次の方法で共有

プライベート リンクを構成する

  • [アーティクル]

重要

Azure API for FHIR は、2026 年 9 月 30 日に廃止されます。 移行戦略に従って、その日までに Azure Health Data Services FHIR® サービスに切り替えてください。 Azure API for FHIR が廃止されたため、2025 年 4 月 1 日以降、新しいデプロイは許可されません。 Azure Health Data Services FHIR サービス は、お客様が他の Azure サービスへの統合を使用して、FHIR、DICOM、および MedTech サービスを管理できるようにする、進化したバージョンの Azure API for FHIR です。

プライベート リンクを使用すると、プライベート エンドポイント経由で Azure API for FHIR® にアクセスできます。これは、仮想ネットワークのプライベート IP アドレスを使用してプライベートかつ安全に接続するネットワーク インターフェイスです。 プライベート リンクを使用すると、パブリック ドメイン ネーム システム (DNS) を経由することなく、ファースト パーティ サービスとして仮想ネットワークから安全にサービスにアクセスできます。 この記事では、Azure API for FHIR のプライベート エンドポイントを作成、テスト、および管理する方法について説明します。

Note

Private Link を有効にすると、Private Link または Azure API for FHIR も、あるリソース グループまたはサブスクリプションから別のリソース グループまたはサブスクリプションに移動できなくなります。 移動するには、まずプライベート リンクを削除し、次に Azure API for FHIR を移動します。 移動が完了したら、新しいプライベート リンクを作成します。 Private Link を削除する前に、潜在的なセキュリティの問題を評価します。

Azure API for FHIR の監査ログとメトリックのエクスポートが有効になっている場合は、ポータルから [診断設定] を使用してエクスポート設定を更新します。

前提条件

プライベート エンドポイントを作成する前に、最初に Azure リソースを作成する必要があります。

  • リソース グループ – 仮想ネットワークとプライベート エンドポイントを含む Azure リソース グループ。
  • Azure API for FHIR – プライベート エンドポイントの背後に配置する FHIR リソース。
  • 仮想ネットワーク (VNet) – クライアント サービスとプライベート エンドポイントが接続される VNet。

詳細については、「Private Link のドキュメント」を参照してください。

プライベート エンドポイントの作成

プライベート エンドポイントを作成するには、FHIR リソースに対するロールベースのアクセス制御 (RBAC) アクセス許可を持つ開発者が、Azure portal、 Azure PowerShellAzure CLI を使用できます。 この記事では、Azure portal の使用手順について説明します。 プライベート DNS ゾーンの作成と構成が自動化されるため、Azure portal をお勧めします。 詳細については、Private Link のクイック スタート ガイドを参照してください。

プライベート エンドポイントを作成するには、2 つの方法があります。 自動承認フローを使用すると、FHIR リソースに対する RBAC アクセス許可を持つユーザーは、承認を受ける必要なく、プライベート エンドポイントを作成できます。 手動承認フローを使用すると、FHIR リソースに対するアクセス許可を持たないユーザーは、プライベート エンドポイントを FHIR リソースの所有者に承認してもらうよう要求できます。

Note

承認されたプライベート エンドポイントが Azure API for FHIR に対して作成されると、そのエンドポイントへのパブリック トラフィックは自動的に無効になります。

自動承認

新しいプライベート エンドポイントのリージョンが、使用している仮想ネットワークのリージョンと同じであることを確認します。 FHIR リソースのリージョンは異なっていてもかまいません。

Azure portal の [基本] タブ

[リソースの種類] には、Microsoft.HealthcareApis/services を検索して選択します。 [リソース] には、FHIR リソースを選択します。 ターゲット サブリソースの場合は、 FHIR を選択します。

Azure portal の [リソース] タブ

既存のプライベート DNS ゾーンを設定していない場合は、(新規)privatelink.azurehealthcareapis.comを選択します。 プライベート DNS ゾーンが既に構成されている場合は、一覧からそれを選択できます。 これは、privatelink.azurehealthcareapis.com の形式である必要があります。

Azure Portal の [構成] タブ

デプロイが完了したら、[プライベート エンドポイント接続] タブに戻ります。ここでは、接続状態が "承認済み" と表示されます。

手動承認

手動承認の場合は、[リソース] の下の 2 つ目のオプションである [リソース ID またはエイリアスを使って Azure リソースに接続します] を選択します。 [ターゲット サブリソース] に、[自動承認] に「fhir」と入力します。

手動承認

デプロイが完了したら、[プライベート エンドポイント接続] タブに戻ります。ここでは、接続の承認、拒否、または削除を行うことができます。

[オプション]

VNet ピアリング

Private Link を構成すると、同じ VNet 内の FHIR サーバー、または FHIR サーバーの VNet にピアリングされている別の VNet にアクセスできます。 VNet ピアリングと Private Link DNS ゾーンの構成を構成するには、次の手順を使用します。

VNet ピアリングを構成する

ポータルから、または PowerShell、CLI スクリプト、Azure Resource Manager (ARM) テンプレートを使用して、VNet ピアリングを構成できます。 2 つ目の VNet は、同じサブスクリプションでも異なるサブスクリプションでも、同じリージョンでも異なるリージョンでもかまいません。 Network 共同作成者ロールを付与していることを確認します。 VNet ピアリングの詳細については、「 仮想ネットワーク ピアリングの作成」を参照してください。

