Konfigurace neaktivních uložených klíčů spravovaných zákazníkem
Když vytvoříte nový účet Azure API for FHIR, vaše data se ve výchozím nastavení šifrují pomocí klíčů spravovaných Microsoftem. Teď můžete přidat další úroveň šifrování dat s použitím vlastního klíče, který sami zvolíte a spravujete.
V Azure se to obvykle provádí pomocí šifrovacího klíče v azure Key Vault zákazníka. Azure SQL, Azure Storage a Azure Cosmos DB jsou některé příklady, které tuto funkci dnes poskytují. Azure API for FHIR využívá tuto podporu ze služby Azure Cosmos DB. Při vytváření účtu budete mít možnost zadat identifikátor URI klíče Key Vault Azure. Tento klíč se předá do služby Azure Cosmos DB při zřízení účtu databáze. Při vytvoření požadavku Fast Healthcare Interoperability Resources (FHIR®) služba Azure Cosmos DB načte váš klíč a použije ho k šifrování nebo dešifrování dat.
Pokud chcete začít, použijte následující odkazy:
- Registrace poskytovatele prostředků Azure Cosmos DB pro vaše předplatné Azure
- Konfigurace instance Azure Key Vault
- Přidání zásad přístupu do instance Azure Key Vault
- Vygenerování klíče v Azure Key Vault
Pomocí webu Azure Portal
Při vytváření účtu Azure API for FHIR na Azure Portal si všimnete možnosti konfigurace Šifrování dat v části Nastavení databáze na kartě Další nastavení. Ve výchozím nastavení bude vybraná možnost klíč spravovaný službou.
Důležité
Možnost šifrování dat je k dispozici pouze při vytvoření rozhraní Azure API for FHIR a není možné ji potom změnit. Šifrovací klíč ale můžete zobrazit a aktualizovat, pokud je vybraná možnost Klíč spravovaný zákazníkem .
Klíč můžete zvolit v klíči KeyPicker:
Můžete zde také zadat klíč Key Vault Azure tak, že vyberete možnost Klíč spravovaný zákazníkem.
Sem můžete také zadat identifikátor URI klíče:
Důležité
Ujistěte se, že jsou všechna oprávnění pro Azure Key Vault správně nastavená. Další informace najdete v tématu Přidání zásad přístupu do instance Azure Key Vault. Dále se ujistěte, že je ve vlastnostech Key Vault povolené obnovitelné odstranění. Nedokončování těchto kroků způsobí chybu nasazení. Další informace najdete v tématu Ověření, jestli je v trezoru klíčů povolené obnovitelné odstranění, a povolení obnovitelného odstranění.
Poznámka
Použití klíčů spravovaných zákazníkem v oblastech Azure Brazílie – jih, Východní Asie a Jihovýchodní Asie vyžaduje ID podnikové aplikace vygenerované Microsoftem. ID podnikové aplikace můžete požádat vytvořením jednorázového lístku podpory prostřednictvím Azure Portal. Po přijetí ID aplikace postupujte podle pokynů k registraci aplikace.
U existujících účtů FHIR můžete zobrazit výběr šifrování klíče (klíč spravovaný službou nebo klíč spravovaný zákazníkem) v okně Databáze , jak je znázorněno níže. Možnost konfigurace nejde po výběru změnit. Klíč ale můžete upravit a aktualizovat.
Kromě toho můžete vytvořit novou verzi zadaného klíče, po které se vaše data zašifrují pomocí nové verze bez přerušení služby. Přístup ke klíči můžete také odebrat odebráním přístupu ke klíči. Když je klíč zakázaný, výsledkem dotazů bude chyba. Pokud se klíč znovu povolí, dotazy budou znovu úspěšné.
Použití Azure Powershell
Pomocí identifikátoru URI klíče azure Key Vault můžete klíč cmk nakonfigurovat pomocí PowerShellu spuštěním následujícího příkazu PowerShellu:
New-AzHealthcareApisService
-Name "myService"
-Kind "fhir-R4"
-ResourceGroupName "myResourceGroup"
-Location "westus2"
-CosmosKeyVaultKeyUri "https://<my-vault>.vault.azure.net/keys/<my-key>"
Použití Azure CLI
Stejně jako u metody PowerShellu můžete cmk nakonfigurovat předáním identifikátoru URI klíče azure Key Vault pod parametrem key-vault-key-uri a spuštěním následujícího příkazu rozhraní příkazového řádku:
az healthcareapis service create
--resource-group "myResourceGroup"
--resource-name "myResourceName"
--kind "fhir-R4"
--location "westus2"
--cosmos-db-configuration key-vault-key-uri="https://<my-vault>.vault.azure.net/keys/<my-key>"
Použití šablony Azure Resource Manager
Pomocí identifikátoru URI klíče Azure Key Vault můžete klíč CMK nakonfigurovat tak, že ho předáte pod vlastností keyVaultKeyUri v objektu properties.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"services_myService_name": {
"defaultValue": "myService",
"type": "String"
}
},
"variables": {},
"resources": [
{
"type": "Microsoft.HealthcareApis/services",
"apiVersion": "2020-03-30",
"name": "[parameters('services_myService_name')]",
"location": "westus2",
"kind": "fhir-R4",
"properties": {
"accessPolicies": [],
"cosmosDbConfiguration": {
"offerThroughput": 400,
"keyVaultKeyUri": "https://<my-vault>.vault.azure.net/keys/<my-key>"
},
"authenticationConfiguration": {
"authority": "https://login.microsoftonline.com/72f988bf-86f1-41af-91ab-2d7cd011db47",
"audience": "[concat('https://', parameters('services_myService_name'), '.azurehealthcareapis.com')]",
"smartProxyEnabled": false
},
"corsConfiguration": {
"origins": [],
"headers": [],
"methods": [],
"maxAge": 0,
"allowCredentials": false
}
}
}
]
}
Šablonu můžete nasadit pomocí následujícího skriptu PowerShellu:
$resourceGroupName = "myResourceGroup"
$accountName = "mycosmosaccount"
$accountLocation = "West US 2"
$keyVaultKeyUri = "https://<my-vault>.vault.azure.net/keys/<my-key>"
New-AzResourceGroupDeployment `
-ResourceGroupName $resourceGroupName `
-TemplateFile "deploy.json" `
-accountName $accountName `
-location $accountLocation `
-keyVaultKeyUri $keyVaultKeyUri
Další kroky
V tomto článku jste zjistili, jak nakonfigurovat neaktivní neaktivní klíče spravované zákazníkem pomocí Azure Portal, PowerShellu, rozhraní příkazového řádku a šablony Resource Manager. Další informace najdete v části Nejčastější dotazy ke službě Azure Cosmos DB.
FHIR® je registrovaná ochranná známka HL7 a používá se s povolením HL7.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro