다음을 통해 공유

자체 라이선스 키 저장 및 사용

  • 아티클

Azure Data Manager for Agriculture는 조각화된 계정을 중앙 집중화하기 위해 다양한 데이터 수신 커넥터를 지원합니다. 이러한 연결을 위해서는 고객이 BYOL(Bring Your Own License) 모델에서 자격 증명을 입력해야 Data Manager가 고객을 대신하여 데이터를 검색할 수 있습니다.

참고 항목

Microsoft Azure Data Manager for Agriculture는 현재 미리 보기로 제공됩니다. 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 기능에 적용되는 약관은 Microsoft Azure 미리 보기에 대한 보충 사용 약관을 참조하세요.

Microsoft Azure Data Manager for Agriculture는 등록이 필요하며 미리 보기 기간 동안 승인된 고객 및 파트너만 사용할 수 있습니다. 미리 보기 기간 동안 Microsoft Data Manager for Agriculture에 대한 액세스를 요청하려면 이 양식을 사용합니다.

필수 조건

BYOL을 사용하려면 Azure 구독이 필요합니다. 구독이 아직 없는 경우 시작하기 전에 체험 계정을 만듭니다.

개요

BYOL 모델에서는 위성 및 기상 데이터 커넥터에 대한 자체 라이선스를 제공할 책임이 있습니다. 이 모델에서는 고객 관리 Azure Key Vault에 자격 증명의 비밀 부분을 저장합니다. 비밀의 URI는 Azure Data Manager for Agriculture 인스턴스와 공유되어야 합니다. API가 원활하게 작동할 수 있도록 Azure Data Manager for Agriculture 인스턴스에는 비밀 읽기 권한이 부여되어야 합니다. 이 프로세스는 각 커넥터에 대한 일회용 설정입니다. 그런 다음 Data Manager는 비밀을 노출하지 않고 API 호출의 일부로 고객의 키 자격 증명 모음에서 비밀을 참조하고 읽습니다.

자격 증명 만들기 및 공유를 보여 주는 흐름 다이어그램 자격 증명 공유 흐름을 보여 주는 스크린샷

고객은 데이터 평면 API 요청의 일부로 자격 증명을 제공하여 데이터 평면 요청에 사용할 자격 증명을 선택적으로 재정의할 수 있습니다.

커넥터 설정 단계 시퀀스

1단계: 기존 Key Vault 만들기 또는 사용

고객은 키 자격 증명 모음을 만들거나 기존 키 자격 증명 모음을 사용하여 위성(Sentinel Hub) 및 날씨(IBM Weather)에 대한 라이선스 자격 증명을 공유할 수 있습니다. 고객이 Azure Key Vault를 만들거나 기존 Key Vault를 재사용합니다.

다음 속성을 사용하도록 설정합니다.

키 자격 증명 모음 속성을 보여 주는 스크린샷

Data Manager for Agriculture는 Microsoft가 신뢰할 수 있는 서비스이며 공개적으로 사용 가능한 키 보관소 외에도 개인 네트워크 키 보관소를 지원합니다. VNet 뒤에 키 자격 증명 모음을 배치하는 경우 “Allow trusted Microsoft services to bypass this firewall."을 선택해야 합니다.

키 자격 증명 모음 액세스를 보여 주는 스크린샷.

2단계: Azure Key Vault에 비밀 저장

위성 또는 기상 서비스 자격 증명을 공유하려면 자격 증명의 비밀 부분을 키 자격 증명 모음에 저장합니다(예: SatelliteSentinelHub의 경우 ClientSecret, WeatherIBM의 경우 APIKey). 고객은 비밀 이름과 회전을 제어할 수 있습니다.

자격 증명 모음에서 비밀을 저장하고 검색하려면 이 지침을 참조하세요.

키 값의 스토리지를 보여 주는 스크린샷.

