Compartilhar via


Armazenar e usar suas próprias chaves de licença

O Gerenciador de Dados do Azure para Agricultura dá suporte a uma variedade de conectores de entrada de dados para centralizar suas contas fragmentadas. Essas conexões exigem que o cliente preencha suas credenciais em um modelo Traga sua própria licença (BYOL), para que o gerenciador de dados possa recuperar dados em nome do cliente.

Observação

O Gerenciador de Dados do Microsoft Azure para a Agricultura está em versão prévia no momento. Para obter os termos legais que se aplicam aos recursos que estão em versão beta, em versão prévia ou que ainda não foram lançados em disponibilidade geral, confira Termos de Uso Complementares para Versões Prévias do Microsoft Azure.

O Gerenciador de Dados do Microsoft Azure para a Agricultura requer registro e está disponível somente para clientes e parceiros aprovados durante o período de versão prévia. Para solicitar acesso ao Gerenciador de Dados da Microsoft para a Agricultura durante o período de versão prévia, use este formulário.

Pré-requisitos

Para usar o BYOL, você precisa de uma assinatura do Azure. Se você ainda não tiver uma assinatura, crie uma conta gratuita antes de começar.

Visão geral

No modelo BYOL, você é responsável por fornecer suas próprias licenças para conectores de dados meteorológicos e de satélites. Nesse modelo, você armazena a parte secreta das credenciais em um cofre de chaves do Azure gerenciado pelo cliente. O URI do segredo deve ser compartilhado com a instância do Gerenciador de Dados do Azure para Agricultura. A instância do Gerenciador de Dados do Azure para Agricultura deve receber permissões de leitura de segredos para que as APIs possam funcionar perfeitamente. Esse processo é uma configuração única para cada conector. Em seguida, nosso Gerenciador de Dados consulta e lê o segredo do cofre de chaves dos clientes como parte da chamada à API sem expor o segredo.

Diagrama de fluxo mostrando a criação e o compartilhamento de credenciais. Captura de tela mostrando o fluxo de compartilhamento de credenciais.

Opcionalmente, o cliente pode substituir as credenciais a serem usadas por uma solicitação de plano de dados fornecendo credenciais como parte da solicitação de API do plano de dados.

Sequência de etapas para configurar conectores

Etapa 1: Criar um cofre de chaves ou usar um existente

Os clientes podem criar um cofre de chaves ou usar um cofre de chaves existente para compartilhar credenciais de licença para serviços de satélite (Sentinel Hub) e meteorológicos (IBM Weather). O cliente cria um cofre de chaves no Azure Key Vault ou reutiliza um cofre de chaves existente.

Habilite as seguintes propriedades:

Captura de tela mostrando as propriedades do cofre de chaves.

O Gerenciador de Dados para Agricultura é um serviço confiável da Microsoft e dá suporte a cofres de chaves de rede privados, além de cofres de chaves disponíveis publicamente. Se você colocar o cofre de chaves atrás de uma VNET, precisará selecionar a opção “Allow trusted Microsoft services to bypass this firewall."

Captura de tela mostrando o acesso do cofre de chaves.

Etapa 2: Armazenar segredo no Azure Key Vault

Para compartilhar suas informações de entrada nos serviços de satélite ou meteorológicos, armazene a parte do segredo das credenciais no cofre de chaves, por exemplo ClientSecret para SatelliteSentinelHub e APIKey para WeatherIBM. Os clientes controlam o nome do segredo e a rotação.

Consulte estas diretrizes para armazenar e recuperar seu segredo do cofre.

Captura de tela mostrando o armazenamento de valores de chave.

Etapa 3: Habilitar a identidade do sistema

Como cliente, você precisa habilitar a identidade do sistema para sua instância do Gerenciador de Dados para Agricultura. Essa identidade é usada durante as permissões de leitura do segredo fornecidas para a instância do Gerenciador de Dados do Azure para Agricultura.

Siga um dos seguintes métodos para habilitar:

  1. Por meio da interface do usuário do portal do Azure

    Captura de tela mostrando o uso da interface do usuário para habilitar a chave.

  2. Via CLI do Azure

    az rest --method patch --url /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.AgFoodPlatform/farmBeats/{ADMA_instance_name}?api-version=2023-06-01-preview --body "{'identity': {'type': 'SystemAssigned'}}"
    

Etapa 4: Política de acesso

Adicione uma política de acesso ao cofre de chaves para sua instância do Gerenciador de Dados para Agricultura.

  1. Acesse a guia políticas de acesso no cofre de chaves.

    Captura de tela mostrando a seleção da política de acesso.

  2. Escolha as permissões de segredo Obter e Listar.

    Captura de tela mostrando a seleção de permissões.

  3. Selecione a próxima guia e, em seguida, selecione o nome da instância do Gerenciador de Dados para Agricultura e, em seguida, selecione a guia examinar + criar para criar a política de acesso.

    Captura de tela mostrando a guia criar e revisar seleção.

Etapa 5: Invocar chamada à API do painel de controle

Use a chamada à API para especificar as credenciais do conector. O URI do cofre de chaves/ nome da chave/ versão da chave podem ser encontrados após a criação do segredo, conforme mostrado na figura a seguir.

Observação

Você precisa do acesso de proprietário ao escopo de recurso do ADMA para fazer chamadas do plano de controle.

Captura de tela mostrando onde o nome da chave e a versão da chave estão disponíveis.

Os seguintes valores devem ser usados para os conectores ao invocar as APIs acima:

Cenário DataConnectorName Credenciais
Conector SentinelHub para satélite SatelliteSentinelHub OAuthClientCredentials
Conector IBM para clima WeatherIBM ApiKeyAuthCredentials

Substituindo detalhes do conector

Como parte das APIs do plano de dados, o cliente pode optar por substituir os detalhes do conector que precisam ser usados para essa solicitação.

O cliente pode consultar a documentação de versão 2023-06-01-preview da API em que as APIs do plano de dados para satélite e clima levam as credenciais como parte do corpo da solicitação.

Como o Gerenciador de Dados do Azure para Agricultura acessa o segredo

O fluxo a seguir mostra como o Gerenciador de Dados do Azure para Agricultura acessa o segredo. Captura de tela mostrando como o gerenciador de dados acessa credenciais.

Se você desabilitar e reabilitar a identidade do sistema, precisará excluir a política de acesso no cofre de chaves e adicioná-la novamente.

Conclusão

Você pode usar suas chaves de licença com segurança armazenando seus segredos no Azure Key Vault, habilitando a identidade do sistema e fornecendo acesso de leitura ao nosso Gerenciador de Dados. As soluções ISV disponíveis com nosso Gerenciador de Dados também usam essas credenciais.

Você pode usar nossas APIs de plano de dados e chaves de licença de referência no seu cofre de chaves. Você também pode optar por substituir as credenciais de licença padrão dinamicamente em nossas chamadas à API do plano de dados. Nosso Gerenciador de Dados faz validações básicas, incluindo verificar se ele pode acessar o segredo especificado no objeto de credenciais ou não.

Próximas etapas

  • Teste nossas APIs aqui.