kimliğe izin atama.
aad_token kabul edilmedi	Kubernetes uç noktasında aad_token kullanımı	key veya aml_token öğesine geçin. Microsoft Entra belirteci kimlik doğrulaması yalnızca yönetilen çevrimiçi uç noktalar için desteklenir.
AADSTS700016 veya benzer Entra hatası	Belirteç isteğinde yanlış kaynak veya hedef kitle	Kaynak parametresinin işlem türüyle eşleştiğinden emin olun: https://management.azure.com denetim düzlemi için, https://ml.azure.com veri düzlemi için.

İlgili içerik

• Çevrimiçi uç noktalar için kimlik doğrulaması ve yetkilendirme
• Azure Machine Learning için kimlik doğrulamasını ayarlama
• Çevrimiçi uç nokta kullanarak makine öğrenmesi modelini dağıtma ve puanlandırma
• Modeli çevrimiçi uç nokta olarak dağıtmak için REST kullanma
• Azure Machine Learning çalışma alanına erişimi yönetme
• Ağ yalıtımı kullanarak yönetilen çevrimiçi uç noktaların güvenliğini sağlama