Проверка подлинности клиентов для сетевых конечных точек

ОБЛАСТЬ ПРИМЕНЕНИЯ:Расширение машинного обучения Azure CLI версии 2 (current)Python SDK azure-ai-ml версии 2 (current)

В этой статье описывается, как аутентифицировать клиентов для выполнения операций контрольного плана и плана данных на сетевых конечных точках.

Операция плоскости управления управляет конечной точкой и изменяет ее. К операциям уровня управления относятся операции создания, чтения, обновления и удаления (CRUD) в сетевых конечных точках и развертываниях в сети.

Операция плоскости данных использует данные для взаимодействия с интернет-конечной точкой без изменения конечной точки. Например, операция плоскости данных может состоять из отправки запроса оценки в конечную точку в Сети и получения ответа.

Необходимые компоненты

Рабочая область Машинного обучения Azure. Инструкции по созданию рабочей области см. в разделе "Создание рабочей области".
Интерфейс командной строки Azure и расширение ml или Python SDK v2 для Azure Machine Learning:
- Azure CLI
- Пакет SDK для Python
Чтобы установить Azure CLI и расширение, см. статью ml".

Примеры в этой статье предполагают, что вы используете оболочку Bash или совместимую с ней. Например, можно использовать оболочку в системе Linux или подсистеме Windows для Linux.
- Python 3.10 или более поздней версии.
Чтобы установить пакет SDK для Python версии 2, используйте следующую команду:
```
pip install azure-ai-ml azure-identity
```
Чтобы обновить существующую установку пакета SDK до последней версии, выполните следующую команду:
```
pip install --upgrade azure-ai-ml azure-identity
```
Для получения дополнительной информации см. библиотеку клиента пакета Azure Machine Learning для Python.

Учетная запись пользователя в Microsoft Entra ID. Сведения о создании удостоверения пользователя см. в разделе "Настройка проверки подлинности". Позже вам потребуется идентификатор удостоверения.
Необходимая роль RBAC для операций уровня управления и данных: назначьте одну из следующих ролей для идентификации пользователя на уровне рабочей области:
- Специалист по обработке и анализу данных AzureML (встроенный) — включает разрешения для операций CRUD в конечных точках и оценке. См . роль "Специалист по обработке и анализу данных AzureML".
- Владелец или участник — полный доступ к управлению конечными точками.
- Пользовательская роль с Microsoft.MachineLearningServices/workspaces/onlineEndpoints/* действиями.
(Необязательно) Средство чтения секретов подключений рабочей области машинного обучения Azure — обязательно только в случае, если вам необходимо получить доступ к секретам из подключений рабочей области.

Проверка настройки

Запустите этот фрагмент кода, чтобы убедиться, что учетные данные и разрешения RBAC настроены правильно:

az login
az ml online-endpoint list --resource-group <RESOURCE_GROUP> --workspace-name <WORKSPACE_NAME>

Ожидаемые выходные данные: массив JSON конечных точек (пустой [] , если конечные точки еще не существуют).

Справочник: az ml online-endpoint list

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

# List existing endpoints to verify access
endpoints = ml_client.online_endpoints.list()
print("Existing endpoints:", [ep.name for ep in endpoints])

Ожидаемые выходные данные: список имен конечных точек (пустой список [] , если конечные точки еще не существуют).

Справочник: MLClient, DefaultAzureCredential

# First, get a token
export CONTROL_PLANE_TOKEN=$(az account get-access-token \
    --resource https://management.azure.com \
    --query accessToken -o tsv)

# List endpoints
curl -s -X GET \
    "https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.MachineLearningServices/workspaces/<WORKSPACE_NAME>/onlineEndpoints?api-version=2024-04-01" \
    -H "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
    -H "Content-Type: application/json"

Ожидаемые выходные данные: ответ JSON с массивом value , содержащим конечные точки.

