Ukládání a používání vlastních licenčních klíčů
Azure Data Manager pro zemědělství podporuje řadu konektorů příchozího přenosu dat pro centralizaci fragmentovaných účtů. Tato připojení vyžadují, aby zákazník naplnil své přihlašovací údaje v modelu BYOL (Bring Your Own License), aby mohl správce dat načíst data jménem zákazníka.
Poznámka:
Microsoft Azure Data Manager pro zemědělství je aktuálně ve verzi Preview. Právní podmínky, které se vztahují na funkce, které jsou v beta verzi, ve verzi Preview nebo které ještě nejsou vydány v obecné dostupnosti, najdete v dodatečných podmínkách použití pro verze Microsoft Azure Preview.
Microsoft Azure Data Manager pro zemědělství vyžaduje registraci a je k dispozici jenom schváleným zákazníkům a partnerům během období Preview. Pokud chcete požádat o přístup k Microsoft Data Manageru pro zemědělství během období Preview, použijte tento formulář.
Požadavky
Pokud chcete používat BYOL, potřebujete předplatné Azure. Pokud ještě nemáte předplatné, vytvořte si před zahájením bezplatný účet .
Přehled
V modelu BYOL zodpovídáte za poskytování vlastních licencí pro satelitní datové konektory a datové konektory o počasí. V tomto modelu uložíte část tajných kódů přihlašovacích údajů ve službě Azure Key Vault spravovanou zákazníkem. Identifikátor URI tajného klíče musí být sdílený s instancí Azure Data Manageru pro zemědělství. Instance Azure Data Manageru pro zemědělství by měla mít oprávnění ke čtení tajných kódů, aby rozhraní API bez problémů fungovala. Tento proces je jednorázovým nastavením pro každý konektor. Náš Správce dat pak odkazuje na tajný kód z trezoru klíčů zákazníků a čte ho jako součást volání rozhraní API bez vystavení tajného klíče.
Vývojový diagram znázorňující vytvoření a sdílení přihlašovacích údajů
Zákazník může volitelně přepsat přihlašovací údaje, které se mají použít pro požadavek roviny dat, zadáním přihlašovacích údajů v rámci požadavku rozhraní API roviny dat.
Posloupnost kroků pro nastavení konektorů
Krok 1: Vytvoření nebo použití existující služby Key Vault
Zákazníci můžou vytvořit trezor klíčů nebo použít existující trezor klíčů ke sdílení přihlašovacích údajů licence pro satelitní (Sentinel Hub) a počasí (IBM Weather). Zákazník vytvoří službu Azure Key Vault nebo znovu použije existující trezor klíčů.
Povolit následující vlastnosti:
Data Manager for Agriculture je důvěryhodná služba Microsoftu a kromě veřejně dostupných trezorů klíčů podporuje také trezory klíčů privátní sítě. Pokud umístíte trezor klíčů za virtuální síť, musíte vybrat “Allow trusted Microsoft services to bypass this firewall."
Krok 2: Uložení tajného klíče ve službě Azure Key Vault
Pro sdílení přihlašovacích údajů pro satelitní nebo meteorologické služby uložte v trezoru klíčů tajnou část přihlašovacích údajů, například ClientSecret a SatelliteSentinelHub APIKey pro WeatherIBM. Zákazníci mají kontrolu nad názvem tajného kódu a obměnou.
Informace o ukládání a načítání tajných kódů z trezoru najdete v těchto doprovodných materiálech .
Krok 3: Povolení systémové identity
Jako zákazník musíte pro instanci Data Manageru pro zemědělství povolit systémovou identitu. Tato identita se používá při udělení oprávnění ke čtení tajných kódů pro instanci Azure Data Manageru pro zemědělství.
Pokud chcete povolit některou z následujících metod, postupujte následovně:
Přes uživatelské rozhraní webu Azure Portal
Přes Azure CLI
az rest --method patch --url /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.AgFoodPlatform/farmBeats/{ADMA_instance_name}?api-version=2023-06-01-preview --body "{'identity': {'type': 'SystemAssigned'}}"
Krok 4: Zásady přístupu
Přidejte zásadu přístupu do trezoru klíčů pro instanci Data Manageru pro zemědělství.
Přejděte na kartu Zásady přístupu v trezoru klíčů.
Zvolte oprávnění SECRET GET a LIST.
Vyberte další kartu a pak vyberte název instance Data Manager for Agriculture a pak vyberte kartu zkontrolovat a vytvořit a vytvořit zásadu přístupu.
Krok 5: Volání rozhraní API řídicí roviny
Pomocí volání rozhraní API zadejte přihlašovací údaje konektoru. Identifikátor URI trezoru klíčů, název klíče nebo verze klíče najdete po vytvoření tajného kódu, jak je znázorněno na následujícím obrázku.
Poznámka:
Pro volání řídicí roviny potřebujete přístup vlastníka k rozsahu prostředků ADMA.
Při vyvolání výše uvedených rozhraní API byste pro konektory měli použít následující hodnoty:
| Scénář | DataConnectorName | Přihlašovací údaje |
|---|---|---|
| Konektor Satelitní SentinelHub | SatelitníSentinelHub | OAuthClientCredentials |
| Pro konektor IBM pro počasí | WeatherIBM | ApiKeyAuthCredentials |
Přepsání podrobností o konektoru
V rámci rozhraní API roviny dat se zákazník může rozhodnout přepsat podrobnosti o konektoru, které je potřeba pro danou žádost použít.
Zákazník může odkazovat na dokumentaci k verzi 2023-06-01-preview rozhraní API, kde rozhraní API roviny dat pro satelitní a počasí berou přihlašovací údaje jako součást textu požadavku.
Jak Azure Data Manager pro zemědělství přistupuje k tajnému kódu
Následující tok ukazuje, jak Azure Data Manager pro zemědělství přistupuje k tajnému kódu.
Pokud zakážete a znovu povolíte systémovou identitu, musíte odstranit zásadu přístupu v trezoru klíčů a znovu ji přidat.
Závěr
Licenční klíče můžete bezpečně používat tak, že tajné kódy uložíte do služby Azure Key Vault a povolíte identitu systému a poskytnete přístup pro čtení k našemu Data Manageru. Tato pověření používají také řešení nezávislých výrobců softwaru, která jsou k dispozici v našem Data Manageru.
V trezoru klíčů můžete použít naše rozhraní API roviny dat a referenční licenční klíče. V našich voláních rozhraní API roviny dat můžete také dynamicky přepsat výchozí přihlašovací údaje pro licence. Náš Správce dat provede základní ověření, včetně kontroly, jestli má přístup k tajnému kódu zadanému v objektu přihlašovacích údajů nebo ne.