Armazenar e usar suas próprias chaves de licença
O Gerenciador de Dados do Azure para Agricultura dá suporte a uma variedade de conectores de entrada de dados para centralizar suas contas fragmentadas. Essas conexões exigem que o cliente preencha suas credenciais em um modelo Traga sua própria licença (BYOL), para que o gerenciador de dados possa recuperar dados em nome do cliente.
Observação
O Gerenciador de Dados do Microsoft Azure para a Agricultura está em versão prévia no momento. Para obter os termos legais que se aplicam aos recursos que estão em versão beta, em versão prévia ou que ainda não foram lançados em disponibilidade geral, confira Termos de Uso Complementares para Versões Prévias do Microsoft Azure.
O Gerenciador de Dados do Microsoft Azure para a Agricultura requer registro e está disponível somente para clientes e parceiros aprovados durante o período de versão prévia. Para solicitar acesso ao Gerenciador de Dados da Microsoft para a Agricultura durante o período de versão prévia, use este formulário.
Pré-requisitos
Para usar o BYOL, você precisa de uma assinatura do Azure. Se você ainda não tiver uma assinatura, crie uma conta gratuita antes de começar.
Visão geral
No modelo BYOL, você é responsável por fornecer suas próprias licenças para conectores de dados meteorológicos e de satélites. Nesse modelo, você armazena a parte secreta das credenciais em um cofre de chaves do Azure gerenciado pelo cliente. O URI do segredo deve ser compartilhado com a instância do Gerenciador de Dados do Azure para Agricultura. A instância do Gerenciador de Dados do Azure para Agricultura deve receber permissões de leitura de segredos para que as APIs possam funcionar perfeitamente. Esse processo é uma configuração única para cada conector. Em seguida, nosso Gerenciador de Dados consulta e lê o segredo do cofre de chaves dos clientes como parte da chamada à API sem expor o segredo.
Diagrama de fluxo mostrando a criação e o compartilhamento de credenciais.
Opcionalmente, o cliente pode substituir as credenciais a serem usadas por uma solicitação de plano de dados fornecendo credenciais como parte da solicitação de API do plano de dados.
Sequência de etapas para configurar conectores
Etapa 1: Criar um cofre de chaves ou usar um existente
Os clientes podem criar um cofre de chaves ou usar um cofre de chaves existente para compartilhar credenciais de licença para serviços de satélite (Sentinel Hub) e meteorológicos (IBM Weather). O cliente cria um cofre de chaves no Azure Key Vault ou reutiliza um cofre de chaves existente.
Habilite as seguintes propriedades:
O Gerenciador de Dados para Agricultura é um serviço confiável da Microsoft e dá suporte a cofres de chaves de rede privados, além de cofres de chaves disponíveis publicamente. Se você colocar o cofre de chaves atrás de uma VNET, precisará selecionar a opção “Allow trusted Microsoft services to bypass this firewall."
Etapa 2: Armazenar segredo no Azure Key Vault
Para compartilhar suas informações de entrada nos serviços de satélite ou meteorológicos, armazene a parte do segredo das credenciais no cofre de chaves, por exemplo ClientSecret
para SatelliteSentinelHub
e APIKey
para WeatherIBM
. Os clientes controlam o nome do segredo e a rotação.
Consulte estas diretrizes para armazenar e recuperar seu segredo do cofre.
Etapa 3: Habilitar a identidade do sistema
Como cliente, você precisa habilitar a identidade do sistema para sua instância do Gerenciador de Dados para Agricultura. Essa identidade é usada durante as permissões de leitura do segredo fornecidas para a instância do Gerenciador de Dados do Azure para Agricultura.
Siga um dos seguintes métodos para habilitar:
Por meio da interface do usuário do portal do Azure
Via CLI do Azure
az rest --method patch --url /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.AgFoodPlatform/farmBeats/{ADMA_instance_name}?api-version=2023-06-01-preview --body "{'identity': {'type': 'SystemAssigned'}}"
Etapa 4: Política de acesso
Adicione uma política de acesso ao cofre de chaves para sua instância do Gerenciador de Dados para Agricultura.
Acesse a guia políticas de acesso no cofre de chaves.
Escolha as permissões de segredo Obter e Listar.
Selecione a próxima guia e, em seguida, selecione o nome da instância do Gerenciador de Dados para Agricultura e, em seguida, selecione a guia examinar + criar para criar a política de acesso.
Etapa 5: Invocar chamada à API do painel de controle
Use a chamada à API para especificar as credenciais do conector. O URI do cofre de chaves/ nome da chave/ versão da chave podem ser encontrados após a criação do segredo, conforme mostrado na figura a seguir.
Observação
Você precisa do acesso de proprietário ao escopo de recurso do ADMA para fazer chamadas do plano de controle.
Os seguintes valores devem ser usados para os conectores ao invocar as APIs acima:
Cenário | DataConnectorName | Credenciais |
---|---|---|
Conector SentinelHub para satélite | SatelliteSentinelHub | OAuthClientCredentials |
Conector IBM para clima | WeatherIBM | ApiKeyAuthCredentials |
Substituindo detalhes do conector
Como parte das APIs do plano de dados, o cliente pode optar por substituir os detalhes do conector que precisam ser usados para essa solicitação.
O cliente pode consultar a documentação de versão 2023-06-01-preview
da API em que as APIs do plano de dados para satélite e clima levam as credenciais como parte do corpo da solicitação.
Como o Gerenciador de Dados do Azure para Agricultura acessa o segredo
O fluxo a seguir mostra como o Gerenciador de Dados do Azure para Agricultura acessa o segredo.
Se você desabilitar e reabilitar a identidade do sistema, precisará excluir a política de acesso no cofre de chaves e adicioná-la novamente.
Conclusão
Você pode usar suas chaves de licença com segurança armazenando seus segredos no Azure Key Vault, habilitando a identidade do sistema e fornecendo acesso de leitura ao nosso Gerenciador de Dados. As soluções ISV disponíveis com nosso Gerenciador de Dados também usam essas credenciais.
Você pode usar nossas APIs de plano de dados e chaves de licença de referência no seu cofre de chaves. Você também pode optar por substituir as credenciais de licença padrão dinamicamente em nossas chamadas à API do plano de dados. Nosso Gerenciador de Dados faz validações básicas, incluindo verificar se ele pode acessar o segredo especificado no objeto de credenciais ou não.
Próximas etapas
- Teste nossas APIs aqui.