Назначение разрешений удостоверению

Если у вас уже назначена требуемая роль RBAC (как указано в предварительных требованиях), перейдите к разделу "Создание конечной точки". В этом разделе содержатся сведения о создании пользовательских ролей при необходимости.

Просмотр встроенных сведений о роли

AzureML Data Scientist роль включает следующие действия RBAC уровня управления:

Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action
Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action

И это действие уровня данных RBAC:

Microsoft.MachineLearningServices/workspaces/onlineEndpoints/score/action

Встроенная Azure Machine Learning Workspace Connection Secrets Reader роль включает:

Microsoft.MachineLearningServices/workspaces/connections/listsecrets/action
Microsoft.MachineLearningServices/workspaces/metadata/secrets/read

(Необязательно) Создание настраиваемой роли

Этот шаг можно пропустить, если вы используете встроенные роли или другие предварительно созданные пользовательские роли.

Определите область и действия для пользовательских ролей, создав определения JSON ролей. Например, следующее определение роли ,custom-role-for-control-plane.json, позволяет пользователю выполнять операции CRUD в сетевой конечной точке в указанной рабочей области.

{
    "Name": "Custom role for control plane operations - online endpoint",
    "IsCustom": true,
    "Description": "Can CRUD against online endpoints.",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/write",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/delete",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/read",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/token/action",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/listKeys/action",
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/regenerateKeys/action"
    ],
    "NotActions": [
    ],
    "AssignableScopes": [
        "/subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>"
    ]
}

Следующее определение роли custom-role-for-scoring.jsonпозволяет пользователю отправлять запросы оценки в конечную точку в сети в указанной рабочей области.

{
    "Name": "Custom role for scoring - online endpoint",
    "IsCustom": true,
    "Description": "Can score against online endpoints.",
    "Actions": [
        "Microsoft.MachineLearningServices/workspaces/onlineEndpoints/*/action"
    ],
    "NotActions": [
    ],
    "AssignableScopes": [
        "/subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>"
    ]
}

Используйте определения JSON для создания пользовательских ролей:
```
az role definition create --role-definition custom-role-for-control-plane.json --subscription <subscriptionID>

az role definition create --role-definition custom-role-for-scoring.json --subscription <subscriptionID>
```
Примечание.

Чтобы создать пользовательские роли, вам потребуется одна из трех ролей:
- Владелец
- Администратор доступа пользователей
- Пользовательская роль с Microsoft.Authorization/roleDefinitions/write разрешением (для создания, обновления и удаления пользовательских ролей) и Microsoft.Authorization/roleDefinitions/read разрешением (для просмотра пользовательских ролей).
Дополнительные сведения о создании пользовательских ролей см. в статье о пользовательских ролях Azure.

Проверьте определение роли:

az role definition list --custom-role-only -o table

az role definition list -n "Custom role for control plane operations - online endpoint"
az role definition list -n "Custom role for scoring - online endpoint"

export role_definition_id1=`(az role definition list -n "Custom role for control plane operations - online endpoint" --query "[0].id" | tr -d '"')`

export role_definition_id2=`(az role definition list -n "Custom role for scoring - online endpoint" --query "[0].id" | tr -d '"')`

Назначение роли удостоверению

Если вы используете AzureML Data Scientist встроенную роль, используйте следующий код, чтобы назначить роль идентификатору пользователя.
```
az role assignment create --assignee <identityID> --role "AzureML Data Scientist" --scope /subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
```
При необходимости, если вы используете Azure Machine Learning Workspace Connection Secrets Reader встроенную роль, используйте следующий код, чтобы назначить роль удостоверению пользователя.
```
az role assignment create --assignee <identityID> --role "Azure Machine Learning Workspace Connection Secrets Reader" --scope /subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
```
Если вы используете пользовательскую роль, используйте следующий код, чтобы назначить роль идентификатору пользователя.
```
az role assignment create --assignee <identityID> --role "Custom role for control plane operations - online endpoint" --scope /subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

az role assignment create --assignee <identityID> --role "Custom role for scoring - online endpoint" --scope /subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>
```
Примечание.

