你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍如何使用 Azure 基于角色的访问控制 (RBAC) 来分配对 Azure Health Data Services 数据平面的访问权限。 如果数据平面用户是在与你的 Azure 订阅关联的 Microsoft Entra 租户中进行管理的,那么首选使用 Azure RBAC 角色来分配数据平面访问权限。
可以在 Azure 门户中完成角色分配。 FHIR® 服务和 DICOM® 服务以不同的方式定义应用程序角色。 添加或删除一个或多个角色来管理用户访问控制。
为 FHIR 服务分配角色
若要向用户、服务主体或群组授予对 FHIR 数据平面的访问权限,请转到 Azure 门户中的 FHIR 服务。 依次选择“访问控制(IAM)”、“角色分配”选项卡。依次选择“+ 添加”、“添加角色分配”。
如果角色分配选项灰显,请让 Azure 订阅管理员为你授予订阅或资源组的权限,例如用户访问管理员权限。 有关详细信息,请参阅 Azure 内置角色。
在“角色”选择中,搜索 FHIR 数据平面的内置角色之一。 可以从以下角色中进行选择:
- FHIR 数据读者:可以读取(和搜索)FHIR 数据。
- FHIR 数据写入者:可以读取、写入和软删除 FHIR 数据。
- FHIR 数据导出者:可以读取和导出($export 运算符)数据。
- FHIR 数据参与者:可以执行所有数据平面操作。
- FHIR 数据转换器:可使用转换器执行数据转换。
- FHIR SMART 用户:可根据 SMART IG V1.0.0 规范读取和写入 FHIR 数据。
在“选择”部分中,键入客户端应用程序注册名称。 如果其中有该名称,会显示该应用程序名称。 选择该应用程序名称,然后选择“保存”。
如果未找到该客户端应用程序,请检查应用程序注册信息。 这是为了确保输入的名称正确。 确保在 Azure Health Data Services 中的 FHIR 服务(本文中称 FHIR 服务)所部署到的同一租户中创建客户端应用程序。
可以通过从“访问控制(IAM)”菜单选项中选择“角色分配”选项卡来验证角色分配。
为 DICOM 服务分配角色
若要向用户、服务主体或组授予对 DICOM 数据平面的访问权限,请选择“访问控制(IAM)”边栏选项卡。 选择“角色分配”选项卡,然后选择“+ 添加”。
在“角色”选择中,搜索 DICOM 数据平面的一个内置角色:
你可以选择:
- DICOM 数据所有者:对 DICOM 数据具有完全访问权限。
- DICOM 数据读者:可以读取和搜索 DICOM 数据。
如果这些角色不够用,可以使用 PowerShell 创建自定义角色。 有关创建自定义角色的信息,请参阅使用 Azure PowerShell 创建自定义角色。
在“选择”框中,搜索要为其分配角色的用户、服务主体或组。
注意
如果在应用程序或其他工具中无法访问 FHIR 或 DICOM 服务,可能需要再等待几分钟,等待角色分配在系统中完成传播。