Door de klant beheerde sleutels in rust configureren

Wanneer u een nieuwe Azure API for FHIR-account maakt, worden uw gegevens standaard versleuteld met door Microsoft beheerde sleutels. U kunt nu een tweede laag versleuteling voor de gegevens toevoegen met behulp van uw eigen sleutel die u zelf kiest en beheert.

In Azure wordt dit meestal bereikt met behulp van een versleutelingssleutel in de Azure Key Vault van de klant. Azure SQL, Azure Storage en Azure Cosmos DB zijn enkele voorbeelden die deze mogelijkheid bieden. Azure API for FHIR maakt gebruik van deze ondersteuning van Azure Cosmos DB. Wanneer u een account maakt, hebt u de mogelijkheid om een Azure Key Vault sleutel-URI op te geven. Deze sleutel wordt doorgegeven aan Azure Cosmos DB wanneer het DB-account wordt ingericht. Wanneer een FHIR-aanvraag® (Fast Healthcare Interoperability Resources) wordt ingediend, haalt Azure Cosmos DB uw sleutel op en gebruikt deze om de gegevens te versleutelen/ontsleutelen.

Raadpleeg de volgende koppelingen om aan de slag te gaan:

• De Azure Cosmos DB-resourceprovider registreren voor uw Azure-abonnement
• Uw Azure Key Vault-exemplaar configureren
• Een toegangsbeleid toevoegen aan uw Azure Key Vault-exemplaar
• Een sleutel genereren in Azure Key Vault

Azure Portal gebruiken

Wanneer u uw Azure API for FHIR-account maakt op Azure Portal, ziet u de optie Gegevensversleutelingsconfiguratie onder de database-instellingen op het tabblad Aanvullende instellingen. Standaard wordt de optie voor de door de service beheerde sleutel geselecteerd.

Belangrijk

De optie voor gegevensversleuteling is alleen beschikbaar wanneer de Azure API for FHIR wordt gemaakt en kan daarna niet worden gewijzigd. U kunt de versleutelingssleutel echter weergeven en bijwerken als de optie Door de klant beheerde sleutel is geselecteerd.

U kunt uw sleutel kiezen in de KeyPicker:

U kunt hier ook uw Azure Key Vault-sleutel opgeven door de optie Door de klant beheerde sleutel te selecteren.

U kunt hier ook de sleutel-URI invoeren:

Belangrijk

Zorg ervoor dat alle machtigingen voor Azure Key Vault juist zijn ingesteld. Zie Een toegangsbeleid toevoegen aan uw Azure Key Vault-exemplaar voor meer informatie. Zorg er bovendien voor dat voorlopig verwijderen is ingeschakeld in de eigenschappen van de Key Vault. Als u deze stappen niet voltooit, resulteert dit in een implementatiefout. Zie Controleren of voorlopig verwijderen is ingeschakeld voor een sleutelkluis en voorlopig verwijderen inschakelen voor meer informatie.

Notitie

Voor het gebruik van door de klant beheerde sleutels in de Azure-regio's Brazilië - zuid, Azië - oost en Azië - zuidoost is een ondernemingstoepassings-id vereist die door Microsoft is gegenereerd. U kunt de ondernemingstoepassings-id aanvragen door een eenmalig ondersteuningsticket te maken via de Azure Portal. Nadat u de toepassings-id hebt ontvangen, volgt u de instructies om de toepassing te registreren.

Voor bestaande FHIR-accounts kunt u de keuze voor sleutelversleuteling (door de service beheerde sleutel of door de klant beheerde sleutel) weergeven op de blade Database , zoals hieronder wordt weergegeven. De configuratieoptie kan niet worden gewijzigd nadat deze is geselecteerd. U kunt uw sleutel echter wel wijzigen en bijwerken.

Daarnaast kunt u een nieuwe versie van de opgegeven sleutel maken, waarna uw gegevens worden versleuteld met de nieuwe versie zonder onderbreking van de service. U kunt ook toegang tot de sleutel verwijderen om de toegang tot de gegevens te verwijderen. Wanneer de sleutel is uitgeschakeld, resulteren query's in een fout. Als de sleutel opnieuw wordt ingeschakeld, worden query's opnieuw uitgevoerd.

Azure PowerShell gebruiken

Met uw Azure Key Vault sleutel-URI kunt u CMK configureren met behulp van PowerShell door de onderstaande PowerShell-opdracht uit te voeren:

New-AzHealthcareApisService
    -Name "myService"
    -Kind "fhir-R4"
    -ResourceGroupName "myResourceGroup"
    -Location "westus2"
    -CosmosKeyVaultKeyUri "https://<my-vault>.vault.azure.net/keys/<my-key>"

Azure CLI gebruiken

Net als bij de PowerShell-methode kunt u CMK configureren door uw Azure Key Vault sleutel-URI door te geven onder de key-vault-key-uri parameter en de onderstaande CLI-opdracht uit te voeren:

az healthcareapis service create
    --resource-group "myResourceGroup"
    --resource-name "myResourceName"
    --kind "fhir-R4"
    --location "westus2"
    --cosmos-db-configuration key-vault-key-uri="https://<my-vault>.vault.azure.net/keys/<my-key>"

Azure Resource Manager-sjabloon gebruiken

Met uw Azure Key Vault sleutel-URI kunt u CMK configureren door deze door te geven onder de eigenschap keyVaultKeyUri in het eigenschappenobject.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "services_myService_name": {
            "defaultValue": "myService",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "Microsoft.HealthcareApis/services",
            "apiVersion": "2020-03-30",
            "name": "[parameters('services_myService_name')]",
            "location": "westus2",
            "kind": "fhir-R4",
            "properties": {
                "accessPolicies": [],
                "cosmosDbConfiguration": {
                    "offerThroughput": 400,
                    "keyVaultKeyUri": "https://<my-vault>.vault.azure.net/keys/<my-key>"
                },
                "authenticationConfiguration": {
                    "authority": "https://login.microsoftonline.com/72f988bf-86f1-41af-91ab-2d7cd011db47",
                    "audience": "[concat('https://', parameters('services_myService_name'), '.azurehealthcareapis.com')]",
                    "smartProxyEnabled": false
                },
                "corsConfiguration": {
                    "origins": [],
                    "headers": [],
                    "methods": [],
                    "maxAge": 0,
                    "allowCredentials": false
                }
            }
        }
    ]
}

En u kunt de sjabloon implementeren met het volgende PowerShell-script:

$resourceGroupName = "myResourceGroup"
$accountName = "mycosmosaccount"
$accountLocation = "West US 2"
$keyVaultKeyUri = "https://<my-vault>.vault.azure.net/keys/<my-key>"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile "deploy.json" `
    -accountName $accountName `
    -location $accountLocation `
    -keyVaultKeyUri $keyVaultKeyUri

Volgende stappen

In dit artikel hebt u geleerd hoe u door de klant beheerde sleutels in rust configureert met behulp van de Azure Portal, PowerShell, CLI en Resource Manager-sjabloon. Raadpleeg de sectie Veelgestelde vragen over Azure Cosmos DB voor meer informatie.

Azure Cosmos DB: CMK instellen

FHIR® is een gedeponeerd handelsmerk van HL7 en wordt gebruikt met de toestemming van HL7.