Хранение и использование собственных ключей лицензий

  • Статья

Azure Data Manager для сельского хозяйства поддерживает ряд соединителей входящего трафика данных для централизованной обработки фрагментированных учетных записей. Эти подключения требуют, чтобы клиент заполнял свои учетные данные в модели с помощью собственной лицензии (BYOL), чтобы диспетчер данных мог получать данные от имени клиента.

Примечание.

Диспетчер данных Microsoft Azure для сельского хозяйства в настоящее время находится в предварительной версии. Юридические условия, применимые к функциям, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общедоступную версию, см . в дополнительных условиях использования для предварительных версий Microsoft Azure.

Диспетчер данных Microsoft Azure для сельского хозяйства требует регистрации и доступен только утвержденным клиентам и партнерам в течение предварительного периода. Чтобы запросить доступ к Microsoft Data Manager для сельского хозяйства в течение предварительного периода, используйте эту форму.

Необходимые компоненты

Для использования BYOL требуется подписка Azure. Если у вас еще нет подписки, создайте бесплатную учетную запись Azure, прежде чем начинать работу.

Обзор

В модели BYOL вы отвечаете за предоставление собственных лицензий для вспомогательных и погодных соединителей данных. В этой модели вы храните секретную часть учетных данных в управляемом клиентом Azure Key Vault. Универсальный код ресурса (URI) секрета должен быть предоставлен экземпляру Azure Data Manager для сельского хозяйства. Экземпляр Azure Data Manager для сельского хозяйства должен иметь разрешения на чтение секретов, чтобы API-интерфейсы могли работать легко. Этот процесс является однократной настройкой для каждого соединителя. Затем наш диспетчер данных ссылается на секрет и считывает секрет из хранилища ключей клиентов в рамках вызова API без раскрытия секрета.

Схема потока, показывающая создание и совместное использование учетных данных. Снимок экрана: поток общего доступа к учетным данным.

Клиент может дополнительно переопределить учетные данные для запроса плоскости данных, предоставив учетные данные в рамках запроса API плоскости данных.

Последовательность шагов по настройке соединителей

Шаг 1. Создание или использование существующего Хранилища ключей

Клиенты могут создать хранилище ключей или использовать существующее хранилище ключей для совместного использования учетных данных лицензий для спутниковой службы (Sentinel Hub) и погоды (IBM Weather). Клиент создает Azure Key Vault или повторно использует существующее хранилище ключей.

Включите следующие свойства:

Снимок экрана: свойства хранилища ключей.

Data Manager для сельского хозяйства — это надежная служба Майкрософт и поддерживает хранилища ключей частной сети в дополнение к общедоступным хранилищам ключей. Если вы помещаете хранилище ключей за виртуальную сеть, необходимо выбрать “Allow trusted Microsoft services to bypass this firewall."

Снимок экрана: доступ к хранилищу ключей.

Шаг 2. Хранение секрета в Azure Key Vault

Для предоставления общего доступа к учетным данным службы спутниковой или погоды сохраните секретную часть учетных данных в хранилище ключей, например ClientSecret для SatelliteSentinelHub и APIKey для WeatherIBM. Клиенты контролируют имя секрета и смену.

Ознакомьтесь с этим руководством по хранению и извлечению секрета из хранилища.

Снимок экрана: хранилище значений ключей.

Шаг 3. Включение системного удостоверения

В качестве клиента необходимо включить системное удостоверение для экземпляра Data Manager для сельского хозяйства. Это удостоверение используется при указании разрешений на чтение секретов для экземпляра Azure Data Manager для сельского хозяйства.

Выполните один из следующих методов, чтобы включить:

  1. С помощью пользовательского интерфейса портал Azure

    Снимок экрана: использование пользовательского интерфейса для включения ключа.

  2. С помощью Azure CLI

    az rest --method patch --url /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.AgFoodPlatform/farmBeats/{ADMA_instance_name}?api-version=2023-06-01-preview --body "{'identity': {'type': 'SystemAssigned'}}"

Шаг 4. Политика доступа

Добавьте политику доступа в хранилище ключей для экземпляра Data Manager для сельского хозяйства.

  1. Перейдите на вкладку "Политики доступа" в хранилище ключей.

    Снимок экрана: выбор политики доступа.

  2. Выберите разрешения Secret GET и LIST.

    Снимок экрана: выбор разрешений.

  3. Выберите следующую вкладку, а затем выберите имя экземпляра Data Manager для сельского хозяйства, а затем выберите вкладку "Проверка и создание", чтобы создать политику доступа.

    Снимок экрана: вкладка создания и проверки выбора.

Шаг 5. Вызов ВЫЗОВА API уровня управления

Используйте вызов API для указания учетных данных соединителя. URI хранилища ключей, имя ключа или версия ключа можно найти после создания секрета, как показано на следующем рисунке.

Примечание.

Для вызова плоскости управления требуется доступ владельца к области ресурсов ADMA.

Снимок экрана, показывающий, где доступно имя ключа и версия ключа.

Следующие значения следует использовать для соединителей при вызове выше API:

Сценарий DataConnectorName Подтверждение компетенции
Соединитель Satellite SentinelHub SatelliteSentinelHub OAuthClientCredentials
Соединитель Weather IBM WeatherIBM ApiKeyAuthCredentials

Переопределение сведений о соединителе

В рамках API плоскости данных клиент может переопределить сведения о соединителе, которые необходимо использовать для этого запроса.

Клиент может ссылаться на документацию по версии 2023-06-01-preview API, где API плоскости данных для спутников и погоды принимают учетные данные в составе текста запроса.

Как Azure Data Manager для сельского хозяйства обращается к секрету

В следующем потоке показано, как Azure Data Manager для сельского хозяйства обращается к секрету. Снимок экрана, показывающий, как диспетчер данных обращается к учетным данным.

Если отключить и повторно включить системное удостоверение, необходимо удалить политику доступа в хранилище ключей и снова добавить ее.

Заключение

Вы можете безопасно использовать ключи лицензии, сохраняя секреты в Azure Key Vault, обеспечивая системное удостоверение и предоставляя доступ на чтение к нашему диспетчеру данных. Решения isV, доступные в нашем диспетчере данных, также используют эти учетные данные.

Вы можете использовать api плоскости данных и ссылки на ключи лицензий в хранилище ключей. Вы также можете переопределить учетные данные лицензии по умолчанию динамически в вызовах API плоскости данных. Наш диспетчер данных выполняет основные проверки, включая проверку того, может ли он получить доступ к секрету, указанному в объекте учетных данных или нет.

Следующие шаги