你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
为 Azure Health Data Services 配置 Azure RBAC 角色
本文介绍如何使用 Azure 基于角色的访问控制 (RBAC) 来分配对 Azure Health Data Services 数据平面的访问权限。 如果数据平面用户是在与你的 Azure 订阅关联的 Microsoft Entra 租户中进行管理的,那么首选使用 Azure RBAC 角色来分配数据平面访问权限。
可以在 Azure 门户中完成角色分配。 FHIR® 服务和 DICOM® 服务以不同的方式定义应用程序角色。 添加或删除一个或多个角色来管理用户访问控制。
为 FHIR 服务分配角色
若要向用户、服务主体或群组授予对 FHIR 数据平面的访问权限,请转到 Azure 门户中的 FHIR 服务。 依次选择“访问控制(IAM)”、“角色分配”选项卡。依次选择“+ 添加”、“添加角色分配”。
如果角色分配选项灰显,请让 Azure 订阅管理员为你授予订阅或资源组的权限,例如用户访问管理员权限。 有关详细信息,请参阅 Azure 内置角色。
在“角色”选择中,搜索 FHIR 数据平面的内置角色之一。 可以从以下角色中进行选择:
- FHIR 数据读者:可以读取(和搜索)FHIR 数据。
- FHIR 数据写入者:可以读取、写入和软删除 FHIR 数据。
- FHIR 数据导出者:可以读取和导出($export 运算符)数据。
- FHIR 数据参与者:可以执行所有数据平面操作。
- FHIR 数据转换器:可使用转换器执行数据转换。
- FHIR SMART 用户:可根据 SMART IG V1.0.0 规范读取和写入 FHIR 数据。
在“选择”部分中,键入客户端应用程序注册名称。 如果其中有该名称,会显示该应用程序名称。 选择该应用程序名称,然后选择“保存”。
如果未找到该客户端应用程序,请检查应用程序注册信息。 这是为了确保输入的名称正确。 确保在 Azure Health Data Services 中的 FHIR 服务(本文中称 FHIR 服务)所部署到的同一租户中创建客户端应用程序。
可以通过从“访问控制(IAM)”菜单选项中选择“角色分配”选项卡来验证角色分配。
为 DICOM 服务分配角色
若要向用户、服务主体或组授予对 DICOM 数据平面的访问权限,请选择“访问控制(IAM)”边栏选项卡。 选择“角色分配”选项卡,然后选择“+ 添加”。
在“角色”选择中,搜索 DICOM 数据平面的一个内置角色:
你可以选择:
- DICOM 数据所有者:对 DICOM 数据具有完全访问权限。
- DICOM 数据读者:可以读取和搜索 DICOM 数据。
如果这些角色不够用,可以使用 PowerShell 创建自定义角色。 有关创建自定义角色的信息,请参阅使用 Azure PowerShell 创建自定义角色。
在“选择”框中,搜索要为其分配角色的用户、服务主体或组。
注意
如果在应用程序或其他工具中无法访问 FHIR 或 DICOM 服务,可能需要再等待几分钟,等待角色分配在系统中完成传播。