Чтобы назначить пользовательские роли удостоверению пользователя, вам потребуется одна из трех ролей:
- Владелец
- Администратор доступа пользователей
- Пользовательская роль, которая предоставляет Microsoft.Authorization/roleAssignments/write разрешение (назначать пользовательские роли) и Microsoft.Authorization/roleAssignments/read (просматривать назначения ролей).
Дополнительные сведения о ролях Azure и их разрешениях см. в статье "Роли Azure" и "Назначение ролей Azure" с помощью портала Azure.

Подтвердите назначение роли:

az role assignment list --scope /subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.MachineLearningServices/workspaces/<workspaceName>

Получение маркера Microsoft Entra для операций плоскости управления

Выполните этот шаг, если планируется выполнять операции управления с помощью REST API, который напрямую использует токен.

Если вы планируете использовать другие методы, такие как Azure CLI с расширением ml версии 2, пакетом SDK для Python версии 2 или студией машинного обучения Azure, вам не нужно вручную получить маркер Microsoft Entra. Ваша учетная запись будет аутентифицирована при входе, и токен будет автоматически получен и передан для вас.

Токен Microsoft Entra для операций в плоскости управления можно получить из конечной точки ресурса Azure: https://management.azure.com.

войдите в Azure.
```
az login
```
Если вы хотите использовать определенное удостоверение, используйте следующий код для входа с помощью удостоверения:
```
az login --identity --username <identityID>
```

Используйте этот контекст для получения маркера:

export CONTROL_PLANE_TOKEN=$(az account get-access-token \
    --resource https://management.azure.com \
    --query accessToken -o tsv)

Референс: az login, az account get-access-token

from azure.identity import DefaultAzureCredential, InteractiveBrowserCredential

try:
    credential = DefaultAzureCredential()
    # Check whether given credential can get token.
    access_token = credential.get_token("https://management.azure.com/.default")
    print(access_token)
except Exception as ex:
    # Fall back to InteractiveBrowserCredential in case DefaultAzureCredential doesn't work.
    # This will open a browser page. 
    credential = InteractiveBrowserCredential()

Справочник: DefaultAzureCredential, InteractiveBrowserCredential

Дополнительные сведения см. в статье "Получение токена" с использованием клиентской библиотеки Azure для удостоверений.

Из виртуальной машины Azure

Маркер можно получить на основе управляемого удостоверения для виртуальной машины Azure (если виртуальная машина включает управляемое удостоверение).

Чтобы получить маркер Microsoft Entra (aad_token) для операции плоскости управления на виртуальной машине Azure, отправьте запрос в конечную точку службы метаданных экземпляра Azure (IMDS) для конечной точки management.azure.comресурса Azure:
```
export CONTROL_PLANE_TOKEN=$(curl -s \
    'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' \
    -H Metadata:true | jq -r '.access_token')
```
Совет

Программа jq используется для извлечения маркера из выходных данных JSON. Однако для этой цели можно использовать любое подходящее средство.

Дополнительные сведения о получении маркеров на основе управляемых удостоверений см. в статье "Получение маркера с помощью ПРОТОКОЛА HTTP".

Из вычислительного экземпляра

Маркер можно получить, если вы используете вычислительный экземпляр рабочей области Машинное обучение Azure. Чтобы получить токен, необходимо передать идентификатор клиента и секретный ключ управляемого удостоверения вычислительного экземпляра в конечную точку системы управляемых удостоверений (MSI), настроенную локально на вычислительном экземпляре. Конечную точку MSI, идентификатор клиента и секрет можно получить из переменных MSI_ENDPOINTDEFAULT_IDENTITY_CLIENT_IDсреды и MSI_SECRETсоответственно. Эти переменные задаются автоматически, если включить управляемое удостоверение для вычислительного экземпляра.

