تكوين المفاتيح الثابتة التي يديرها العميل
هام
سيتم إيقاف Azure API ل FHIR في 30 سبتمبر 2026. اتبع استراتيجيات الترحيل للانتقال إلى خدمة Azure Health Data Services FHIR® بحلول ذلك التاريخ. بسبب إيقاف Azure API ل FHIR، لن يسمح بالنشرات الجديدة بدءا من 1 أبريل 2025. خدمة Azure Health Data Services FHIR هي الإصدار المتطور من Azure API ل FHIR الذي يمكن العملاء من إدارة خدمات FHIR وDICOM وMedTech مع عمليات التكامل في خدمات Azure الأخرى.
عند إنشاء واجهة برمجة تطبيقات Azure جديدة لحساب FHIR®، يتم تشفير بياناتك باستخدام مفاتيح تديرها Microsoft بشكل افتراضي. الآن يمكنك إضافة طبقة ثانية من التشفير للبيانات باستخدام مفتاح تختاره وتديره بنفسك.
في Azure، يتم إنجاز ذلك عادة باستخدام مفتاح تشفير في Azure Key Vault الخاص بالعميل. Azure SQL وAzure Storage وAzure Cosmos DB هي بعض الأمثلة التي توفر هذه الإمكانية. تستفيد واجهة برمجة تطبيقات Azure ل FHIR من هذا الدعم من Azure Cosmos DB. عند إنشاء حساب، يكون لديك خيار تحديد URI مفتاح Azure Key Vault. يتم تمرير هذا المفتاح إلى Azure Cosmos DB عند توفير حساب DB. عند تقديم طلب Fast Healthcare Interoperability Resources (FHIR)، يجلب Azure Cosmos DB مفتاحك ويستخدمه لتشفير/فك تشفير البيانات.
للبدء، راجع الارتباطات التالية:
- تسجيل موفر موارد Azure Cosmos DB لاشتراك Azure الخاص بك
- تكوين مثيل Azure Key Vault
- إضافة نهج وصول إلى مثيل Azure Key Vault
- إنشاء مفتاح في Azure Key Vault
استخدام مدخل Microsoft Azure
عند إنشاء Azure API لحساب FHIR على مدخل Microsoft Azure، ستلاحظ خيار تكوين تشفير البيانات ضمن إعدادات قاعدة البيانات في علامة التبويب إعدادات إضافية. بشكل افتراضي، يتم تحديد خيار المفتاح المدار بواسطة الخدمة.
هام
يتوفر خيار تشفير البيانات فقط عند إنشاء واجهة برمجة تطبيقات Azure ل FHIR ولا يمكن تغييرها بعد ذلك. ومع ذلك، يمكنك عرض مفتاح التشفير وتحديثه إذا تم تحديد خيار المفتاح المدار من قبل العميل.
يمكنك اختيار المفتاح الخاص بك من KeyPicker:
يمكنك أيضا تحديد مفتاح Azure Key Vault هنا عن طريق تحديد خيار المفتاح المدار من قبل العميل.
يمكنك أيضا إدخال مفتاح URI كما هو موضح في ما يلي.
هام
تأكد من تعيين جميع أذونات Azure Key Vault بشكل مناسب. لمزيد من المعلومات، راجع إضافة نهج وصول إلى مثيل Azure Key Vault. بالإضافة إلى ذلك، تأكد من تمكين الحذف المبدئي في خصائص Key Vault. سيؤدي عدم إكمال هذه الخطوات إلى حدوث خطأ في التوزيع. لمزيد من المعلومات، راجع التحقق مما إذا تم تمكين الحذف المبدئي على خزنة المفاتيح وتمكين الحذف المبدئي.
إشعار
يتطلب استخدام المفاتيح المدارة من قبل العملاء في مناطق Azure جنوب البرازيل وشرق آسيا وجنوب شرق آسيا معرف تطبيق المؤسسة الذي أنشأته Microsoft. يمكنك طلب معرف تطبيق المؤسسة عن طريق إنشاء تذكرة دعم لمرة واحدة من خلال مدخل Microsoft Azure. بعد تلقي معرف التطبيق، اتبع الإرشادات لتسجيل التطبيق.
