存储和使用自己的许可证密钥

Azure 用于农业的数据管理器支持一系列数据入口连接器，从而将分散的帐户集中在一起。 这些连接要求客户在“自带许可”(BYOL) 模型中填充其凭据，以便数据管理器可以代表客户检索数据。

先决条件

若要使用 BYOL，需要一个 Azure 订阅。 如果还没有订阅，请在开始前创建一个免费帐户。

概述

在 BYOL 模型中，你负责为卫星和天气数据连接器提供自己的许可证。 在此模型中，你将凭据的机密部分存储在客户管理的 Azure 密钥保管库中。 机密的 URI 必须与 Azure 用于农业的数据管理器实例共享。 请为 Azure 用于农业的数据管理器实例提供机密读取权限，以便 API 可以无缝工作。 此过程是对每个连接器的一次性设置。 然后，我们的数据管理器会将客户密钥保管库中的机密作为 API 调用的一部分进行引用和读取，而不会泄露机密。

显示凭据创建和共享的流程图。

客户可以选择替代用于数据平面请求的凭据，只需在数据平面 API 请求中提供凭据即可。

设置连接器的步骤序列

步骤 1：创建或使用现有密钥保管库

客户可以创建密钥保管库或使用现有的密钥保管库来共享卫星 (Sentinel Hub) 和天气 (IBM Weather) 许可证凭据。 客户创建 Azure 密钥保管库或重复使用现有的密钥保管库。

启用以下属性：

用于农业的数据管理器是 Microsoft 的受信任服务，除了公开可用的密钥保管库外，还支持专用网络密钥保管库。 如果将密钥保管库放在 VNET 后面，则需要选择 “Allow trusted Microsoft services to bypass this firewall."

步骤 2：在 Azure 密钥保管库中存储机密

若要共享卫星或天气服务凭据，请将凭据的机密部分存储在密钥保管库中，例如 ClientSecret（对于 SatelliteSentinelHub）和 APIKey（对于 WeatherIBM）。 客户可以控制机密名称和轮换。

请参阅此指南来在保管库中存储和检索机密。

步骤 3：启用系统标识

作为客户，你必须为用于农业的数据管理器实例启用系统标识。 此标识用于为 Azure 用于农业的数据管理器实例提供机密读取权限。

请按照以下方法之一进行启用：

1. 通过 Azure 门户 UI

   

2. 通过 Azure CLI

   az rest --method patch --url /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.AgFoodPlatform/farmBeats/{ADMA_instance_name}?api-version=2023-06-01-preview --body "{'identity': {'type': 'SystemAssigned'}}"
   

步骤 4：访问策略

在密钥保管库中为用于农业的数据管理器实例添加访问策略。

1. 转到密钥保管库中的“访问策略”选项卡。

   

2. 选择机密 GET 和 LIST 权限。

   

3. 选择下一个选项卡，然后选择用于农业的数据管理器实例的名称，然后选择“查看 + 创建”选项卡以创建访问策略。

   

步骤 5：调用控制平面 API 调用

使用 API 调用指定连接器凭据。 创建机密后，可以找到密钥保管库 URI/密钥名称/密钥版本，如下图所示。

在调用上述 API 时，应对连接器使用以下值：

替代连接器详细信息

在数据平面 API 中，客户可以选择替代需要用于该请求的连接器详细信息。

客户可以参考 API 版本 2023-06-01-preview 文档，其中卫星和天气的数据平面 API 会在请求正文中获取凭据。

Azure 用于农业的数据管理器如何访问机密

以下流显示了 Azure 用于农业的数据管理器如何访问机密。

如果禁用并重新启用系统标识，则必须删除密钥保管库中的访问策略，然后重新添加。

结束语

可以将机密存储在 Azure Key Vault 中，启用系统标识并提供对数据管理器的读取访问权限，从而安全地使用许可证密钥。 随我们的数据管理器提供的 ISV 解决方案也使用这些凭据。

你可以使用我们的数据平面 API 并引用密钥保管库中的许可证密钥。 也可以选择在我们的数据平面 API 调用中动态替代默认许可证凭据。 我们的数据管理器会执行基本验证，包括检查它是否可以访问凭据对象中指定的机密。

后续步骤

• 在此处测试我们的 API。