Bekleyen müşteri tarafından yönetilen anahtarları yapılandırma
FHIR için yeni bir Azure API oluşturduğunuzda verileriniz varsayılan olarak Microsoft tarafından yönetilen anahtarlar kullanılarak şifrelenir. Artık, kendi seçtiğiniz ve yönettiğiniz anahtarınızı kullanarak veriler için ikinci bir şifreleme katmanı ekleyebilirsiniz.
Azure'da bu genellikle müşterinin Azure Key Vault bir şifreleme anahtarı kullanılarak gerçekleştirilir. Azure SQL, Azure Depolama ve Azure Cosmos DB bu özelliği bugün sağlayan bazı örneklerdir. FHIR için Azure API, Azure Cosmos DB'nin bu desteğinden yararlanıyor. Hesap oluşturduğunuzda Azure Key Vault anahtar URI'sini belirtme seçeneğiniz olur. Veritabanı hesabı sağlandığında bu anahtar Azure Cosmos DB'ye geçirilir. Hızlı Sağlık Hizmetleri Birlikte Çalışabilirlik Kaynakları (FHIR®) isteği yapıldığında Azure Cosmos DB anahtarınızı getirir ve verileri şifrelemek/şifresini çözmek için bu anahtarı kullanır.
Başlamak için aşağıdaki bağlantılara bakın:
- Azure aboneliğiniz için Azure Cosmos DB kaynak sağlayıcısını kaydetme
- Azure Key Vault örneğinizi yapılandırma
- Azure Key Vault örneğinize erişim ilkesi ekleme
- Azure Key Vault'de anahtar oluşturma
Azure portalını kullanma
Azure portal'de FHIR için Azure API'nizi oluştururken, Ek Ayarlar sekmesindeki Veritabanı Ayarları'nın altında Veri Şifrelemesi yapılandırma seçeneğini görürsünüz. Varsayılan olarak, hizmet tarafından yönetilen anahtar seçeneği belirlenir.
Önemli
Veri şifreleme seçeneği yalnızca FHIR için Azure API oluşturulduğunda kullanılabilir ve daha sonra değiştirilemez. Ancak, Müşteri tarafından yönetilen anahtar seçeneği belirlendiyse şifreleme anahtarını görüntüleyebilir ve güncelleştirebilirsiniz.
Anahtarınızı KeyPicker'dan seçebilirsiniz:
Müşteri tarafından yönetilen anahtar seçeneğini belirleyerek Azure Key Vault anahtarınızı burada da belirtebilirsiniz.
Anahtar URI'sini buraya da girebilirsiniz:
Önemli
Azure Key Vault için tüm izinlerin uygun şekilde ayarlandığından emin olun. Daha fazla bilgi için bkz. Azure Key Vault örneğinize erişim ilkesi ekleme. Ayrıca, geçici silmenin Key Vault özelliklerinde etkinleştirildiğinden emin olun. Bu adımların tamamlanmaması dağıtım hatasına neden olur. Daha fazla bilgi için bkz. Anahtar kasasında geçici silmenin etkinleştirilip etkinleştirilmediğini doğrulama ve geçici silmeyi etkinleştirme.
Not
Brezilya Güney, Doğu Asya ve Güneydoğu Asya Azure bölgelerinde müşteri tarafından yönetilen anahtarların kullanılması için Microsoft tarafından oluşturulan bir Kurumsal Uygulama Kimliği gerekir. Azure portal aracılığıyla tek seferlik bir destek bileti oluşturarak Kurumsal Uygulama Kimliği isteyebilirsiniz. Uygulama Kimliğini aldıktan sonra, uygulamayı kaydetmek için yönergeleri izleyin.
Mevcut FHIR hesapları için, aşağıda gösterildiği gibi Veritabanı dikey penceresinde anahtar şifreleme seçimini (Hizmet tarafından yönetilen anahtar veya Müşteri tarafından yönetilen anahtar) görüntüleyebilirsiniz. Yapılandırma seçeneği seçildikten sonra değiştirilemez. Ancak anahtarınızı değiştirebilir ve güncelleştirebilirsiniz.
