AWS HealthImaging용 OIDC 시작하기 - AWS HealthImaging
OIDC에 대한 리소스 설정설정 단계

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS HealthImaging용 OIDC 시작하기

다음 주제에서는 AWS HealthImaging용 OpenID Connect(OIDC)를 시작하는 방법을 설명합니다. 여기에는 AWS 계정에서 프로비저닝해야 하는 리소스, OIDC 지원 HealthImaging 데이터 스토어 생성, DICOMweb 클라이언트 애플리케이션이 ID 제공업체(IdP) 및 HealthImaging과 상호 작용하는 방법의 예가 포함됩니다.

  • 필수 AWS 계정 리소스

  • OIDC 지원 데이터 스토어 생성

  • 자격 증명 공급자와의 DICOMweb 클라이언트 상호 작용

OIDC에 대한 리소스 설정

다음 요소는 워크플로에서 함께 작동하여 OIDC 인증 DICOMweb 요청을 생성합니다.

  • 최종 사용자 - DICOMweb 뷰어를 사용하는 사람(예: OHIF, SLIM, MONAI).

  • 클라이언트 애플리케이션(Relying Party) - 토큰을 요청하고 HealthImaging DICOMweb APIs.

  • OpenID Provider(IdP) - 사용자를 인증하고 JWT 액세스 토큰을 발급하는 OIDC/OAuth 2.0 호환 서버(예: Amazon Cognito, Okta, Auth0).

  • HealthImaging 데이터 스토어 - HealthImaging이 호출하는 고객 관리형 Lambda 권한 부여자에 의해 OIDC용으로 구성된 데이터 스토어입니다.

참고

OIDC 지원 HealthImaging 데이터 스토어를 생성하기 전에 다음 작업을 완료하는 것이 좋습니다.

  • IdP를 설정하고 사용하려는 범위/클레임 정의

  • Lambda 권한 부여자 생성(Lambda 옵션을 사용하는 경우)

데이터 스토어 생성 시 LambdaAuthorizerArn이 있어야 합니다. 기존 데이터 스토어에서 Lambda 권한 부여자를 활성화하려면 AWS Support 사례를 엽니다.

API에 대한 클라이언트 액세스를 제한하려면 OpenID Connect(OIDC) 및 OAuth 2.0 프레임워크의 일부로 JSON 웹 토큰(JWTs)을 사용해야 합니다 APIs.

설정 단계

  1. 권한 부여 서버(IdP) 설정

    OIDC 준수 IdP를 구성하여 사용자를 인증하고 클라이언트 애플리케이션이 HealthImaging으로 전송할 OAuth 2.0 보유자 토큰(JWTs)을 발급합니다.

  2. IdP에서 범위를 정의하여 DICOMweb 액세스 제어

    OAuth 2.0 범위(예: 최종 사용자에게 적합한 read/search/write 그룹화)를 사용하여 DICOMweb 작업을 통해 데이터 스토어에 대한 최소 권한 액세스를 구현합니다. HealthImaging에서 이러한 권한을 적용하는 IAM 역할에 사용자 또는 그룹을 매핑합니다.

  3. 토큰 검증 경로 생성

    고객 관리형 Lambda 권한 부여자 - IdP에서 JWTs 검증하고 요청에 대해 수임할 필수 클레임과 IAM 역할 ARN을 반환하는 Lambda 함수를 생성합니다. Lambda에 HealthImaging에 의한 호출을 허용하고 ≤ 1초 후에 반환하는 리소스 기반 정책이 있는지 확인합니다.

  4. OIDC 지원 HealthImaging 데이터 스토어 생성

    데이터 스토어를 생성하고 LambdaAuthorizerArn 파라미터를 제공합니다.

생성 후 클라이언트는 SigV4 Authorization: Bearer <token> 대신를 사용하여 DICOMweb APIs 호출할 수 있습니다. (SigV4는 계속 지원되며 변경되지 않습니다.)