Получите маркер для конечной точки management.azure.com ресурса Azure из вычислительного экземпляра рабочей области:

export CONTROL_PLANE_TOKEN=$(curl -s \
    "${MSI_ENDPOINT}?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F&clientid=${DEFAULT_IDENTITY_CLIENT_ID}" \
    -H Metadata:true \
    -H "Secret:$MSI_SECRET" | jq -r '.access_token')

(Необязательно) Проверьте конечную точку ресурса и идентификатор клиента для токена Microsoft Entra

После получения маркера Microsoft Entra можно убедиться, что маркер предназначен для правильной конечной точки ресурса Azure (management.azure.com) и правильного идентификатора клиента, декодируя маркер с помощью jwt.ms, который возвращает ответ JSON со следующими сведениями:

{
    "aud": "https://management.azure.com",
    "oid": "<your-object-id>"
}

Создание конечной точки

В следующем примере создается конечная точка с системно назначаемым удостоверением в качестве идентификатора конечной точки. Удостоверение, назначенное системой, является типом удостоверения по умолчанию для управляемого удостоверения конечных точек. Некоторые базовые роли автоматически назначаются для системно назначенной идентичности. Дополнительные сведения о назначении ролей для удостоверения, назначаемого системой, см. в разделе "Автоматическое назначение ролей" для удостоверения конечной точки.

Интерфейс командной строки не требует явного предоставления маркера плоскости управления. Вместо этого команда CLI az login выполняет проверку подлинности во время входа, а маркер автоматически извлекается и передается для вас.

Создайте файл YAML определения конечной точки с именем endpoint.yml:
```
$schema: https://azuremlschemas.azureedge.net/latest/managedOnlineEndpoint.schema.json
name: my-endpoint
auth_mode: aad_token
```
Вы можете установить auth_mode для проверки подлинности ключа или key для проверки подлинности токена в Azure Machine Learning. В этом примере используется aad_token аутентификация токена Microsoft Entra.

Создание конечной точки:

az ml online-endpoint create -f endpoint.yml

Проверьте состояние конечной точки:
```
az ml online-endpoint show -n my-endpoint
```
Если вы хотите переопределить auth_mode (например, на aad_token) при создании конечной точки, выполните следующий код:
```
az ml online-endpoint create -n my-endpoint --auth-mode aad_token
```
Если вы хотите обновить существующую конечную точку и указать auth_mode (например, как aad_token), выполните следующий код:
```
az ml online-endpoint update -n my-endpoint --set auth_mode=aad_token
```

Справочник: az ml online-endpoint create, az ml online-endpoint show, az ml online-endpoint update

Пакет SDK для Python не требует явного предоставления маркера уровня управления. Скорее, пакет SDK MLClient проходит проверку подлинности во время входа, и маркер автоматически извлекается и передается для вас.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    ManagedOnlineEndpoint,
    ManagedOnlineDeployment,
    Model,
    Environment,
    CodeConfiguration,
)
from azure.identity import DefaultAzureCredential

subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
workspace = "<WORKSPACE_NAME>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

endpoint = ManagedOnlineEndpoint(
    name="my-endpoint",
    description="this is a sample online endpoint",
    auth_mode="aad_token",
    tags={"foo": "bar"},
)
ml_client.online_endpoints.begin_create_or_update(endpoint).result()

Вы можете заменить auth_mode на key для проверки подлинности ключа или на aml_token для проверки подлинности токенов Azure Machine Learning. В этом примере используется aad_token аутентификация токена Microsoft Entra.

Референс: MLClient, ManagedOnlineEndpoint, begin_create_or_update

Вызов REST API требует явного предоставления маркера плоскости управления. Используйте полученный ранее маркер плоскости управления.

