Almacenar y usar sus propias claves de licencia
Azure Data Manager for Agriculture admite una gran variedad de conectores de entrada de datos para centralizar las cuentas fragmentadas. Estas conexiones requieren que el cliente rellene sus credenciales en un modelo traiga su propia licencia (BYOL), para que el administrador de datos pueda recuperar datos en nombre del cliente.
Nota:
Microsoft Azure Data Manager for Agriculture se encuentra actualmente en versión preliminar. Para conocer los términos legales que se aplican a las características que se encuentran en versión beta, versión preliminar o que todavía no están disponibles con carácter general, consulte: Términos de uso complementarios para las versiones preliminares de Microsoft Azure.
Microsoft Azure Data Manager for Agriculture requiere registro previo y actualmente solo está disponible para los clientes y asociados aprobados durante el período de versión preliminar. Para solicitar el acceso a Microsoft Data Manager for Agriculture durante el período de versión preliminar, use este formulario.
Requisitos previos
Para usar BYOL, necesita una suscripción de Azure. Si todavía no tiene una suscripción, cree una cuenta gratuita antes de empezar.
Información general
En el modelo BYOL, usted es el responsable de proporcionar sus propias licencias para los conectores de datos satélite y meteorológicos. En este modelo, almacenará la parte secreta de las credenciales en un almacén de claves administrado por el cliente de Azure. El URI del secreto debe compartirse con la instancia de Azure Data Manager for Agriculture. La instancia de Azure Data Manager for Agriculture debe tener permisos de lectura de secretos para que las API puedan funcionar sin problemas. Este proceso es una configuración única para cada conector. A continuación, nuestro Data Manager consulta y lee el secreto del almacén de claves de los clientes como parte de la llamada API sin exponerlo.
Diagrama de flujo que muestra la creación y el uso compartido de credenciales.
Opcionalmente, el cliente puede invalidar las credenciales que se van a usar para una solicitud del plano de datos proporcionando credenciales como parte de la solicitud de API del plano de datos.
Secuencia de pasos para configurar conectores
Paso 1: Creación o uso del Key Vault existente
Los clientes pueden crear un almacén de claves o usar uno que ya exista para compartir credenciales de licencia para servicios de satélite (Sentinel Hub) y meteorológicos (IBM Weather). El cliente crea Azure Key Vault o reutiliza un almacén de claves existente.
Habilite las siguientes propiedades:
Data Manager for Agriculture es un servicio de confianza de Microsoft y admite almacenes de claves de red privada además de almacenes de claves disponibles públicamente. Si pone su almacén de claves detrás de una red VNET, a continuación debe seleccionar la opción “Allow trusted Microsoft services to bypass this firewall."
Paso 2: Almacenamiento de secretos en Azure Key Vault
Para compartir las credenciales del servicio satélite o meteorológico, almacene la parte secreta de las credenciales en el almacén de claves, por ejemplo, ClientSecret
para SatelliteSentinelHub
y APIKey
para WeatherIBM
. Los clientes controlan el nombre y la rotación del secreto.
Consulte esta guía para almacenar y recuperar el secreto del almacén.
Paso 3: Habilitación de la identidad del sistema
Como cliente, debe habilitar la identidad del sistema para la instancia de Data Manager for Agriculture. Esta identidad se usa mientras se conceden permisos de lectura de secretos para la instancia de Azure Data Manager for Agriculture.
Para habilitarlo, utilice uno de los métodos siguientes:
A través de la interfaz de usuario de Azure Portal
Con Azure CLI
az rest --method patch --url /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.AgFoodPlatform/farmBeats/{ADMA_instance_name}?api-version=2023-06-01-preview --body "{'identity': {'type': 'SystemAssigned'}}"
Paso 4: Directiva de acceso
Agregue una directiva de acceso en el almacén de claves para la instancia de Data Manager for Agriculture.
Vaya a la pestaña Directivas de acceso en el almacén de claves.
Elija los permisos de secreto GET y LIST.
Seleccione la pestaña siguiente, seleccione el nombre de la instancia de Data Manager for Agriculture y, a continuación, la pestaña revisar y crear para crear la directiva de acceso.
Paso 5: Invocar la llamada API del plano de control
Use la llamada API para especificar las credenciales del conector. El URI del almacén de claves, el nombre de clave o la versión de clave se pueden encontrar después de crear el secreto, como se muestra en la ilustración siguiente.
Nota:
Para realizar llamadas al plano de control, necesita acceso de propietario en el ámbito de recursos de ADMA.
Los siguientes valores deben usarse para los conectores al invocar las API anteriores:
Escenario | DataConnectorName | Credenciales |
---|---|---|
Para el conector Satellite SentinelHub | SatelliteSentinelHub | OAuthClientCredentials |
Para el conector de Weather IBM | WeatherIBM | ApiKeyAuthCredentials |
Invalidación de los detalles del conector
Como parte de las API del plano de datos, el cliente puede optar por invalidar los detalles del conector que deben usarse para esa solicitud.
El cliente puede consultar la documentación de la versión 2023-06-01-preview
de la API en la que las API del plano de datos para los servicios de satélite y meteorológicos toman las credenciales como parte del cuerpo de la solicitud.
Cómo Azure Data Manager for Agriculture accede al secreto
En el flujo siguiente se muestra cómo Azure Data Manager for Agriculture accede al secreto.
Si deshabilita y vuelve a habilitar la identidad del sistema, tendrá que eliminar la directiva de acceso en el almacén de claves y agregarla de nuevo.
Conclusión
Puede usar las claves de licencia de forma segura almacenando los secretos en Azure Key Vault, lo que permite la identidad del sistema y proporciona acceso de lectura a nuestro Data Manager. Las soluciones de ISV disponibles con nuestro Data Manager también usan estas credenciales.
Puede usar nuestras API del plano de datos y hacer referencia a las claves de licencia en el almacén de claves. También puede reemplazar las credenciales de licencia predeterminadas de manera dinámica en nuestras llamadas API del plano de datos. Nuestro Data Manager realiza validaciones básicas, por ejemplo, comprueba si se puede acceder al secreto especificado en el objeto de credenciales o no.
Pasos siguientes
- Pruebe nuestras API aquí.