Buna ek olarak, belirtilen anahtarın yeni bir sürümünü oluşturabilirsiniz; bundan sonra verileriniz herhangi bir hizmet kesintisi olmadan yeni sürümle şifrelenir. Verilere erişimi kaldırmak için anahtara erişimi de kaldırabilirsiniz. Anahtar devre dışı bırakıldığında sorgular hataya neden olur. Anahtar yeniden etkinleştirilirse sorgular yeniden başarılı olur.
Azure PowerShell’i kullanma
Azure Key Vault anahtar URI'nizle, aşağıdaki PowerShell komutunu çalıştırarak PowerShell kullanarak CMK'yi yapılandırabilirsiniz:
New-AzHealthcareApisService
-Name "myService"
-Kind "fhir-R4"
-ResourceGroupName "myResourceGroup"
-Location "westus2"
-CosmosKeyVaultKeyUri "https://<my-vault>.vault.azure.net/keys/<my-key>"
Azure CLI’yı kullanma
PowerShell yönteminde olduğu gibi Azure Key Vault anahtar URI'nizi parametresinin key-vault-key-uri
altına geçirip aşağıdaki CLI komutunu çalıştırarak CMK'yi yapılandırabilirsiniz:
az healthcareapis service create
--resource-group "myResourceGroup"
--resource-name "myResourceName"
--kind "fhir-R4"
--location "westus2"
--cosmos-db-configuration key-vault-key-uri="https://<my-vault>.vault.azure.net/keys/<my-key>"
Azure Resource Manager Şablonunu Kullanma
Azure Key Vault anahtar URI'nizle, cmk'yi properties nesnesindeki keyVaultKeyUri özelliğinin altına geçirerek yapılandırabilirsiniz.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"services_myService_name": {
"defaultValue": "myService",
"type": "String"
}
},
"variables": {},
"resources": [
{
"type": "Microsoft.HealthcareApis/services",
"apiVersion": "2020-03-30",
"name": "[parameters('services_myService_name')]",
"location": "westus2",
"kind": "fhir-R4",
"properties": {
"accessPolicies": [],
"cosmosDbConfiguration": {
"offerThroughput": 400,
"keyVaultKeyUri": "https://<my-vault>.vault.azure.net/keys/<my-key>"
},
"authenticationConfiguration": {
"authority": "https://login.microsoftonline.com/72f988bf-86f1-41af-91ab-2d7cd011db47",
"audience": "[concat('https://', parameters('services_myService_name'), '.azurehealthcareapis.com')]",
"smartProxyEnabled": false
},
"corsConfiguration": {
"origins": [],
"headers": [],
"methods": [],
"maxAge": 0,
"allowCredentials": false
}
}
}
]
}
Şablonu aşağıdaki PowerShell betiğiyle dağıtabilirsiniz:
$resourceGroupName = "myResourceGroup"
$accountName = "mycosmosaccount"
$accountLocation = "West US 2"
$keyVaultKeyUri = "https://<my-vault>.vault.azure.net/keys/<my-key>"
New-AzResourceGroupDeployment `
-ResourceGroupName $resourceGroupName `
-TemplateFile "deploy.json" `
-accountName $accountName `
-location $accountLocation `
-keyVaultKeyUri $keyVaultKeyUri
Sonraki adımlar
Bu makalede Azure portal, PowerShell, CLI ve Resource Manager Şablonu kullanarak bekleyen müşteri tarafından yönetilen anahtarları yapılandırmayı öğrendiniz. Daha fazla bilgi için Azure Cosmos DB SSS bölümüne başvurabilirsiniz.
FHIR®, HL7'nin tescilli ticari markasıdır ve HL7 izniyle kullanılır.