JWT 권한 부여 요구 사항

OIDC 요구 사항

OIDC 지원 HealthImaging 데이터 스토어의 DICOMweb 리소스에 액세스하려면 클라이언트 애플리케이션이 OpenID Connect / OAuth 2.0 ID 제공업체(IdP)의 승인을 받고 각 요청의 권한 부여 헤더에 OAuth 2.0 베어러 토큰(JWT)을 제시해야 합니다. HealthImaging은 데이터 스토어에서 구성한 통합 경로 중 하나를 사용하여 토큰을 검증한 다음 호출자에게 매핑된 IAM 역할을 수임하여 요청을 승인합니다.

참고

OIDC는 SigV4를 보강하지만 대체하지는 않습니다. SigV4를 변경하지 않고 계속 사용할 수 있습니다. OIDC는 DICOMweb APIs.

데이터 스토어에서 토큰 검증 구성

데이터 스토어를 생성(또는 업데이트)할 때 검증 경로 하나를 선택합니다.

고객 관리형 Lambda 권한 부여자(JWT)

• LambdaAuthorizerArn을 제공합니다. HealthImaging은 수신 토큰으로 Lambda를 호출합니다. 함수는 Lambda를 검증하고 필요한 클레임과 수임할 IAM 역할 ARN을 반환합니다.

• Lambda는 1초 이내에를 반환해야 합니다.

• HealthImaging(서비스 보안 주체 medical-imaging.region.amazonaws.com)에 의한 호출을 허용하고 선택적으로 데이터 스토어 ARN에 대한 호출을 제한하는 리소스 기반 정책을 함수에 추가합니다.

• 기존 데이터 스토어에서 Lambda 권한 부여자를 활성화하려면 AWS 지원 사례가 필요합니다.

요청 형식(HTTP)

권한 부여 헤더에서 액세스 토큰을 전송합니다.

작업 가져오기 - GetDICOMInstance의 예

curl --request GET \
  'service endpoint/datastore/datastore/studies/studies/series/series/instances/instances?imageSetId=imageSetId' \
  --header "Authorization: Bearer access token" \
  --header 'Accept: application/dicom; transfer-syntax=1.2.840.10008.1.2.1' \
  --output 'dicom-instance.dcm' \
  --fail-with-body

필수 JWT 클레임

DICOMweb 요청이 성공하려면 유효 토큰/권한 부여 페이로드에 다음 클레임이 포함되어야 합니다.

• exp - 만료. 현재 시간은이 값보다 이전이어야 합니다.

• iat -에 발급되었습니다. UTC의 현재 시간 이전이어야 하며 UTC의 현재 시간(최대 토큰 수명)보다 12시간 이전이어서는 안 됩니다.