Azure portal で、FHIR サーバーのリソース グループを選択します。 privatelink.azurehealthcareapis.com、プライベート DNS ゾーンを選択して開きます。 settingsセクションの下にある 仮想ネットワーク リンク選択します。 [追加] ボタンを選択して、プライベート DNS ゾーンに 2 つ目の VNet を追加します。 任意のリンク名を入力し、サブスクリプションと作成した VNet を選択します。 必要に応じて、2 番目の VNet のリソース ID を入力できます。 有効な自動登録を選択すると、2 番目の VNet に接続されている VM の DNS レコードが自動的に追加されます。 VNet リンクを削除すると、VM の DNS レコードも削除されます。

プライベート リンク DNS ゾーンがプライベート エンドポイント IP アドレスをリソースの完全修飾ドメイン名 (FQDN) (FHIR サーバーなど) に解決する方法の詳細については、「 Azure プライベート エンドポイントの DNS 構成」を参照してください。

VNet リンクを追加します。

必要に応じてさらに VNet リンクを追加し、ポータルから追加したすべての VNet リンクを表示できます。

Private Link VNet リンク。

[概要] ブレードでは、FHIR サーバーとピアリングされた仮想ネットワークに接続されている VM のプライベート IP アドレスを表示できます。

Private Link FHIR と VM プライベート IP アドレス。

マネージド プライベート エンドポイント

表示

プライベート エンドポイントとそれに関連付けられているネットワーク インターフェイス コントローラー (NIC) は、それらが作成されたリソース グループから Azure portal で確認できます。

リソースでの表示

削除

プライベート エンドポイントは、Overview ブレードから、または Networking プライベート エンドポイント接続 タブの下にある Remove オプションを選択することによってのみ削除できます。Remove を選択すると、プライベート エンドポイントと関連付けられている NIC が削除されます。 FHIR リソースへのすべてのプライベート エンドポイントとパブリック ネットワークを削除すると、アクセスは無効になり、FHIR サーバーに対する要求は行われません。

プライベート エンドポイントの削除

パブリック ネットワーク アクセスを無効にした後で FHIR サーバーがパブリック トラフィックを受信しないようにするには、コンピューターからサーバーの /metadata エンドポイントを選択します。 "403 Forbidden" (403 許可されていません) という応答を受け取るはずです。

Note

パブリック ネットワーク アクセス フラグを更新してからパブリック トラフィックがブロックされるまでに、最大 5 分かかることがあります。

VM を作成して使用する

プライベート エンドポイントからサーバーへトラフィックが送信されることを確認するには、次のようにします。

  1. プライベート エンドポイントが構成されている仮想ネットワークとサブネットに接続されている仮想マシン (VM) を作成します。 VM からのトラフィックで確実にプライベート ネットワークのみが使用されるようにするには、ネットワーク セキュリティ グループ (NSG) ルールを使用して送信インターネット トラフィックを無効にします。
  2. RDP で VM に接続します。
  3. VM から FHIR サーバーの /metadata エンドポイントにアクセスします。 応答として機能ステートメントを受け取るはずです。

nslookup を使用する

nslookup ツールを使用して接続を確認できます。 プライベート リンクが正しく構成されている場合は、FHIR サーバーの URL が有効なプライベート IP アドレスに解決されていることがわかります。 IP アドレス 168.63.129.16 は、Azure で使用される仮想パブリック IP アドレスであることに注意してください。 詳しくは、「IP アドレス 168.63.129.16 とは」を参照してください。

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    fhirserverxxx.privatelink.azurehealthcareapis.com
Address:  172.21.0.4
Aliases:  fhirserverxxx.azurehealthcareapis.com

プライベート リンクが正しく構成されていない場合は、代わりにパブリック IP アドレスと、Traffic Manager エンドポイントを含むいくつかのエイリアスが表示されることがあります。 これは、プライベート リンク DNS ゾーンが FHIR サーバーの有効なプライベート IP アドレスに解決できないことを示します。 VNet ピアリングが構成されている場合、考えられる理由の 1 つは、2 つ目のピアリングされた VNet がプライベート リンク DNS ゾーンに追加されていないことです。 その結果、FHIR サーバーの /metadata エンドポイントにアクセスしようとすると、HTTP エラー 403 "xxx へのアクセスが拒否されました" が表示されます。

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    xxx.cloudapp.azure.com
Address:  52.xxx.xxx.xxx
Aliases:  fhirserverxxx.azurehealthcareapis.com
          fhirserverxxx.privatelink.azurehealthcareapis.com
          xxx.trafficmanager.net

詳細については、「 Azure Private Link の接続に関する問題をトラブルシューティングするを参照してください。

次のステップ

この記事では、プライベート リンクと VNet ピアリングを構成する方法について説明しました。 また、プライベート リンクと VNet 構成のトラブルシューティング方法についても学習しました。

プライベート リンクのセットアップに基づき、アプリケーションの登録の詳細については、次を参照してください。

Note

FHIR® は HL7 の登録商標であり、HL7 の許可を得て使用しています。