Ügyfél által kezelt kulcsok konfigurálása inaktív állapotban

Amikor új Azure API for FHIR-fiókot hoz létre, az adatok alapértelmezés szerint a Microsoft által felügyelt kulcsokkal lesznek titkosítva. Mostantól egy második titkosítási réteget is megadhat az adatokhoz saját, önállóan kiválasztott és felügyelt kulccsal.

Az Azure-ban ez általában egy titkosítási kulccsal történik az ügyfél Azure-Key Vault. Azure SQL, az Azure Storage és az Azure Cosmos DB néhány példa erre a képességre. Az Azure API for FHIR ezt az Azure Cosmos DB-támogatást használja. Fiók létrehozásakor megadhatja az Azure Key Vault kulcs URI-ját. Ezt a kulcsot a rendszer a db-fiók kiépítésekor továbbítja az Azure Cosmos DB-nek. A Fast Healthcare Interoperability Resources (FHIR®) kérése esetén az Azure Cosmos DB lekéri a kulcsot, és az adatok titkosítására/visszafejtésére használja.

Első lépésekhez tekintse meg az alábbi hivatkozásokat:

• Az Azure Cosmos DB erőforrás-szolgáltató regisztrálása az Azure-előfizetéshez
• Az Azure Key Vault-példány konfigurálása
• Hozzáférési szabályzat hozzáadása az Azure Key Vault-példányhoz
• Kulcs létrehozása az Azure Key Vault

Az Azure Portal használata

Amikor az Azure API for FHIR-fiókot Azure Portal hozza létre, a További beállítások lapon, az Adatbázis beállításai alatt láthatja az Adattitkosítás konfigurálása lehetőséget. Alapértelmezés szerint a szolgáltatás által felügyelt kulcs beállítás lesz kiválasztva.

Fontos

Az adattitkosítási lehetőség csak akkor érhető el, ha az Azure API for FHIR létrejön, és később nem módosítható. A titkosítási kulcsot azonban megtekintheti és frissítheti, ha az Ügyfél által felügyelt kulcs lehetőség van kiválasztva.

A kulcsot a KeyPickerből választhatja ki:

Az Azure Key Vault kulcsot itt is megadhatja az Ügyfél által felügyelt kulcs lehetőség kiválasztásával.

A kulcs URI-ját itt is megadhatja:

Fontos

Győződjön meg arról, hogy az Azure Key Vault minden engedélye megfelelően van beállítva. További információ: Hozzáférési szabályzat hozzáadása az Azure Key Vault-példányhoz. Emellett győződjön meg arról, hogy a helyreállítható törlés engedélyezve van a Key Vault tulajdonságaiban. Ha nem végzi el ezeket a lépéseket, üzembehelyezési hiba lép fel. További információ: Annak ellenőrzése, hogy a helyreállítható törlés engedélyezve van-e egy kulcstartón, és engedélyezi-e a helyreállítható törlést.

Megjegyzés

A dél-brazíliai, kelet-ázsiai és délkelet-ázsiai Azure-régiókban az ügyfél által felügyelt kulcsok használatához a Microsoft által létrehozott nagyvállalati alkalmazásazonosítóra van szükség. A Vállalati alkalmazásazonosító kéréséhez hozzon létre egy egyszeri támogatási jegyet a Azure Portal keresztül. Miután megkapta az alkalmazásazonosítót, kövesse az utasításokat az alkalmazás regisztrálásához.

Meglévő FHIR-fiókok esetén a kulcstitkosítási lehetőséget (szolgáltatás által felügyelt kulcs vagy ügyfél által felügyelt kulcs) az Adatbázis panelen tekintheti meg az alább látható módon. A konfigurációs beállítás a kijelölés után nem módosítható. A kulcsot azonban módosíthatja és frissítheti.

Emellett létrehozhatja a megadott kulcs új verzióját, amely után az adatok szolgáltatáskimaradás nélkül titkosítva lesznek az új verzióval. Az adatokhoz való hozzáférés eltávolításához a kulcshoz való hozzáférést is eltávolíthatja. Ha a kulcs le van tiltva, a lekérdezések hibát eredményeznek. Ha a kulcs újra engedélyezve van, a lekérdezések ismét sikeresek lesznek.

Az Azure PowerShell használata

Az Azure Key Vault kulcs URI-jával konfigurálhatja a CMK-t a PowerShell használatával az alábbi PowerShell-parancs futtatásával:

New-AzHealthcareApisService
    -Name "myService"
    -Kind "fhir-R4"
    -ResourceGroupName "myResourceGroup"
    -Location "westus2"
    -CosmosKeyVaultKeyUri "https://<my-vault>.vault.azure.net/keys/<my-key>"

Az Azure parancssori felület használata

A PowerShell-metódushoz hasonlóan a CMK konfigurálásához adja át az Azure Key Vault kulcs URI-ját a key-vault-key-uri paraméter alatt, és futtassa az alábbi CLI-parancsot:

az healthcareapis service create
    --resource-group "myResourceGroup"
    --resource-name "myResourceName"
    --kind "fhir-R4"
    --location "westus2"
    --cosmos-db-configuration key-vault-key-uri="https://<my-vault>.vault.azure.net/keys/<my-key>"

Az Azure Resource Manager-sablon használata

Az Azure Key Vault kulcs URI-jával konfigurálhatja a CMK-t úgy, hogy átadja a keyVaultKeyUri tulajdonság alatt a properties objektumban.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "services_myService_name": {
            "defaultValue": "myService",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "Microsoft.HealthcareApis/services",
            "apiVersion": "2020-03-30",
            "name": "[parameters('services_myService_name')]",
            "location": "westus2",
            "kind": "fhir-R4",
            "properties": {
                "accessPolicies": [],
                "cosmosDbConfiguration": {
                    "offerThroughput": 400,
                    "keyVaultKeyUri": "https://<my-vault>.vault.azure.net/keys/<my-key>"
                },
                "authenticationConfiguration": {
                    "authority": "https://login.microsoftonline.com/72f988bf-86f1-41af-91ab-2d7cd011db47",
                    "audience": "[concat('https://', parameters('services_myService_name'), '.azurehealthcareapis.com')]",
                    "smartProxyEnabled": false
                },
                "corsConfiguration": {
                    "origins": [],
                    "headers": [],
                    "methods": [],
                    "maxAge": 0,
                    "allowCredentials": false
                }
            }
        }
    ]
}

A sablont a következő PowerShell-szkripttel helyezheti üzembe:

$resourceGroupName = "myResourceGroup"
$accountName = "mycosmosaccount"
$accountLocation = "West US 2"
$keyVaultKeyUri = "https://<my-vault>.vault.azure.net/keys/<my-key>"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile "deploy.json" `
    -accountName $accountName `
    -location $accountLocation `
    -keyVaultKeyUri $keyVaultKeyUri

Következő lépések

Ebből a cikkből megtudhatta, hogyan konfigurálhat ügyfél által felügyelt kulcsokat inaktív állapotban a Azure Portal, a PowerShell, a parancssori felület és Resource Manager sablon használatával. További információért tekintse meg az Azure Cosmos DB gyik szakaszát.

Azure Cosmos DB: a CMK beállítása

Az FHIR® a HL7 bejegyzett védjegye, és a HL7 engedélyével használják.