JWT 認可の要件 - AWS HealthImaging
OIDC の要件Datastore でトークン検証を設定するリクエスト形式 (HTTP)必要な JWT クレーム

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

JWT 認可の要件

OIDC の要件

OIDC 対応 HealthImaging データストアの DICOMweb リソースにアクセスするには、クライアントアプリケーションが OpenID Connect/OAuth 2.0 ID プロバイダー (IdP) によって承認され、各リクエストの承認ヘッダーに OAuth 2.0 ベアラートークン (JWT) を提示する必要があります。HealthImaging は、データストアで設定した統合パスのいずれかを使用してトークンを検証し、呼び出し元にマッピングされた IAM ロールを引き受けることでリクエストを承認します。

注記

OIDC は SigV4 を拡張しますが、SigV4 は置き換えません。SigV4 は変更せずに引き続き使用できます。OIDC は DICOMweb APIs でのみ使用できます。

Datastore でトークン検証を設定する

データストアを作成 (または更新) するときに、検証パスを 1 つ選択します。

カスタマーマネージド Lambda オーソライザー (JWT)

  • LambdaAuthorizerArn を指定します。HealthImaging は受信トークンを使用して Lambda を呼び出します。関数はそれを検証し、必要なクレームと引き受ける IAM ロール ARN を返します。

  • Lambda は 1 秒以内に を返す必要があります。

  • HealthImaging (サービスプリンシパル medical-imaging.region.amazonaws.com) による呼び出しを許可するリソースベースのポリシーを関数に追加し、オプションでデータストア ARN への呼び出しを制限します。

  • 既存のデータストアで Lambda オーソライザーを有効にするには、AWS サポートケースが必要です。

リクエスト形式 (HTTP)

認可ヘッダーでアクセストークンを送信します。

Get オペレーションの例 - GetDICOMInstance

curl --request GET \
  'service endpoint/datastore/datastore/studies/studies/series/series/instances/instances?imageSetId=imageSetId' \
  --header "Authorization: Bearer access token" \
  --header 'Accept: application/dicom; transfer-syntax=1.2.840.10008.1.2.1' \
  --output 'dicom-instance.dcm' \
  --fail-with-body

必要な JWT クレーム

DICOMweb リクエストを成功させるには、有効なトークン/認可ペイロードに次のクレームが含まれている必要があります。

  • exp — 有効期限。現在の時刻は、この値より前である必要があります。

  • iat - 発行先。UTC の現在の時刻より前でなければならず、UTC の現在の時刻 (トークンの最大有効期間) より 12 時間前であってはなりません