Saját licenckulcsok tárolása és használata
Az Azure Data Manager for Agriculture számos adatbemenő összekötőt támogat a töredezett fiókok központosításához. Ezekhez a kapcsolatokhoz az ügyfélnek meg kell töltenie hitelesítő adatait egy Saját licenc (BYOL) modellben, hogy az adatkezelő adatokat kérjen le az ügyfél nevében.
Feljegyzés
A Microsoft Azure Data Manager for Agriculture jelenleg előzetes verzióban érhető el. A bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető szolgáltatásokra vonatkozó jogi feltételekért tekintse meg a Microsoft Azure előzetes verziójának kiegészítő használati feltételeit.
A Microsoft Azure Data Manager for Agriculture regisztrációt igényel, és csak a jóváhagyott ügyfelek és partnerek számára érhető el az előzetes verziós időszakban. Ha hozzáférést szeretne kérni a Microsoft Data Manager for Agriculture szolgáltatáshoz az előzetes verziós időszakban, használja ezt az űrlapot.
Előfeltételek
A BYOL használatához Azure-előfizetésre van szüksége. Ha még nem rendelkezik előfizetéssel, a kezdés előtt hozzon létre egy ingyenes fiókot .
Áttekintés
A BYOL-modellben Ön a felelős a műholdas és időjárási adatösszekötőkhöz tartozó saját licencek biztosításáért. Ebben a modellben a hitelesítő adatok titkos részét egy ügyfél által felügyelt Azure Key Vaultban tárolja. A titkos kód URI-ját meg kell osztani az Azure Data Manager for Agriculture-példánysal. Az Azure Data Manager for Agriculture-példánynak titkos kódok olvasási engedélyekkel kell rendelkeznie, hogy az API-k zökkenőmentesen működhessenek. Ez a folyamat az egyes összekötők egyszeri beállítása. Az Adatkezelő ezután az API-hívás részeként hivatkozik és beolvassa a titkos kódot az ügyfelek kulcstartójából, a titkos kód felfedése nélkül.
A hitelesítő adatok létrehozását és megosztását bemutató folyamatábra.
Az ügyfél igény szerint felülbírálhatja az adatsík-kérelmekhez használandó hitelesítő adatokat, ha hitelesítő adatokat ad meg az adatsík API-kérése részeként.
Az összekötők beállításának lépései
1. lépés: Meglévő Key Vault létrehozása vagy használata
Az ügyfelek létrehozhatnak egy kulcstartót, vagy használhatnak egy meglévő kulcstartót a műholdas (Sentinel Hub) és az időjárás (IBM Weather) licenc-hitelesítő adatainak megosztásához. Az ügyfél létrehozza az Azure Key Vaultot , vagy újra felhasznál egy meglévő kulcstartót.
Engedélyezze a következő tulajdonságokat:
A Data Manager for Agriculture egy microsoftos megbízható szolgáltatás, amely a nyilvánosan elérhető kulcstartók mellett a magánhálózati kulcstartókat is támogatja. Ha a kulcstartót egy virtuális hálózat mögé helyezi, akkor ki kell választania a “Allow trusted Microsoft services to bypass this firewall."
2. lépés: Titkos kód tárolása az Azure Key Vaultban
A műholdas vagy időjárási szolgáltatás hitelesítő adatainak megosztásához tárolja a hitelesítő adatok titkos részét a kulcstartóban, például ClientSecret a kulcstartóbanSatelliteSentinelHub.APIKey WeatherIBM Az ügyfelek irányítják a titkos kódok nevét és forgását.
Ebben az útmutatóban tárolhatja és lekérheti a titkos kódját a tárolóból.
3. lépés: Rendszeridentitás engedélyezése
Ügyfélként engedélyeznie kell a rendszeridentitást a Data Manager for Agriculture-példányhoz. Ezt az identitást az Azure Data Manager for Agriculture-példány titkos olvasási engedélyei mellett használja a rendszer.
Az engedélyezéshez kövesse az alábbi módszerek egyikét:
Az Azure Portal felhasználói felületén keresztül
Az Azure CLI-vel
az rest --method patch --url /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.AgFoodPlatform/farmBeats/{ADMA_instance_name}?api-version=2023-06-01-preview --body "{'identity': {'type': 'SystemAssigned'}}"
4. lépés: Hozzáférési szabályzat
Adjon hozzá hozzáférési szabályzatot a Data Manager for Agriculture-példány kulcstartójához.
Lépjen a kulcstartó Házirendek lapjára.
Válassza a Titkos kulcsok lekérése és a LISTA engedélyeket.
Válassza a következő lapot, majd válassza a Data Manager for Agriculture-példány nevét, majd a felülvizsgálat + létrehozás lap kiválasztásával hozza létre a hozzáférési szabályzatot.
5. lépés: Vezérlősík API-hívásának meghívása
Az API-hívással adja meg az összekötő hitelesítő adatait. A kulcstartó URI-ja/ kulcsneve/ kulcsverziója a titkos kód létrehozása után található, ahogyan az alábbi ábrán látható.
Feljegyzés
Vezérlősík-hívások indításához tulajdonosi hozzáférésre van szükség az ADMA-erőforrás hatókörében.
A fenti API-k meghívása során a következő értékeket kell használni az összekötőkhöz:
| Eset | DataConnectorName | Igazolás |
|---|---|---|
| Satellite SentinelHub-összekötő esetén | SatelliteSentinelHub | OAuthClient-hitelesítő adatok |
| Időjárási IBM-összekötő esetén | WeatherIBM | ApiKeyAuth Hitelesítő adatok |
Összekötő adatainak felülírása
Az adatsík API-k részeként az ügyfél dönthet úgy, hogy felülbírálja az adott kéréshez használni kívánt összekötő adatait.
Az ügyfél hivatkozhat az API verziódokumentációjára 2023-06-01-preview , ahol a műholdas és időjárási adatsík API-k a kérelem törzsének részeként veszik át a hitelesítő adatokat.
Hogyan fér hozzá az Azure Data Manager for Agriculture a titkos kódokhoz?
Az alábbi folyamat bemutatja, hogyan fér hozzá az Azure Data Manager for Agriculture a titkos kódokhoz.
Ha letiltja, majd újra engedélyezi a rendszeridentitást, akkor törölnie kell a hozzáférési szabályzatot a Key Vaultban, és újra hozzá kell adnia.
Összegzés
A licenckulcsokat biztonságosan használhatja, ha a titkos kulcsokat az Azure Key Vaultban tárolja, lehetővé teszi a rendszeradentitást, és olvasási hozzáférést biztosít a Data Managerhez. A Data Managerrel elérhető ISV-megoldások is ezeket a hitelesítő adatokat használják.
A kulcstartóban használhatja az adatsík API-jait és a referencia licenckulcsokat. Dönthet úgy is, hogy dinamikusan felülbírálja az alapértelmezett licenc hitelesítő adatait az adatsík API-hívásaiban. A Data Manager alapvető ellenőrzéseket végez, beleértve annak ellenőrzését, hogy hozzáfér-e a hitelesítő adatok objektumában megadott titkos kódhoz, vagy sem.