將客戶自控金鑰用於 FHIR 服務的最佳做法
客戶自控金鑰 (CMK) 是您在自己的金鑰存放區中建立和管理的加密金鑰。 透過使用 CMK,您可以更彈性地控制組織資料的加密和存取。 您可以使用 Azure Key Vault 來建立和管理 CMK,然後使用金鑰來加密 FHIR® 服務所儲存的資料。
經常輪換金鑰
請遵循安全性最佳做法,並經常輪換金鑰。 與 FHIR 服務一起使用的金鑰必須手動輪換。 當您輪換金鑰時,請更新現有金鑰的版本,或從不同的儲存位置設定新的加密金鑰。 新增金鑰時,請務必確保啟用現有金鑰,因為仍須使用這些金鑰來存取用其加密的資料。
若要透過產生新金鑰版本來輪換金鑰,請使用 'az keyvault key rotate' 命令。 如需詳細資訊,請參閱 Azure 金鑰保存庫輪換命令
變更受控識別之後更新 FHIR 服務
如果您以任何方式變更受控識別 (例如將 FHIR 服務移至不同的租用戶或訂用帳戶),則必須等到您使用 ARM 範本部署手動更新該服務之後,FHIR 服務才能存取您的金鑰。 如需相關步驟,請參閱使用 ARM 範本來更新加密金鑰。
使用防火牆停用公用存取
使用具有防火牆的金鑰保存庫來停用公用存取時,必須啟用 [允許受信任的 Microsoft 服務略過此防火牆] 選項。
下一步
注意
FHIR® 是 HL7 的註冊商標,可與 HL7 的權限搭配使用。