你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
为 Azure 运行状况数据服务配置 Azure RBAC 角色
本文介绍如何使用 Azure 基于角色的访问控制 (Azure RBAC 角色) 来分配对 Azure Health Data Services 数据平面的访问权限。 在与 Azure 订阅关联的 Azure Active Directory 租户中管理数据平面用户时,Azure RBAC 角色是分配数据平面访问权限的首选方法。
可以通过Azure 门户完成角色分配。 请注意,FHIR 服务和 DICOM 服务定义了不同的应用程序角色。 添加或删除一个或多个角色以管理用户访问控制。
为 FHIR 服务分配角色
若要授予用户、服务主体或组对 FHIR 数据平面的访问权限,请从Azure 门户选择 FHIR 服务。 选择“ 访问控制 (IAM) ”,然后选择“ 角色分配 ”选项卡。选择“ +添加”,然后选择“ 添加角色分配”。
如果角色分配选项灰显,请让 Azure 订阅管理员向你授予对订阅或资源组的权限,例如“用户访问管理员”。 有关 Azure 内置角色的详细信息,请参阅 Azure 内置角色。
在“角色”选择中,搜索 FHIR 数据平面的内置角色之一,例如“FHIR 数据参与者”。 可以选择以下其他角色。
- FHIR 数据读取者:可以读取 (和搜索) FHIR 数据。
- FHIR 数据编写器:可以读取、写入和软删除 FHIR 数据。
- FHIR 数据导出程序:可以读取和导出 ($export运算符) 数据。
- FHIR 数据参与者:可以执行所有数据平面操作。
- FHIR 数据转换器:可以使用转换器执行数据转换。
- FHIR SMART 用户:角色允许根据 SMART IG V1.0.0 规范读取和写入 FHIR 数据。
在 “选择” 部分中,键入客户端应用程序注册名称。 如果找到该名称,则会列出应用程序名称。 选择应用程序名称,然后选择“ 保存”。
如果找不到客户端应用程序,请检查应用程序注册。 这是为了确保名称正确。 确保在 Azure Health Data Services 中的 FHIR 服务 (在其中部署了 FHIR 服务) 的同一租户中创建客户端应用程序。
可以通过从“访问控制 (IAM) ”菜单选项中选择“角色分配”选项卡来验证角色分配。
为 DICOM 服务分配角色
若要向用户、服务主体或组授予对 DICOM 数据平面的访问权限,请选择“访问控制(IAM)”边栏选项卡。 选择“角色分配”选项卡,然后选择“+ 添加”。
在“角色”选择中,搜索 DICOM 数据平面的一个内置角色:
你可以选择:
- DICOM 数据所有者:对 DICOM 数据的完全访问权限。
- DICOM 数据读者:可以读取和搜索 DICOM 数据。
如果这些角色不足以满足你的需求,可以使用 PowerShell 创建自定义角色。 有关创建自定义角色的信息,请参阅使用 Azure PowerShell 创建自定义角色。
在“选择”框中,搜索要为其分配角色的用户、服务主体或组。
注意
如果无法在应用程序或其他工具中访问 FHIR 或 DICOM 服务,则可能需要再等待几分钟,以便角色分配在系统中完成传播。
后续步骤
本文介绍了如何为 FHIR 服务和 DICOM 服务分配 Azure 角色。 若要了解如何使用 Postman 访问 Azure Health Data Services,请参阅
FHIR® 是 HL7 的注册商标,经 HL7 许可使用。