Konfigurera kundhanterade nycklar i vila

Viktigt!

Azure API för FHIR avvecklas den 30 september 2026. Följ migreringsstrategierna för att övergå till Azure Health Data Services FHIR-tjänsten® senast det datumet. På grund av tillbakadragandet av Azure API för FHIR tillåts inte nya distributioner från och med den 1 april 2025. Azure Health Data Services FHIR-tjänsten är den utvecklade versionen av Azure API för FHIR som gör det möjligt för kunder att hantera FHIR-, DICOM- och MedTech-tjänster med integreringar i andra Azure-tjänster.

När du skapar ett nytt Azure API för FHIR-konto® krypteras dina data som standard med hjälp av Microsoft-hanterade nycklar. Nu kan du lägga till ett andra krypteringslager för data med hjälp av en nyckel som du väljer och hanterar själv.

I Azure utförs detta vanligtvis med hjälp av en krypteringsnyckel i kundens Azure Key Vault. Azure SQL, Azure Storage och Azure Cosmos DB är några exempel som tillhandahåller den här funktionen. Azure API för FHIR utnyttjar det här stödet från Azure Cosmos DB. När du skapar ett konto kan du ange en URI för Azure Key Vault-nyckel. Den här nyckeln skickas vidare till Azure Cosmos DB när DB-kontot etableras. När en FHIR-begäran (Fast Healthcare Interoperability Resources) görs hämtar Azure Cosmos DB din nyckel och använder den för att kryptera/dekryptera data.

Kom igång genom att läsa följande länkar:

• Registrera Azure Cosmos DB-resursprovidern för din Azure-prenumeration
• Konfigurera din Azure Key Vault-instans
• Lägga till en åtkomstprincip i din Azure Key Vault-instans
• Generera en nyckel i Azure Key Vault

Med Azure-portalen

När du skapar ditt Azure API för FHIR-konto på Azure Portal ser du ett konfigurationsalternativ för datakryptering under databasinställningarna på fliken Ytterligare inställningar. Som standard är alternativet för tjänsthanterad nyckel valt.

Viktigt!

Datakrypteringsalternativet är endast tillgängligt när Azure API för FHIR skapas och kan inte ändras efteråt. Du kan dock visa och uppdatera krypteringsnyckeln om alternativet Kundhanterad nyckel är valt.

Du kan välja din nyckel från KeyPicker:

Du kan också ange din Azure Key Vault-nyckel här genom att välja alternativet Kundhanterad nyckel .

Du kan också ange nyckel-URI:n enligt följande.

Viktigt!

Kontrollera att alla behörigheter för Azure Key Vault har angetts på rätt sätt. Mer information finns i Lägga till en åtkomstprincip i din Azure Key Vault-instans. Se dessutom till att mjuk borttagning är aktiverad i egenskaperna för Key Vault. Om du inte slutför de här stegen uppstår ett distributionsfel. Mer information finns i Kontrollera om mjuk borttagning är aktiverat i ett nyckelvalv och aktivera mjuk borttagning.

Kommentar

Användning av kundhanterade nycklar i Azure-regionerna Brasilien, södra, Östra Asien och Sydostasien kräver ett Företagsprogram-ID som genereras av Microsoft. Du kan begära ett företagsprogram-ID genom att skapa en engångssupportbegäran via Azure Portal. När du har fått program-ID följer du anvisningarna för att registrera programmet.

För befintliga FHIR-konton kan du visa nyckelkrypteringsalternativet (tjänsthanterad nyckel eller kundhanterad nyckel) på bladet Databas på följande sätt. Konfigurationsalternativet kan inte ändras när det har valts. Du kan dock ändra och uppdatera din nyckel.

Dessutom kan du skapa en ny version av den angivna nyckeln, varefter dina data krypteras med den nya versionen utan avbrott i tjänsten. Du kan också ta bort åtkomsten till nyckeln för att ta bort åtkomsten till data. När nyckeln är inaktiverad resulterar frågor i ett fel. Om nyckeln återaktiveras kommer frågorna att lyckas igen.

Använda Azure PowerShell

Med din Azure Key Vault-nyckel-URI kan du konfigurera CMK med hjälp av PowerShell genom att köra följande PowerShell-kommando.

New-AzHealthcareApisService
    -Name "myService"
    -Kind "fhir-R4"
    -ResourceGroupName "myResourceGroup"
    -Location "westus2"
    -CosmosKeyVaultKeyUri "https://<my-vault>.vault.azure.net/keys/<my-key>"

Med hjälp av Azure CLI

Precis som med PowerShell-metoden kan du konfigurera CMK genom att skicka din Azure Key Vault-nyckel-URI under parametern key-vault-key-uri och köra följande CLI-kommando.

az healthcareapis service create
    --resource-group "myResourceGroup"
    --resource-name "myResourceName"
    --kind "fhir-R4"
    --location "westus2"
    --cosmos-db-configuration key-vault-key-uri="https://<my-vault>.vault.azure.net/keys/<my-key>"

Använda Azure Resource Manager-mall

Med din Azure Key Vault-nyckel-URI kan du konfigurera CMK genom att skicka den under egenskapen keyVaultKeyUri i egenskapsobjektet.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "services_myService_name": {
            "defaultValue": "myService",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "Microsoft.HealthcareApis/services",
            "apiVersion": "2020-03-30",
            "name": "[parameters('services_myService_name')]",
            "location": "westus2",
            "kind": "fhir-R4",
            "properties": {
                "accessPolicies": [],
                "cosmosDbConfiguration": {
                    "offerThroughput": 400,
                    "keyVaultKeyUri": "https://<my-vault>.vault.azure.net/keys/<my-key>"
                },
                "authenticationConfiguration": {
                    "authority": "https://login.microsoftonline.com/72f988bf-86f1-41af-91ab-2d7cd011db47",
                    "audience": "[concat('https://', parameters('services_myService_name'), '.azurehealthcareapis.com')]",
                    "smartProxyEnabled": false
                },
                "corsConfiguration": {
                    "origins": [],
                    "headers": [],
                    "methods": [],
                    "maxAge": 0,
                    "allowCredentials": false
                }
            }
        }
    ]
}

Och du kan distribuera mallen med följande PowerShell-skript.

$resourceGroupName = "myResourceGroup"
$accountName = "mycosmosaccount"
$accountLocation = "West US 2"
$keyVaultKeyUri = "https://<my-vault>.vault.azure.net/keys/<my-key>"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile "deploy.json" `
    -accountName $accountName `
    -location $accountLocation `
    -keyVaultKeyUri $keyVaultKeyUri

Vanliga frågor och svar

Används "cosmosdb_key_vault_key_versionless_id" i FHIR-API:et för att ansluta till FHIR-tjänstens hanterade Cosmos DB?

Ja, när du aktiverar kundhanterade nycklar på FHIR-API:er ansluter valet "cosmosdb_key_vault_key_versionless_id" till FHIR-tjänstens hanterade Cosmos DB.

Nästa steg

I den här artikeln har du lärt dig hur du konfigurerar kundhanterade nycklar i vila med hjälp av mallen Azure Portal, PowerShell, CLI och Resource Manager. Mer information finns i avsnittet vanliga frågor och svar om Azure Cosmos DB.

Azure Cosmos DB: så här konfigurerar du CMK

Kommentar

FHIR® är ett registrerat varumärke som tillhör HL7 och används med tillstånd av HL7.