共用方式為


儲存和使用您自己的授權金鑰

用於農業的 Azure 資料管理員支援各種資料輸入連接器,以集中分散的帳戶。 這些連線會要求客戶在「自備授權 (BYOL)」模型中填入其認證,讓資料管理員可以代表客戶擷取資料。

注意

用於農業的 Microsoft Azure 資料管理員目前處於預覽狀態。 如需適用於搶鮮版 (Beta) 功能、預覽版功能,或尚未正式發行功能的法律條款,請參閱 Microsoft Azure 預覽版增補使用規定

用於農業的 Microsoft Azure 資料管理員需要註冊,而且在預覽期間只會提供給獲得核准的客戶與合作夥伴使用。 若要在預覽期間要求存取用於農業的 Microsoft Azure 資料管理員,請使用此表單

必要條件

若要使用 BYOL,您需要 Azure 訂用帳戶。 如果您還沒有訂用帳戶,請先建立免費帳戶,再開始操作。

概觀

在 BYOL 模型中,您必須負責為衛星和氣象資料連接器提供自己的授權。 您會在此模型中,將認證的祕密部分儲存在客戶管理的 Azure Key Vault 中。 必須與用於農業的 Azure 資料管理員執行個體共用祕密的 URI。 應為用於農業的 Azure 資料管理員執行個體提供祕密讀取權限,讓 API 能夠順暢運作。 此程序是每個連接器的一次性設定。 然後,資料管理員會參考並讀取客戶金鑰保存庫的祕密作為 API 呼叫的一部分,且不會公開祕密。

顯示認證建立和共用的流程圖。 螢幕擷取畫面顯示認證共用流程。

客戶可以選擇性地覆寫要用於資料平面要求的認證,方法是提供認證作為資料平面 API 要求的一部分。

設定連接器的步驟順序

步驟 1:建立或使用現有的 Key Vault

客戶可以建立金鑰保存庫,或使用現有的金鑰保存庫,以共用衛星 (Sentinel 中樞) 和天氣 (IBM Weather) 的授權認證。 客戶會建立 Azure Key Vault,或重複使用現有的金鑰保存庫。

啟用下列屬性:

螢幕擷取畫面顯示金鑰保存庫屬性。

用於農業的資料管理員是 Microsoft 信任的服務,除了公開可用的金鑰保存庫之外,還支援私人網路金鑰保存庫。 如果您將金鑰保存庫放在 VNET 後面,則必須選取 “Allow trusted Microsoft services to bypass this firewall."

螢幕擷取畫面顯示金鑰保存庫存取。

步驟 2:將祕密儲存在 Azure Key Vault 中

若要共用衛星或氣象服務認證,請將認證祕密部分儲存在金鑰保存庫中,例如 SatelliteSentinelHubClientSecretAPIKeyWeatherIBM。 客戶可以控制祕密名稱和輪替。

請參閱本指導,以從保存庫儲存和擷取祕密。

螢幕擷取畫面顯示儲存的金鑰值。

步驟 3:啟用系統身分識別

身為客戶的您必須為用於農業的資料管理員執行個體啟用系統身分識別。 此身分識別的使用時機在於為用於農業的 Azure 資料管理員執行個體提供祕密讀取權限。

請遵循下列其中一種方法以啟用:

  1. 透過 Azure 入口網站 UI

    螢幕擷取畫面顯示使用 UI 以啟用金鑰。

  2. 透過 Azure CLI

    az rest --method patch --url /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.AgFoodPlatform/farmBeats/{ADMA_instance_name}?api-version=2023-06-01-preview --body "{'identity': {'type': 'SystemAssigned'}}"
    

步驟 4:存取原則

在用於農業的資料管理員執行個體的金鑰保存庫中新增存取原則。

  1. 移至金鑰保存庫中的 [存取原則] 索引標籤。

    螢幕擷取畫面顯示選取的存取原則。

  2. 選擇祕密 GET 和 LIST 權限。

    螢幕擷取畫面顯示選取的權限。

  3. 選取下一個索引標籤,然後選取 [用於農業的資料管理員執行個體名稱],然後選取 [檢閱 + 建立] 索引標籤以建立存取原則。

    螢幕擷取畫面顯示選取 [建立及檢閱] 索引標籤。

步驟 5:叫用控制平面 API 呼叫

使用 API 呼叫 以指定連接器認證。 建立祕密之後,可以如下圖所示找到金鑰保存庫 URI/金鑰名稱/金鑰版本。

注意

若要進行控制平面呼叫,您需要 ADMA 資源範圍的擁有者存取權。

螢幕擷取畫面顯示金鑰名稱和金鑰版本可供使用的位置。

在叫用上述 API 時,應該針對連接器使用下列值:

案例 DataConnectorName 認證
對於 Satellite SentinelHub 連接器 SatelliteSentinelHub OAuthClientCredentials
對於 Weather IBM 連接器 WeatherIBM ApiKeyAuthCredentials

覆寫連接器詳細資料

在資料平面 API 中,客戶可以選擇覆寫需要用於該要求的連接器詳細資料。

客戶可以參考 API 版本 2023-06-01-preview 文件,其中衛星和天氣的資料平面 API 會將認證納入要求本文中。

用於農業的 Azure 資料管理員如何存取祕密

下列流程顯示用於農業的 Azure 資料管理員如何存取祕密。 螢幕擷取畫面顯示資料管理員如何存取認證。

如果您停用然後重新啟用系統身分識別,則必須刪除金鑰保存庫中的存取原則,然後再新增一次。

推論

您可將祕密儲存在 Azure Key Vault 中、啟用系統身分識別,並提供資料管理員的讀取存取,以安全地使用授權金鑰。 資料管理員所提供的 ISV 解決方案也會使用這些認證。

您可以在金鑰保存庫中使用資料平面 API 和參考授權金鑰。 您也可以選擇在資料平面 API 呼叫中動態覆寫預設授權認證。 資料管理員會執行基本驗證,包括檢查其是否可以存取認證物件中指定的祕密。

下一步