Создайте или обновите конечную точку:

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export LOCATION=<LOCATION_NAME>
export API_VERSION=2024-04-01

response=$(curl --location --request PUT \
    "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer $CONTROL_PLANE_TOKEN" \
    --data-raw '{
        "identity": {
           "type": "systemAssigned"
        },
        "properties": {
            "authMode": "AADToken"
        },
        "location": "'"$LOCATION"'"
    }')

echo $response

Вы можете заменить authMode на key для проверки подлинности ключа или на AMLToken для проверки подлинности токенов Azure Machine Learning. В этом примере используется AADToken для аутентификации токена Microsoft Entra.

Получение текущего состояния веб-конечной точки:

response=$(curl --location --request GET \
    "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

echo $response

Справочник. Сетевые конечные точки— создание или обновление, сетевые конечные точки — получение

Создание развертывания

Сведения о создании развертывания см. в статье "Развертывание модели машинного обучения с помощью веб-конечной точки " или "Использование REST" для развертывания модели в качестве сетевой конечной точки. Нет разницы в том, как создавать развертывания для различных режимов проверки подлинности.

Следующий код является примером создания развертывания. Дополнительные сведения о развертывании сетевых конечных точек см. в статье "Развертывание модели машинного обучения с помощью сетевой конечной точки(через CLI)".

Создайте файл YAML определения развертывания с именем blue-deployment.yml:

$schema: https://azuremlschemas.azureedge.net/latest/managedOnlineDeployment.schema.json
name: blue
endpoint_name: my-aad-auth-endp1
model:
  path: ../../model-1/model/
code_configuration:
  code: ../../model-1/onlinescoring/
  scoring_script: score.py
environment: 
  conda_file: ../../model-1/environment/conda.yml
  image: mcr.microsoft.com/azureml/openmpi4.1.0-ubuntu22.04:latest
instance_type: Standard_DS3_v2
instance_count: 1

Создайте развертывание с помощью YAML-файла. В этом примере задайте для нового развертывания весь трафик.
```
az ml online-deployment create -f blue-deployment.yml --all-traffic
```

Справочник: az ml online-deployment create

Получение URI оценки для конечной точки

Если вы используете az ml online-endpoint invoke для вызова конечной точки, интерфейс командной строки автоматически разрешает URI обработки, поэтому его не нужно извлекать вручную.

Однако если вам нужен универсальный код ресурса (URI) оценки для использования с другими инструментами (например, REST API или пользовательскими HTTP-клиентами), его можно получить с помощью следующей команды:

scoringUri=$(az ml online-endpoint show -n my-endpoint --query "scoring_uri")

Справочник: az ml online-endpoint show

Если вы планируете использовать пакет SDK Python для вызова конечной точки, вам не нужно явно получать URI оценки, так как пакет SDK предоставляет его для вас. Однако пакет SDK по-прежнему можно использовать для получения URI оценки, чтобы использовать его с другими каналами, такими как REST API.

scoring_uri = ml_client.online_endpoints.get(name=endpoint_name).scoring_uri

Справочник: OnlineEndpointOperations.get

export SUBSCRIPTION_ID=<SUBSCRIPTION_ID>
export RESOURCE_GROUP=<RESOURCE_GROUP>
export WORKSPACE=<WORKSPACE_NAME>
export ENDPOINT_NAME=<ENDPOINT_NAME>
export API_VERSION=2024-04-01

response=$(curl --location --request GET \
    "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME?api-version=$API_VERSION" \
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

scoringUri=$(echo $response | jq -r '.properties.scoringUri')

echo $response
echo $scoringUri

Получение ключа или маркера для операций плоскости данных

Ключ или маркер можно использовать для операций плоскости данных, даже если процесс получения ключа или маркера является операцией плоскости управления. Другими словами, маркер плоскости управления используется для получения ключа или маркера, который позже используется для выполнения операций плоскости данных.

Чтобы получить ключ или токен Azure Machine Learning, идентификатор пользователя, запрашивающего его, должен иметь назначенную правильную роль, как описано в разделе "Авторизация для операций плоскости управления". Пользователю не нужны дополнительные роли для получения токена Microsoft Entra.

