儲存和使用您自己的授權金鑰
用於農業的 Azure 資料管理員支援各種資料輸入連接器,以集中分散的帳戶。 這些連線會要求客戶在「自備授權 (BYOL)」模型中填入其認證,讓資料管理員可以代表客戶擷取資料。
注意
用於農業的 Microsoft Azure 資料管理員目前處於預覽狀態。 如需適用於搶鮮版 (Beta) 功能、預覽版功能,或尚未正式發行功能的法律條款,請參閱 Microsoft Azure 預覽版增補使用規定。
用於農業的 Microsoft Azure 資料管理員需要註冊,而且在預覽期間只會提供給獲得核准的客戶與合作夥伴使用。 若要在預覽期間要求存取用於農業的 Microsoft Azure 資料管理員,請使用此表單。
必要條件
若要使用 BYOL,您需要 Azure 訂用帳戶。 如果您還沒有訂用帳戶,請先建立免費帳戶,再開始操作。
概觀
在 BYOL 模型中,您必須負責為衛星和氣象資料連接器提供自己的授權。 您會在此模型中,將認證的祕密部分儲存在客戶管理的 Azure Key Vault 中。 必須與用於農業的 Azure 資料管理員執行個體共用祕密的 URI。 應為用於農業的 Azure 資料管理員執行個體提供祕密讀取權限,讓 API 能夠順暢運作。 此程序是每個連接器的一次性設定。 然後,資料管理員會參考並讀取客戶金鑰保存庫的祕密作為 API 呼叫的一部分,且不會公開祕密。
顯示認證建立和共用的流程圖。
客戶可以選擇性地覆寫要用於資料平面要求的認證,方法是提供認證作為資料平面 API 要求的一部分。
設定連接器的步驟順序
步驟 1:建立或使用現有的 Key Vault
客戶可以建立金鑰保存庫,或使用現有的金鑰保存庫,以共用衛星 (Sentinel 中樞) 和天氣 (IBM Weather) 的授權認證。 客戶會建立 Azure Key Vault,或重複使用現有的金鑰保存庫。
啟用下列屬性:
用於農業的資料管理員是 Microsoft 信任的服務,除了公開可用的金鑰保存庫之外,還支援私人網路金鑰保存庫。 如果您將金鑰保存庫放在 VNET 後面,則必須選取 “Allow trusted Microsoft services to bypass this firewall."
步驟 2:將祕密儲存在 Azure Key Vault 中
若要共用衛星或氣象服務認證,請將認證祕密部分儲存在金鑰保存庫中,例如 SatelliteSentinelHub
的 ClientSecret
和 APIKey
的 WeatherIBM
。 客戶可以控制祕密名稱和輪替。
請參閱本指導,以從保存庫儲存和擷取祕密。
步驟 3:啟用系統身分識別
身為客戶的您必須為用於農業的資料管理員執行個體啟用系統身分識別。 此身分識別的使用時機在於為用於農業的 Azure 資料管理員執行個體提供祕密讀取權限。
請遵循下列其中一種方法以啟用:
透過 Azure 入口網站 UI
透過 Azure CLI
az rest --method patch --url /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.AgFoodPlatform/farmBeats/{ADMA_instance_name}?api-version=2023-06-01-preview --body "{'identity': {'type': 'SystemAssigned'}}"
步驟 4:存取原則
在用於農業的資料管理員執行個體的金鑰保存庫中新增存取原則。
移至金鑰保存庫中的 [存取原則] 索引標籤。
選擇祕密 GET 和 LIST 權限。
選取下一個索引標籤,然後選取 [用於農業的資料管理員執行個體名稱],然後選取 [檢閱 + 建立] 索引標籤以建立存取原則。
步驟 5:叫用控制平面 API 呼叫
使用 API 呼叫 以指定連接器認證。 建立祕密之後,可以如下圖所示找到金鑰保存庫 URI/金鑰名稱/金鑰版本。
注意
若要進行控制平面呼叫,您需要 ADMA 資源範圍的擁有者存取權。
在叫用上述 API 時,應該針對連接器使用下列值:
案例 | DataConnectorName | 認證 |
---|---|---|
對於 Satellite SentinelHub 連接器 | SatelliteSentinelHub | OAuthClientCredentials |
對於 Weather IBM 連接器 | WeatherIBM | ApiKeyAuthCredentials |
覆寫連接器詳細資料
在資料平面 API 中,客戶可以選擇覆寫需要用於該要求的連接器詳細資料。
客戶可以參考 API 版本 2023-06-01-preview
文件,其中衛星和天氣的資料平面 API 會將認證納入要求本文中。
用於農業的 Azure 資料管理員如何存取祕密
下列流程顯示用於農業的 Azure 資料管理員如何存取祕密。
如果您停用然後重新啟用系統身分識別,則必須刪除金鑰保存庫中的存取原則,然後再新增一次。
推論
您可將祕密儲存在 Azure Key Vault 中、啟用系統身分識別,並提供資料管理員的讀取存取,以安全地使用授權金鑰。 資料管理員所提供的 ISV 解決方案也會使用這些認證。
您可以在金鑰保存庫中使用資料平面 API 和參考授權金鑰。 您也可以選擇在資料平面 API 呼叫中動態覆寫預設授權認證。 資料管理員會執行基本驗證,包括檢查其是否可以存取認證物件中指定的祕密。
下一步
- 請在此測試 API。