Azure Health Data Services の Azure RBAC ロールを構成する
この記事では、Azure のロールベースのアクセス制御 (RBAC) を使用して、Azure Health Data Services データ プレーンへのアクセスを割り当てる方法について説明します。 データ プレーンのユーザーが Azure サブスクリプションに関連付けられた Microsoft Entra テナントで管理されている場合、Azure RBAC ロールを使用してデータ プレーンのアクセスを割り当てるのが推奨される方法です。
Azure portal でロールの割り当てを完了できます。 FHIR® サービスと DICOM® サービスでは、アプリケーションのロールの定義方法が異なります。 ユーザー アクセス制御を管理するには、1 つ以上のロールを追加または削除します。
FHIR サービスのロールを割り当てる
ユーザー、サービス プリンシパル、またはグループに FHIR データ プレーンへのアクセス権を付与するには、Azure portal で FHIR サービスに移動します。 [アクセス制御 (IAM)] を選択した後、[ロールの割り当て] タブを選択します。[+追加] を選択し、次に [ロールの割り当ての追加] を選択します。
ロールの割り当てオプションが淡色表示になっている場合は、Azure サブスクリプション管理者にサブスクリプションまたはリソース グループへのアクセス許可 (たとえば、ユーザー アクセス管理者) を付与するよう依頼します。 詳細については、Azure の組み込みロールに関するページを参照してください。
[ロール] の選択で、FHIR データ プレーンの組み込みロールのいずれかを検索します。 次のロールから選択できます。
- FHIR データ リーダー: FHIR データの読み取り (および検索) ができます。
- FHIR データ ライター: FHIR データの読み取り、書き込み、論理的な削除ができます。
- FHIR データ エクスポーター: データの読み込みとエクスポート ($export 演算子) ができます。
- FHIR データ共同作成者: すべてのデータ プレーン操作を実行できます。
- FHIR データ コンバーター: コンバーターを使用してデータ変換を実行できます。
- FHIR SMART ユーザー: SMART IG V1.0.0 仕様に従って FHIR データの読み取りと書き込みができます。
[選択] セクションに、クライアント アプリケーションの登録名を入力します。 名前が見つかった場合は、アプリケーション名が一覧表示されます。 アプリケーション名を選び、[保存] を選択します。
クライアント アプリケーションが見つからない場合は、アプリケーションの登録を確認します。 これは、名前が正しいことを確認するためです。 クライアント アプリケーションが、Azure Health Data Services の FHIR サービス (以降、FHIR サービスと呼びます) がデプロイされているのと同じテナントに作成されていることを確認します。
ロールの割り当てを確認するには、[アクセス制御 (IAM)] メニュー オプションから [ロールの割り当て] タブを選択します。
DICOM サービスのロールを割り当てる
DICOM データ プレーンへのアクセス権をユーザー、サービス プリンシパル、またはグループに付与するには、[アクセス制御 (IAM)] ブレードを選択します。 [ロールの割り当て] タブを選択し、[+ 追加] を選択します。
[ロール] の選択で、DICOM データ プレーンの組み込みのロールのいずれかを検索します。
次のいずれかを選択できます。
- DICOM データ所有者: DICOM データへのフル アクセス。
- DICOM データ閲覧者: DICOM データの読み取りおよび検索。
これらのロールでは不十分な場合は、PowerShell を使用してカスタム ロールを作成できます。 カスタム ロールの作成の詳細については、Azure PowerShell を使用したカスタム ロールの作成に関するページを参照してください。
[選択] ボックスで、ロールを割り当てるユーザー、サービス プリンシパル、またはグループを検索します。
Note
アプリケーションまたはその他のツールで FHIR サービスまたは DICOM サービスにアクセスできない場合は、ロールの割り当てがシステム内に反映されるまで、さらに数分待つ必要がある場合があります。