Door de klant beheerde sleutels at rest configureren

Belangrijk

Azure API for FHIR wordt op 30 september 2026 buiten gebruik gesteld. Volg de migratiestrategieën om op die datum over te stappen naar de FHIR-service® van Azure Health Data Services. Vanwege de buitengebruikstelling van Azure API for FHIR zijn nieuwe implementaties vanaf 1 april 2025 niet toegestaan. De FHIR-service van Azure Health Data Services is de ontwikkelde versie van Azure API for FHIR waarmee klanten FHIR-, DICOM- en MedTech-services kunnen beheren met integraties in andere Azure-services.

Wanneer u een nieuw Azure API for FHIR-account® maakt, worden uw gegevens standaard versleuteld met door Microsoft beheerde sleutels. U kunt nu een tweede versleutelingslaag voor de gegevens toevoegen met behulp van een sleutel die u zelf kiest en beheert.

In Azure wordt dit meestal bereikt met behulp van een versleutelingssleutel in de Azure Key Vault van de klant. Azure SQL, Azure Storage en Azure Cosmos DB zijn enkele voorbeelden die deze mogelijkheid bieden. Azure API for FHIR maakt gebruik van deze ondersteuning van Azure Cosmos DB. Wanneer u een account maakt, hebt u de optie om een Azure Key Vault-sleutel-URI op te geven. Deze sleutel wordt doorgegeven aan Azure Cosmos DB wanneer het DB-account is ingericht. Wanneer een FHIR-aanvraag (Fast Healthcare Interoperability Resources) wordt ingediend, haalt Azure Cosmos DB uw sleutel op en gebruikt deze om de gegevens te versleutelen/ontsleutelen.

Raadpleeg de volgende koppelingen om aan de slag te gaan:

• De Azure Cosmos DB-resourceprovider registreren voor uw Azure-abonnement
• Uw Azure Key Vault-exemplaar configureren
• Een toegangsbeleid toevoegen aan uw Azure Key Vault-exemplaar
• Een sleutel genereren in Azure Key Vault

Azure-portal gebruiken

Wanneer u uw Azure API for FHIR-account maakt in Azure Portal, ziet u een configuratieoptie voor gegevensversleuteling onder de database-instellingen op het tabblad Aanvullende instellingen . Standaard is de optie voor de door de service beheerde sleutel geselecteerd.

Belangrijk

De optie voor gegevensversleuteling is alleen beschikbaar wanneer de Azure API for FHIR wordt gemaakt en kan daarna niet meer worden gewijzigd. U kunt de versleutelingssleutel echter bekijken en bijwerken als de optie door de klant beheerde sleutel is geselecteerd.

U kunt uw sleutel kiezen in de KeyPicker:

U kunt hier ook uw Azure Key Vault-sleutel opgeven door de optie Door de klant beheerde sleutel te selecteren.

U kunt ook de sleutel-URI invoeren, zoals wordt weergegeven in het volgende.

Belangrijk

Zorg ervoor dat alle machtigingen voor Azure Key Vault juist zijn ingesteld. Zie Een toegangsbeleid toevoegen aan uw Azure Key Vault-exemplaar voor meer informatie. Zorg er bovendien voor dat voorlopig verwijderen is ingeschakeld in de eigenschappen van de Sleutelkluis. Als u deze stappen niet voltooit, treedt er een implementatiefout op. Zie Controleren of voorlopig verwijderen is ingeschakeld in een sleutelkluis en voorlopig verwijderen inschakelen voor meer informatie.

Notitie

Voor het gebruik van door de klant beheerde sleutels in de Azure-regio's Brazilië - zuid, Oost-Azië en Azië - zuidoost is een ondernemingstoepassings-id vereist die door Microsoft wordt gegenereerd. U kunt een ondernemingstoepassings-id aanvragen door een eenmalig ondersteuningsticket te maken via Azure Portal. Nadat u de toepassings-id hebt ontvangen, volgt u de instructies om de toepassing te registreren.

