Ügyfél által kezelt kulcsok konfigurálása inaktív állapotban
Amikor új Azure API for FHIR-fiókot hoz létre, az adatok alapértelmezés szerint a Microsoft által felügyelt kulcsokkal lesznek titkosítva. Mostantól egy második titkosítási réteget is megadhat az adatokhoz saját, önállóan kiválasztott és felügyelt kulccsal.
Az Azure-ban ez általában egy titkosítási kulccsal történik az ügyfél Azure-Key Vault. Azure SQL, az Azure Storage és az Azure Cosmos DB néhány példa erre a képességre. Az Azure API for FHIR ezt az Azure Cosmos DB-támogatást használja. Fiók létrehozásakor megadhatja az Azure Key Vault kulcs URI-ját. Ezt a kulcsot a rendszer a db-fiók kiépítésekor továbbítja az Azure Cosmos DB-nek. A Fast Healthcare Interoperability Resources (FHIR®) kérése esetén az Azure Cosmos DB lekéri a kulcsot, és az adatok titkosítására/visszafejtésére használja.
Első lépésekhez tekintse meg az alábbi hivatkozásokat:
- Az Azure Cosmos DB erőforrás-szolgáltató regisztrálása az Azure-előfizetéshez
- Az Azure Key Vault-példány konfigurálása
- Hozzáférési szabályzat hozzáadása az Azure Key Vault-példányhoz
- Kulcs létrehozása az Azure Key Vault
Az Azure Portal használata
Amikor az Azure API for FHIR-fiókot Azure Portal hozza létre, a További beállítások lapon, az Adatbázis beállításai alatt láthatja az Adattitkosítás konfigurálása lehetőséget. Alapértelmezés szerint a szolgáltatás által felügyelt kulcs beállítás lesz kiválasztva.
Fontos
Az adattitkosítási lehetőség csak akkor érhető el, ha az Azure API for FHIR létrejön, és később nem módosítható. A titkosítási kulcsot azonban megtekintheti és frissítheti, ha az Ügyfél által felügyelt kulcs lehetőség van kiválasztva.
A kulcsot a KeyPickerből választhatja ki:
Az Azure Key Vault kulcsot itt is megadhatja az Ügyfél által felügyelt kulcs lehetőség kiválasztásával.
A kulcs URI-ját itt is megadhatja:
Fontos
Győződjön meg arról, hogy az Azure Key Vault minden engedélye megfelelően van beállítva. További információ: Hozzáférési szabályzat hozzáadása az Azure Key Vault-példányhoz. Emellett győződjön meg arról, hogy a helyreállítható törlés engedélyezve van a Key Vault tulajdonságaiban. Ha nem végzi el ezeket a lépéseket, üzembehelyezési hiba lép fel. További információ: Annak ellenőrzése, hogy a helyreállítható törlés engedélyezve van-e egy kulcstartón, és engedélyezi-e a helyreállítható törlést.
Megjegyzés
A dél-brazíliai, kelet-ázsiai és délkelet-ázsiai Azure-régiókban az ügyfél által felügyelt kulcsok használatához a Microsoft által létrehozott nagyvállalati alkalmazásazonosítóra van szükség. A Vállalati alkalmazásazonosító kéréséhez hozzon létre egy egyszeri támogatási jegyet a Azure Portal keresztül. Miután megkapta az alkalmazásazonosítót, kövesse az utasításokat az alkalmazás regisztrálásához.
Meglévő FHIR-fiókok esetén a kulcstitkosítási lehetőséget (szolgáltatás által felügyelt kulcs vagy ügyfél által felügyelt kulcs) az Adatbázis panelen tekintheti meg az alább látható módon. A konfigurációs beállítás a kijelölés után nem módosítható. A kulcsot azonban módosíthatja és frissítheti.
Emellett létrehozhatja a megadott kulcs új verzióját, amely után az adatok szolgáltatáskimaradás nélkül titkosítva lesznek az új verzióval. Az adatokhoz való hozzáférés eltávolításához a kulcshoz való hozzáférést is eltávolíthatja. Ha a kulcs le van tiltva, a lekérdezések hibát eredményeznek. Ha a kulcs újra engedélyezve van, a lekérdezések ismét sikeresek lesznek.
Az Azure PowerShell használata
Az Azure Key Vault kulcs URI-jával konfigurálhatja a CMK-t a PowerShell használatával az alábbi PowerShell-parancs futtatásával:
New-AzHealthcareApisService
-Name "myService"
-Kind "fhir-R4"
-ResourceGroupName "myResourceGroup"
-Location "westus2"
-CosmosKeyVaultKeyUri "https://<my-vault>.vault.azure.net/keys/<my-key>"
Az Azure parancssori felület használata
A PowerShell-metódushoz hasonlóan a CMK konfigurálásához adja át az Azure Key Vault kulcs URI-ját a key-vault-key-uri
paraméter alatt, és futtassa az alábbi CLI-parancsot:
az healthcareapis service create
--resource-group "myResourceGroup"
--resource-name "myResourceName"
--kind "fhir-R4"
--location "westus2"
--cosmos-db-configuration key-vault-key-uri="https://<my-vault>.vault.azure.net/keys/<my-key>"
Az Azure Resource Manager-sablon használata
Az Azure Key Vault kulcs URI-jával konfigurálhatja a CMK-t úgy, hogy átadja a keyVaultKeyUri tulajdonság alatt a properties objektumban.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"services_myService_name": {
"defaultValue": "myService",
"type": "String"
}
},
"variables": {},
"resources": [
{
"type": "Microsoft.HealthcareApis/services",
"apiVersion": "2020-03-30",
"name": "[parameters('services_myService_name')]",
"location": "westus2",
"kind": "fhir-R4",
"properties": {
"accessPolicies": [],
"cosmosDbConfiguration": {
"offerThroughput": 400,
"keyVaultKeyUri": "https://<my-vault>.vault.azure.net/keys/<my-key>"
},
"authenticationConfiguration": {
"authority": "https://login.microsoftonline.com/72f988bf-86f1-41af-91ab-2d7cd011db47",
"audience": "[concat('https://', parameters('services_myService_name'), '.azurehealthcareapis.com')]",
"smartProxyEnabled": false
},
"corsConfiguration": {
"origins": [],
"headers": [],
"methods": [],
"maxAge": 0,
"allowCredentials": false
}
}
}
]
}
A sablont a következő PowerShell-szkripttel helyezheti üzembe:
$resourceGroupName = "myResourceGroup"
$accountName = "mycosmosaccount"
$accountLocation = "West US 2"
$keyVaultKeyUri = "https://<my-vault>.vault.azure.net/keys/<my-key>"
New-AzResourceGroupDeployment `
-ResourceGroupName $resourceGroupName `
-TemplateFile "deploy.json" `
-accountName $accountName `
-location $accountLocation `
-keyVaultKeyUri $keyVaultKeyUri
Következő lépések
Ebből a cikkből megtudhatta, hogyan konfigurálhat ügyfél által felügyelt kulcsokat inaktív állapotban a Azure Portal, a PowerShell, a parancssori felület és Resource Manager sablon használatával. További információért tekintse meg az Azure Cosmos DB gyik szakaszát.
Az FHIR® a HL7 bejegyzett védjegye, és a HL7 engedélyével használják.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: