你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将客户管理的密钥用于 DICOM 服务的最佳做法
客户管理的密钥 (CMK) 是你在自己的密钥存储中创建和管理的加密密钥。 通过使用 CMK,你可以更灵活地控制组织的数据的加密和访问。 你使用 Azure Key Vault 创建和管理 CMK,然后使用密钥加密由 DICOM® 服务存储的数据。
经常轮换密钥
请遵循安全最佳做法并经常轮换密钥。 用于 DICOM 服务的密钥必须手动轮换。 若要轮换密钥,请更新现有密钥的版本,或从其他存储位置设置新的加密密钥。 添加新密钥时,请始终确保保持启用现有密钥,因为仍然需要它们来访问用它们加密的数据。
在更改托管标识后更新 DICOM 服务
如果你以任何方式更改了托管标识,例如将 DICOM 服务移动到其他租户或订阅,则 DICOM 服务无法访问你的密钥,直到你使用 ARM 模板部署手动更新该服务。 有关步骤,请参阅使用 ARM 模板更新加密密钥。
将密钥保管库放在同一租户中
密钥保管库必须与 DICOM 服务位于同一 Azure 租户中。
通过防火墙禁用公共访问
当使用带有防火墙的密钥保管库禁用公共访问时,必须启用“允许受信任的 Microsoft 服务绕过此防火墙”选项。
后续步骤
注意
DICOM® 是美国电气制造商协会的注册商标,适用于其有关医疗信息数字通信的标准出版物。