独自のライセンス キーを保存して使用する

  • [アーティクル]

Azure Data Manager for Agriculture では、さまざまなデータ イングレス コネクタをサポートし、フラグメント化されたアカウントを一元管理します。 これらの接続では、データ マネージャーが顧客に代わってデータを取得できるように、顧客が自分の資格情報をライセンス持ち込み (BYOL) モデルに入力する必要があります。

Note

Microsoft Azure Data Manager for Agriculture は現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

Microsoft Azure Data Manager for Agriculture の利用には登録が必要で、プレビュー期間中は承認されたお客様とパートナー様のみが利用できます。 プレビュー期間中に Microsoft Data Manager for Agriculture へのアクセスを要求するには、このフォームを使用します。

前提条件

BYOL を使用するには、Azure サブスクリプションが必要です。 まだサブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。

概要

BYOL モデルでは、サテライトおよび気象データ コネクタにご自身のライセンスを提供する必要があります。 このモデルでは、資格情報のシークレット部分をカスタマー マネージド Azure Key Vault に保存します。 シークレットの URI は、Azure Data Manager for Agriculture インスタンスと共有する必要があります。 API がシームレスに動作できるように、Azure Data Manager for Agriculture インスタンスにシークレットの読み取りアクセス許可を付与する必要があります。 このプロセスは、各コネクタでの 1 回限りのセットアップです。 次に、Data Manager では、シークレットを公開しないようにして、API 呼び出しの一環として、顧客のキー コンテナーを参照し、そこからシークレットを読み取ります。

資格情報の作成と共有を示すフロー図。 資格情報共有フローのスクリーンショット。

顧客は、必要に応じて、データ プレーン API 要求の一環として資格情報を指定して、データ プレーン要求に使用される資格情報をオーバーライドできます。

コネクタを設定するための一連の手順

手順 1: キー コンテナーを作成するか既存のものを使用する

顧客は、キー コンテナーを作成するか既存のキー コンテナーを使用して、サテライト (Sentinel ハブ) および気象 (IBM Weather) のライセンス資格情報を共有できます。 顧客は、Azure Key Vault を作成するか、既存のキー コンテナーを再利用します。

次のプロパティを有効にします。

キー コンテナー プロパティのスクリーンショット。

Data Manager for Agriculture は Microsoft の信頼済みサービスであり、一般に公開されているキー コンテナーに加えて、プライベート ネットワーク キー コンテナーもサポートしています。 VNET の背後にキー コンテナーを配置する場合は、“Allow trusted Microsoft services to bypass this firewall." を選択する必要があります

キー コンテナー アクセスのスクリーンショット。

手順 2: Azure Key Vault にシークレットを格納する

サテライトまたは気象のサービスの資格情報を共有するには、資格情報のシークレット部分をキー コンテナーに保存します。たとえば、SatelliteSentinelHub では ClientSecretWeatherIBM では APIKey です。 シークレットの名前とローテーションは顧客が制御します。

コンテナーでのシークレットの保存と取得については、こちらのガイダンスを参照してください。

キー値のストレージのスクリーンショット。

手順 3: システム ID を有効にする

顧客は、Data Manager for Agriculture インスタンスのシステム ID を有効にする必要があります。 Azure Data Manager for Agriculture インスタンスにシークレットの読み取りアクセス許可が付与されている間は、この ID が使用されます。

有効にするには、以下のいずれかの方法に従います。

  1. Azure portal UI を使用する

    キーを有効にする UI の使用のスクリーンショット。

  2. Azure CLI を使用する

    az rest --method patch --url /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.AgFoodPlatform/farmBeats/{ADMA_instance_name}?api-version=2023-06-01-preview --body "{'identity': {'type': 'SystemAssigned'}}"

手順 4: アクセス ポリシー

Data Manager for Agriculture インスタンスのキー コンテナーにアクセス ポリシーを追加します。

  1. キー コンテナーの [Access policies] (アクセス ポリシー) タブに移動します。

    アクセス ポリシーの選択のスクリーンショット。

  2. シークレットの GET と LIST のアクセス許可を選択します。

    アクセス許可の選択のスクリーンショット。

  3. 次のタブを選択し、Data Manager for Agriculture インスタンスの名前を選択し、[確認 + 作成] タブを選択してアクセス ポリシーを作成します。

    [作成と確認] タブの選択のスクリーンショット。

手順 5: コントロール プレーン API 呼び出しを起動する

API 呼び出しを使用してコネクタの資格情報を指定します。 次の図に示すように、キー コンテナーの URI、キー名、キーのバージョンは、シークレットの作成後に確認できます。

キー名とキー バージョンが使用可能な場所のスクリーンショット。

上記の API を呼び出すときは、コネクタに次の値を使用する必要があります。

シナリオ DataConnectorName 資格情報
Satellite Sentinel ハブ コネクタの場合 SatelliteSentinelHub OAuthClientCredentials
Weather IBM コネクタの場合 WeatherIBM ApiKeyAuthCredentials

コネクタの詳細をオーバーライドする

データ プレーン API の一環として、顧客はその要求に使用する必要があるコネクタの詳細を任意でオーバーライドできます。

顧客は API バージョン 2023-06-01-preview のドキュメントを参照できます。ここでは、サテライトおよび気象用のデータ プレーン API が要求本文の一部として資格情報を受け取ります。

Azure Data Manager for Agriculture によるシークレットへのアクセス方法

次のフローでは、Azure Data Manager for Agriculture によるシークレットへのアクセス方法を示しています。 データ マネージャーが資格情報にアクセスするしくみを示すスクリーンショット。

システム ID を無効にしてからもう一度有効にする場合、キー コンテナー内のアクセス ポリシーを削除してから、追加し直す必要があります。

まとめ

Azure Key Vault にシークレットを格納し、システム ID を有効にし、Data Manager に読み取りアクセス権を付与すると、ライセンス キーを安全に使用できます。 Data Manager で使用できる ISV ソリューションでも、これらの資格情報を使用します。

データ プレーン API と参照ライセンス キーは、キー コンテナーで使用できます。 また、データ プレーン API 呼び出しで既定のライセンス資格情報を動的にオーバーライドすることもできます。 Data Manager では、資格情報オブジェクトで指定されたシークレットにアクセスできるかどうかの確認など、基本的な検証を行います。

次のステップ

  • API のテストはここで行います。