Если вы планируете использовать интерфейс командной строки для вызова конечной точки, вам не нужно явно получать ключи или маркер для операций плоскости данных, так как интерфейс командной строки предоставляет его для вас. Однако вы по-прежнему можете использовать командную строку для получения ключей или токена для операций плоскости данных, чтобы использовать его с другими каналами, такими как REST API.

Чтобы получить ключи или маркер для операций плоскости данных, используйте команду az ml online-endpoint get-credentials . Эта команда возвращает выходные данные JSON, содержащие ключи, маркер и/или дополнительные сведения.

Совет

В следующей команде --query параметр используется для извлечения определенных сведений из выходных данных JSON. Однако для этой цели можно использовать любое подходящее средство.

Когда конечная auth_mode точка находится key

Ключи возвращаются в primaryKey полях и secondaryKey полях.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query primaryKey)
export DATA_PLANE_TOKEN2=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query secondaryKey)

Когда конечная auth_mode точка находится aml_token

Маркер возвращается в поле accessToken.
Время истечения срока действия маркера возвращается в поле expiryTimeUtc.

Время обновления токена возвращается в поле refreshAfterTimeUtc.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)
export REFRESH_AFTER_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query refreshAfterTimeUtc)

Когда конечная auth_mode точка находится aad_token

Маркер возвращается в поле accessToken.

Время истечения срока действия маркера возвращается в поле expiryTimeUtc.

export DATA_PLANE_TOKEN=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query accessToken)
export EXPIRY_TIME_UTC=$(az ml online-endpoint get-credentials -n $ENDPOINT_NAME -g $RESOURCE_GROUP -w $WORKSPACE_NAME -o tsv --query expiryTimeUtc)

Референция: az ml online-endpoint get-credentials

Если вы используете метод пакета SDK для вызова конечной точки, пакет SDK invoke() автоматически обрабатывает проверку подлинности, поэтому вам не нужно извлекать ключи или маркеры вручную.

Однако если необходимо получить ключи или маркеры для использования с другими инструментами (например, REST API или пользовательскими HTTP-клиентами), можно использовать метод get_keys в OnlineEndpointOperations классе. Этот метод возвращает объект, включающий ключи и маркер.

Когда конечная auth_mode точка находится key

Ключи возвращаются в primary_key полях и secondary_key полях.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).primary_key
DATA_PLANE_TOKEN2 = ml_client.online_endpoints.get_keys(name=endpoint_name).secondary_key

Когда конечная auth_mode точка находится aml_token

Маркер возвращается в поле access_token.
Время истечения срока действия маркера возвращается в поле expiry_time_utc.

Время обновления токена возвращается в поле refresh_after_time_utc.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc
REFRESH_AFTER_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).refresh_after_time_utc

Когда конечная auth_mode точка находится aad_token

Маркер возвращается в поле access_token.

Время истечения срока действия маркера возвращается в поле expiry_time_utc.

DATA_PLANE_TOKEN = ml_client.online_endpoints.get_keys(name=endpoint_name).access_token
EXPIRY_TIME_UTC = ml_client.online_endpoints.get_keys(name=endpoint_name).expiry_time_utc

Справочник: OnlineEndpointOperations.get_keys

Дополнительные сведения см. в разделе Получите маркер с помощью клиентской библиотеки удостоверений Azure.

Чтобы получить ключи или маркер для операций плоскости данных, выберите правильный API в зависимости от auth_mode конечной точки. API возвращает выходные данные JSON, включающие ключи и маркер.

Совет

Служебная jq программа используется для демонстрации извлечения определенных сведений из выходных данных JSON. Однако для этой цели можно использовать любое подходящее средство.

Когда конечная auth_mode точка находится key

listkeys Используйте API.