بالنسبة لحسابات FHIR الموجودة، يمكنك عرض خيار تشفير المفتاح (المفتاح المدار بواسطة الخدمة أو المفتاح المدار بواسطة العميل) في شفرة قاعدة البيانات كما يلي. لا يمكن تعديل خيار التكوين بمجرد تحديده. ومع ذلك، يمكنك تعديل المفتاح وتحديثه.
بالإضافة إلى ذلك، يمكنك إنشاء إصدار جديد من المفتاح المحدد، وبعد ذلك يتم تشفير بياناتك باستخدام الإصدار الجديد دون أي انقطاع في الخدمة. يمكنك أيضا إزالة الوصول إلى المفتاح لإزالة الوصول إلى البيانات. عند تعطيل المفتاح، ستؤدي الاستعلامات إلى حدوث خطأ. إذا تم إعادة تمكين المفتاح، فستنجح الاستعلامات مرة أخرى.
باستخدام Azure PowerShell
باستخدام URI مفتاح Azure Key Vault، يمكنك تكوين CMK باستخدام PowerShell عن طريق تشغيل أمر PowerShell التالي.
New-AzHealthcareApisService
-Name "myService"
-Kind "fhir-R4"
-ResourceGroupName "myResourceGroup"
-Location "westus2"
-CosmosKeyVaultKeyUri "https://<my-vault>.vault.azure.net/keys/<my-key>"
استخدام Azure CLI
كما هو الحال مع أسلوب PowerShell، يمكنك تكوين CMK عن طريق تمرير URI مفتاح Azure Key Vault ضمن المعلمة key-vault-key-uri
وتشغيل أمر CLI التالي.
az healthcareapis service create
--resource-group "myResourceGroup"
--resource-name "myResourceName"
--kind "fhir-R4"
--location "westus2"
--cosmos-db-configuration key-vault-key-uri="https://<my-vault>.vault.azure.net/keys/<my-key>"
استخدام قالب Azure Resource Manager
باستخدام URI مفتاح Azure Key Vault، يمكنك تكوين CMK عن طريق تمريره ضمن الخاصية keyVaultKeyUri في كائن الخصائص.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"services_myService_name": {
"defaultValue": "myService",
"type": "String"
}
},
"variables": {},
"resources": [
{
"type": "Microsoft.HealthcareApis/services",
"apiVersion": "2020-03-30",
"name": "[parameters('services_myService_name')]",
"location": "westus2",
"kind": "fhir-R4",
"properties": {
"accessPolicies": [],
"cosmosDbConfiguration": {
"offerThroughput": 400,
"keyVaultKeyUri": "https://<my-vault>.vault.azure.net/keys/<my-key>"
},
"authenticationConfiguration": {
"authority": "https://login.microsoftonline.com/72f988bf-86f1-41af-91ab-2d7cd011db47",
"audience": "[concat('https://', parameters('services_myService_name'), '.azurehealthcareapis.com')]",
"smartProxyEnabled": false
},
"corsConfiguration": {
"origins": [],
"headers": [],
"methods": [],
"maxAge": 0,
"allowCredentials": false
}
}
}
]
}
ويمكنك نشر القالب باستخدام البرنامج النصي PowerShell التالي.
$resourceGroupName = "myResourceGroup"
$accountName = "mycosmosaccount"
$accountLocation = "West US 2"
$keyVaultKeyUri = "https://<my-vault>.vault.azure.net/keys/<my-key>"
New-AzResourceGroupDeployment `
-ResourceGroupName $resourceGroupName `
-TemplateFile "deploy.json" `
-accountName $accountName `
-location $accountLocation `
-keyVaultKeyUri $keyVaultKeyUri
الخطوات التالية
في هذه المقالة، تعلمت كيفية تكوين المفاتيح التي يديرها العميل في حالة الراحة باستخدام مدخل Microsoft Azure وPowerShell وCLI وقالب Resource Manager. يمكنك الرجوع إلى قسم الأسئلة المتداولة حول Azure Cosmos DB للحصول على مزيد من المعلومات.
إشعار
FHIR® هي علامة تجارية مسجلة ل HL7 وتستخدم بإذن من HL7.