独自のライセンス キーを保存して使用する
Azure Data Manager for Agriculture では、さまざまなデータ イングレス コネクタをサポートし、フラグメント化されたアカウントを一元管理します。 これらの接続では、データ マネージャーが顧客に代わってデータを取得できるように、顧客が自分の資格情報をライセンス持ち込み (BYOL) モデルに入力する必要があります。
Note
Microsoft Azure Data Manager for Agriculture は現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
Microsoft Azure Data Manager for Agriculture の利用には登録が必要で、プレビュー期間中は承認されたお客様とパートナー様のみが利用できます。 プレビュー期間中に Microsoft Data Manager for Agriculture へのアクセスを要求するには、このフォームを使用します。
前提条件
BYOL を使用するには、Azure サブスクリプションが必要です。 まだサブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。
概要
BYOL モデルでは、サテライトおよび気象データ コネクタにご自身のライセンスを提供する必要があります。 このモデルでは、資格情報のシークレット部分をカスタマー マネージド Azure Key Vault に保存します。 シークレットの URI は、Azure Data Manager for Agriculture インスタンスと共有する必要があります。 API がシームレスに動作できるように、Azure Data Manager for Agriculture インスタンスにシークレットの読み取りアクセス許可を付与する必要があります。 このプロセスは、各コネクタでの 1 回限りのセットアップです。 次に、Data Manager では、シークレットを公開しないようにして、API 呼び出しの一環として、顧客のキー コンテナーを参照し、そこからシークレットを読み取ります。
資格情報の作成と共有を示すフロー図。
顧客は、必要に応じて、データ プレーン API 要求の一環として資格情報を指定して、データ プレーン要求に使用される資格情報をオーバーライドできます。
コネクタを設定するための一連の手順
手順 1: キー コンテナーを作成するか既存のものを使用する
顧客は、キー コンテナーを作成するか既存のキー コンテナーを使用して、サテライト (Sentinel ハブ) および気象 (IBM Weather) のライセンス資格情報を共有できます。 顧客は、Azure Key Vault を作成するか、既存のキー コンテナーを再利用します。
次のプロパティを有効にします。
Data Manager for Agriculture は Microsoft の信頼済みサービスであり、一般に公開されているキー コンテナーに加えて、プライベート ネットワーク キー コンテナーもサポートしています。 VNET の背後にキー コンテナーを配置する場合は、“Allow trusted Microsoft services to bypass this firewall."
を選択する必要があります
手順 2: Azure Key Vault にシークレットを格納する
サテライトまたは気象のサービスの資格情報を共有するには、資格情報のシークレット部分をキー コンテナーに保存します。たとえば、SatelliteSentinelHub
では ClientSecret
、WeatherIBM
では APIKey
です。 シークレットの名前とローテーションは顧客が制御します。
コンテナーでのシークレットの保存と取得については、こちらのガイダンスを参照してください。
手順 3: システム ID を有効にする
顧客は、Data Manager for Agriculture インスタンスのシステム ID を有効にする必要があります。 Azure Data Manager for Agriculture インスタンスにシークレットの読み取りアクセス許可が付与されている間は、この ID が使用されます。
有効にするには、以下のいずれかの方法に従います。
Azure portal UI を使用する
Azure CLI を使用する
az rest --method patch --url /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.AgFoodPlatform/farmBeats/{ADMA_instance_name}?api-version=2023-06-01-preview --body "{'identity': {'type': 'SystemAssigned'}}"
手順 4: アクセス ポリシー
Data Manager for Agriculture インスタンスのキー コンテナーにアクセス ポリシーを追加します。
キー コンテナーの [Access policies] (アクセス ポリシー) タブに移動します。
シークレットの GET と LIST のアクセス許可を選択します。
次のタブを選択し、Data Manager for Agriculture インスタンスの名前を選択し、[確認 + 作成] タブを選択してアクセス ポリシーを作成します。
手順 5: コントロール プレーン API 呼び出しを起動する
API 呼び出しを使用してコネクタの資格情報を指定します。 次の図に示すように、キー コンテナーの URI、キー名、キーのバージョンは、シークレットの作成後に確認できます。
Note
コントロール プレーン呼び出しを行うには、ADMA リソース スコープに対する所有者アクセス権が必要です。
上記の API を呼び出すときは、コネクタに次の値を使用する必要があります。
シナリオ | DataConnectorName | 資格情報 |
---|---|---|
Satellite Sentinel ハブ コネクタの場合 | SatelliteSentinelHub | OAuthClientCredentials |
Weather IBM コネクタの場合 | WeatherIBM | ApiKeyAuthCredentials |
コネクタの詳細をオーバーライドする
データ プレーン API の一環として、顧客はその要求に使用する必要があるコネクタの詳細を任意でオーバーライドできます。
顧客は API バージョン 2023-06-01-preview
のドキュメントを参照できます。ここでは、サテライトおよび気象用のデータ プレーン API が要求本文の一部として資格情報を受け取ります。
Azure Data Manager for Agriculture によるシークレットへのアクセス方法
次のフローでは、Azure Data Manager for Agriculture によるシークレットへのアクセス方法を示しています。
システム ID を無効にしてからもう一度有効にする場合、キー コンテナー内のアクセス ポリシーを削除してから、追加し直す必要があります。
まとめ
Azure Key Vault にシークレットを格納し、システム ID を有効にし、Data Manager に読み取りアクセス権を付与すると、ライセンス キーを安全に使用できます。 Data Manager で使用できる ISV ソリューションでも、これらの資格情報を使用します。
データ プレーン API と参照ライセンス キーは、キー コンテナーで使用できます。 また、データ プレーン API 呼び出しで既定のライセンス資格情報を動的にオーバーライドすることもできます。 Data Manager では、資格情報オブジェクトで指定されたシークレットにアクセスできるかどうかの確認など、基本的な検証を行います。
次のステップ
- API のテストはここで行います。