Ключи возвращаются в primaryKey полях и secondaryKey полях.

response=$(curl -H "Content-Length: 0" --location --request POST \
     "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/listkeys?api-version=$API_VERSION" \
     --header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.primaryKey')

Когда конечная auth_mode точка находится aml_token

token Используйте API.
Маркер возвращается в поле accessToken.
Время истечения срока действия маркера возвращается в поле expiryTimeUtc.

Время обновления токена возвращается в поле refreshAfterTimeUtc.

response=$(curl -H "Content-Length: 0" --location --request POST \
     "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.MachineLearningServices/workspaces/$WORKSPACE/onlineEndpoints/$ENDPOINT_NAME/token?api-version=$API_VERSION" \
     --header "Authorization: Bearer $CONTROL_PLANE_TOKEN")

export DATA_PLANE_TOKEN=$(echo $response | jq -r '.accessToken')
export EXPIRY_TIME_UTC=$(echo $response | jq -r '.expiryTimeUtc')
export REFRESH_AFTER_TIME_UTC=$(echo $response | jq -r '.refreshAfterTimeUtc')

Когда конечная auth_mode точка находится aad_token

Используйте конечную точку IMDS или конечную точку MSI в зависимости от того, где запрашивается маркер.
Маркер возвращается в поле accessToken.
Время истечения срока действия маркера возвращается в поле expiryTimeUtc.

Из виртуальной машины Azure

Токен можно получить, используя управляемые удостоверения для виртуальной машины Azure (когда VM включает управляемое удостоверение).

Чтобы получить токен Microsoft Entra (aad_token) для операции с плоскостью данных на виртуальной машине Azure с управляемой идентичностью, отправьте запрос на конечную точку IMDS для конечной точки ресурса Azure ml.azure.com.
```
export DATA_PLANE_TOKEN=$(curl -s \
    'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' \
    -H Metadata:true | jq -r '.access_token')
export EXPIRY_TIME_UTC=$(curl -s \
    'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F' \
    -H Metadata:true | jq -r '.expiryTimeUtc')
```
Дополнительные сведения о получении маркеров на основе управляемых удостоверений см. в статье "Получение маркера с помощью ПРОТОКОЛА HTTP".

Из вычислительного экземпляра

Маркер можно получить, если вы используете вычислительный экземпляр рабочей области Машинное обучение Azure. Чтобы получить токен, необходимо передать идентификатор клиента и секрет управляемого удостоверения вычислительного экземпляра в локально настроенную конечную точку интерфейса управления службами (MSI) в вычислительном экземпляре. Конечную точку MSI, идентификатор клиента и секрет можно получить из переменных MSI_ENDPOINTDEFAULT_IDENTITY_CLIENT_IDсреды и MSI_SECRETсоответственно. Эти переменные задаются автоматически, если включить управляемое удостоверение для вычислительного экземпляра.

Получите маркер для конечной точки ml.azure.com ресурса Azure из вычислительного экземпляра рабочей области:

export DATA_PLANE_TOKEN=$(curl -s \
    "${MSI_ENDPOINT}?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid=${DEFAULT_IDENTITY_CLIENT_ID}" \
    -H Metadata:true \
    -H "Secret:$MSI_SECRET" | jq -r '.access_token')
export EXPIRY_TIME_UTC=$(curl -s \
    "${MSI_ENDPOINT}?api-version=2018-02-01&resource=https%3A%2F%2Fml.azure.com%2F&clientid=${DEFAULT_IDENTITY_CLIENT_ID}" \
    -H Metadata:true \
    -H "Secret:$MSI_SECRET" | jq -r '.expiryTimeUtc')

Внимание

В отличие от маркера Microsoft Entra для операций уровня управления, полученный из management.azure.com, маркер Microsoft Entra для операций плоскости данных извлекается из конечной точки ml.azure.comресурса Azure.