Voor bestaande FHIR-accounts kunt u de keuze voor sleutelversleuteling (door de service beheerde sleutel of door de klant beheerde sleutel) als volgt bekijken op de blade Database . De configuratieoptie kan niet worden gewijzigd zodra deze is geselecteerd. U kunt uw sleutel echter wel wijzigen en bijwerken.

Daarnaast kunt u een nieuwe versie van de opgegeven sleutel maken, waarna uw gegevens zonder onderbreking van de service worden versleuteld met de nieuwe versie. U kunt ook toegang tot de sleutel verwijderen om de toegang tot de gegevens te verwijderen. Wanneer de sleutel is uitgeschakeld, resulteren query's in een fout. Als de sleutel opnieuw is ingeschakeld, slagen query's opnieuw.

Azure PowerShell gebruiken

Met uw Azure Key Vault-sleutel-URI kunt u CMK configureren met behulp van PowerShell door de volgende PowerShell-opdracht uit te voeren.

New-AzHealthcareApisService
    -Name "myService"
    -Kind "fhir-R4"
    -ResourceGroupName "myResourceGroup"
    -Location "westus2"
    -CosmosKeyVaultKeyUri "https://<my-vault>.vault.azure.net/keys/<my-key>"

Azure CLI gebruiken

Net als bij de PowerShell-methode kunt u CMK configureren door uw Azure Key Vault-sleutel-URI door te geven onder de key-vault-key-uri parameter en de volgende CLI-opdracht uit te voeren.

az healthcareapis service create
    --resource-group "myResourceGroup"
    --resource-name "myResourceName"
    --kind "fhir-R4"
    --location "westus2"
    --cosmos-db-configuration key-vault-key-uri="https://<my-vault>.vault.azure.net/keys/<my-key>"

Azure Resource Manager-sjabloon gebruiken

Met uw Azure Key Vault-sleutel-URI kunt u CMK configureren door deze door te geven onder de eigenschap keyVaultKeyUri in het eigenschappenobject .

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "services_myService_name": {
            "defaultValue": "myService",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "Microsoft.HealthcareApis/services",
            "apiVersion": "2020-03-30",
            "name": "[parameters('services_myService_name')]",
            "location": "westus2",
            "kind": "fhir-R4",
            "properties": {
                "accessPolicies": [],
                "cosmosDbConfiguration": {
                    "offerThroughput": 400,
                    "keyVaultKeyUri": "https://<my-vault>.vault.azure.net/keys/<my-key>"
                },
                "authenticationConfiguration": {
                    "authority": "https://login.microsoftonline.com/72f988bf-86f1-41af-91ab-2d7cd011db47",
                    "audience": "[concat('https://', parameters('services_myService_name'), '.azurehealthcareapis.com')]",
                    "smartProxyEnabled": false
                },
                "corsConfiguration": {
                    "origins": [],
                    "headers": [],
                    "methods": [],
                    "maxAge": 0,
                    "allowCredentials": false
                }
            }
        }
    ]
}

En u kunt de sjabloon implementeren met het volgende PowerShell-script.

$resourceGroupName = "myResourceGroup"
$accountName = "mycosmosaccount"
$accountLocation = "West US 2"
$keyVaultKeyUri = "https://<my-vault>.vault.azure.net/keys/<my-key>"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile "deploy.json" `
    -accountName $accountName `
    -location $accountLocation `
    -keyVaultKeyUri $keyVaultKeyUri

Volgende stappen

In dit artikel hebt u geleerd hoe u door de klant beheerde sleutels at rest configureert met behulp van de Azure-portal, PowerShell, CLI en Resource Manager-sjabloon. Raadpleeg de sectie Veelgestelde vragen over Azure Cosmos DB voor meer informatie.

Azure Cosmos DB: CMK instellen

Notitie

FHIR® is een geregistreerd handelsmerk van HL7 en wordt gebruikt met de machtiging HL7.