3단계: 시스템 ID 사용

고객은 Data Manager for Agriculture 인스턴스에 대한 시스템 ID를 사용하도록 설정해야 합니다. 이 ID는 Azure Data Manager for Agriculture 인스턴스에 대한 비밀 읽기 권한이 부여된 동안 사용됩니다.

사용하도록 설정하려면 다음 방법 중 하나를 따릅니다.

  1. Azure Portal UI를 통해

    키를 사용하도록 설정하는 UI 사용을 보여 주는 스크린샷

  2. Azure CLI를 통해

    az rest --method patch --url /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.AgFoodPlatform/farmBeats/{ADMA_instance_name}?api-version=2023-06-01-preview --body "{'identity': {'type': 'SystemAssigned'}}"

4단계: 액세스 정책

Data Manager for Agriculture 인스턴스에 대한 키 자격 증명 모음에 액세스 정책을 추가합니다.

  1. 키 자격 증명 모음의 액세스 정책 탭으로 이동합니다.

    액세스 정책 선택을 보여 주는 스크린샷

  2. 비밀 GET 및 LIST 권한을 선택합니다.

    사용 권한 선택을 보여 주는 스크린샷

  3. 다음 탭을 선택한 다음, Data Manager for Agriculture 인스턴스 이름을 선택한 다음 검토 + 만들기 탭을 선택하여 액세스 정책을 만듭니다.

    선택 만들기 및 검토 탭을 보여 주는 스크린샷

5단계: 컨트롤 플레인 API 호출 호출하기

커넥터 자격 증명을 지정하려면 API 호출을 사용합니다. 키 자격 증명 모음 URI/키 이름/키 버전은 다음 그림과 같이 비밀을 만든 후 찾을 수 있습니다.

참고 항목

컨트롤 플레인 호출을 하려면 ADMA 리소스 범위에 대한 소유자 액세스 권한이 필요합니다.

키 이름 및 키 버전을 사용할 수 있는 위치를 보여 주는 스크린샷

위의 API를 호출하는 동안 커넥터에 다음 값을 사용해야 합니다.

시나리오 DataConnectorName 자격 증명
위성 SentinelHub 커넥터의 경우 SatelliteSentinelHub OAuthClientCredentials
Weather IBM 커넥터의 경우 WeatherIBM ApiKeyAuthCredentials

커넥터 세부 정보 재정의

데이터 평면 API의 일부로 고객은 해당 요청에 사용해야 하는 커넥터 세부 정보를 재정의하도록 선택할 수 있습니다.

고객은 위성 및 날씨용 데이터 평면 API가 요청 본문의 일부로 자격 증명을 사용하는 API 버전 2023-06-01-preview 설명서를 참조할 수 있습니다.

Azure Data Manager for Agriculture가 비밀에 액세스하는 방법

다음 흐름은 Azure Data Manager for Agriculture가 비밀에 액세스하는 방법을 보여 줍니다. 데이터 관리자가 자격 증명에 액세스하는 방법을 보여 주는 스크린샷

시스템 ID를 사용하지 않도록 설정했다가 다시 사용하도록 설정하는 경우 키 자격 증명 모음에서 액세스 정책을 삭제하고 다시 추가해야 합니다.

결론

Azure Key Vault에 비밀을 저장하고 시스템 ID를 사용하도록 설정하며 Data Manager에 대한 읽기 권한을 제공함으로써 라이선스 키를 안전하게 사용할 수 있습니다. Data Manager와 함께 제공되는 ISV 솔루션도 이러한 자격 증명을 사용합니다.

키 자격 증명 모음에서 데이터 평면 API와 참조 라이선스 키를 사용할 수 있습니다. 데이터 평면 API 호출에서 기본 라이선스 자격 증명을 동적으로 재정의하도록 선택할 수도 있습니다. Data Manager는 자격 증명 개체에 지정된 비밀에 액세스할 수 있는지 여부의 유효성을 검사하는 등 기본적인 유효성 검사를 수행합니다.

다음 단계

  • 여기에서 API를 테스트합니다.