Проверка конечной точки ресурса и идентификатора клиента для маркера Microsoft Entra

После получения маркера Entra можно убедиться, что маркер предназначен для правильной конечной точки ресурса Azure, ml.azure.comа также правильный идентификатор клиента, декодируя маркер с помощью jwt.ms, который возвращает ответ JSON со следующими сведениями:

{
    "aud": "https://ml.azure.com",
    "oid": "<your-object-id>"
}

Оценка данных с помощью ключа или маркера

Для конечных точек можно использовать az ml online-endpoint invoke ключ, маркер Машинное обучение Azure или токен Microsoft Entra. Интерфейс командной строки автоматически предоставляет ключ или маркер, поэтому не нужно явно передавать его.

az ml online-endpoint invoke -n my-endpoint -r request.json

Справочник: az ml online-endpoint invoke

Пакет SDK ml_client.online_endpoints.invoke() машинного обучения Azure поддерживается для ключей, маркеров машинного обучения Azure и токенов Microsoft Entra. Вы также можете использовать универсальный пакет SDK Python для отправки запроса POST в URI для оценки.

При вызове сетевой конечной точки для оценки передайте ключ или маркер в заголовке авторизации. В следующем коде показано, как вызвать конечную точку в Сети с помощью ключа или маркера с универсальным пакетом SDK для Python. В коде замените api_key переменную ключом или маркером.

import urllib.request
import json
import os

data = {"data": [
    [1,2,3,4,5,6,7,8,9,10], 
    [10,9,8,7,6,5,4,3,2,1]
]}

body = str.encode(json.dumps(data))

url = '<scoring URI as retrieved earlier>'
api_key = '<key or token as retrieved earlier>'
headers = {'Content-Type':'application/json', 'Authorization':('Bearer '+ api_key)}

req = urllib.request.Request(url, body, headers)

try:
    response = urllib.request.urlopen(req)

    result = response.read()
    print(result)
except urllib.error.HTTPError as error:
    print("The request failed with status code: " + str(error.code))

    # Print the headers - useful for debugging
    print(error.info())
    print(error.read().decode("utf8", 'ignore'))

Кроме того, используйте метод SDK invoke() :

ml_client.online_endpoints.invoke(
    endpoint_name="my-endpoint",
    request_file="./sample-request.json"
)

Справочник: OnlineEndpointOperations.invoke

При вызове сетевой конечной точки для оценки передайте ключ, Машинное обучение Azure маркер или токен Microsoft Entra в заголовке авторизации. В следующем коде показано, как использовать служебную программу cURL для вызова сетевой конечной точки с помощью ключа или маркера:

curl --request POST "$scoringUri" \
    --header "Authorization: Bearer $DATA_PLANE_TOKEN" \
    --header 'Content-Type: application/json' \
    --data @endpoints/online/model-1/sample-request.json

Журнал и мониторинг трафика

Чтобы включить ведение журнала трафика в параметрах диагностики конечной точки, выполните действия, описанные в разделе "Включение журналов".

Если параметр диагностики включен, вы можете просмотреть таблицу AmlOnlineEndpointTrafficLogs, чтобы увидеть режим проверки подлинности и удостоверение пользователя.

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-01-05

Поделиться через

Маркер ключа или Машинное обучение Azure

Поделиться через

Проверка подлинности клиентов для сетевых конечных точек

Необходимые компоненты

Проверка настройки

Назначение разрешений удостоверению

(Необязательно) Создание настраиваемой роли

Назначение роли удостоверению

Получение маркера Microsoft Entra для операций плоскости управления

(Необязательно) Проверьте конечную точку ресурса и идентификатор клиента для токена Microsoft Entra

Создание конечной точки

Создание развертывания

Получение URI оценки для конечной точки

Получение ключа или маркера для операций плоскости данных

Проверка конечной точки ресурса и идентификатора клиента для маркера Microsoft Entra

Оценка данных с помощью ключа или маркера

Журнал и мониторинг трафика

Связанный контент

Обратная связь

Дополнительные ресурсы