Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erste Schritte mit AWS HealthLake
Um mit der Nutzung zu beginnen AWS HealthLake, richten Sie ein AWS Konto ein und erstellen Sie einen AWS Identity and Access Management Benutzer. Um die [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)oder die verwenden zu können [AWS SDKs](https://aws.amazon.com/developer/tools/), müssen Sie sie installieren und konfigurieren.
**Anmerkung**
Das [Referenz](reference.md) Kapitel dieses Handbuchs enthält unterstützende Inhalte für SMART auf FHIR, FHIR R4 und. AWS HealthLake Informationen zu SMART finden Sie beispielsweise in der FHIR-Konfiguration, den unterstützten FHIR-Profilvalidierungen und Endpunkten. HealthLake
Nachdem Sie sich mit den HealthLake Konzepten und der Einrichtung vertraut gemacht haben, steht Ihnen ein kurzes Tutorial mit Codebeispielen zur Verfügung, das Ihnen den Einstieg erleichtern soll.
**Topics**
+ [Konzepte](getting-started-concepts.md)
+ [Einrichtung](getting-started-setting-up.md)
+ [Tutorial](getting-started-tutorial.md)
# AWS HealthLake Konzepte
Die folgenden Begriffe und Konzepte sind von zentraler Bedeutung für Ihr Verständnis und Ihre Verwendung von AWS HealthLake.
**Topics**
+ [Strategie zur Autorisierung von Datenspeichern](#concept-data-store-authorization-strategy)
+ [Integriertes NLP](#concept-integrated-nlp)
+ [Integrierte Analytik](#concept-integrated-analytics)
## Strategie zur Autorisierung von Datenspeichern
Ein HealthLake Datenspeicher ist ein Speicher für FHIR R4-Gesundheitsdaten, die sich in einem einzigen Speicher befinden. AWS-Region HealthLake unterstützt die folgenden Autorisierungsstrategien für Datenspeicher.
+ **SigV4-Autorisierung** — HealthLake autorisiert FHIR-API-Aufrufe mithilfe der [AWS Signature Version 4-Autorisierung (Sigv4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)).
+ **SMART bei FHIR-Autorisierung — HealthLake autorisiert FHIR-API-Aufrufe** mithilfe von SMART ([Substituable Medical Applications and](https://docs.smarthealthit.org) Reusable Technologies) im Rahmen der FHIR-Autorisierung.
Weitere Informationen finden Sie unter [Einen HealthLake Datenspeicher erstellen](managing-data-stores-create.md).
## Integriertes NLP
AWS HealthLake lässt sich in HIPAA-fähige Bibliotheken zur Verarbeitung natürlicher Sprache (NLP) integrieren, um aussagekräftige Gesundheitsdaten aus unstrukturiertem medizinischem Text zu extrahieren. Die NLP-Bibliotheken identifizieren medizinische Entitäten wie Erkrankungen, Medikamente, Dosierungen, Tests, Behandlungen und Verfahren. Sie erkennen Beziehungen zwischen den Entitäten und verknüpfen sie mit Bibliotheken für medizinische Ontologie wie ICD-10-CM und. RxNorm Weitere Informationen finden Sie unter [Integrierte Verarbeitung natürlicher Sprache (NLP) für HealthLake](integrating-nlp.md).
## Integrierte Analytik
AWS HealthLake geht über FHIR hinaus `search` und `bundle` APIs bietet integrierte Analysen für die Abfrage und Analyse großer Mengen an Gesundheitsdaten. Generiert beim Import HealthLake automatisch Tabellen für den SQL-Index und die SQL-Abfrage. Auf diese Weise können Sie umsetzbare Erkenntnisse aus komplexen Gesundheitsdaten gewinnen, ohne dass umfangreiche Datenentwicklungsarbeiten erforderlich sind. Weitere Informationen erhalten Sie unter [HealthLake Daten mit Amazon Athena abfragen](integrating-athena.md) und [AWS HealthLake Beispielprojekte](reference-healthlake-sample-projects.md).
# Einrichten AWS HealthLake
In diesem Kapitel richten Sie mit dem die erforderlichen Berechtigungen ein, AWS-Managementkonsole um mit der Verwendung AWS HealthLake und Erstellung eines Datenspeichers zu beginnen. Um Berechtigungen für die Erstellung eines Datenspeichers einzurichten, erstellen Sie einen IAM-Benutzer oder eine IAM-Rolle, bei der es sich um einen Data HealthLake Lake-Administrator und -Administrator handelt. Sie machen diesen Benutzer in AWS Lake Formation zum Data Lake-Administrator. Der Data Lake-Administrator gewährt Lake Formation Zugriff auf Ressourcen, die für die Verwendung von Amazon Athena zur Abfrage eines Datenspeichers erforderlich sind. Nachdem Sie einen HealthLake Datenspeicher erstellt haben, können Sie Berechtigungen für den Import und Export von Dateien einrichten.
**Topics**
+ [Melden Sie sich an für ein AWS-Konto](#sign-up-for-aws)
+ [Erstellen eines Benutzers mit Administratorzugriff](#create-an-admin)
+ [Konfigurieren Sie einen zu verwendenden IAM-Benutzer oder eine IAM-Rolle HealthLake (IAM-Administrator)](#setting-up-configure-iam)
+ [Einen Benutzer oder eine Rolle als Data Lake-Administrator in Lake Formation hinzufügen (IAM-Administrator)](#setting-up-add-lake-formation)
+ [S3-Buckets erstellen](#setting-up-create-s3-buckets)
+ [Einen Datenspeicher erstellen](#setting-up-create-data-store)
+ [Berechtigungen für Importaufträge einrichten](#setting-up-import-permissions)
+ [Berechtigungen für Exportaufträge einrichten](#setting-up-export-permissions)
+ [Installiere das AWS CLI](#setting-up-install-cli)
## Melden Sie sich an für ein AWS-Konto
Wenn Sie noch keine haben AWS-Konto, führen Sie die folgenden Schritte aus, um eine zu erstellen.
**Um sich für eine anzumelden AWS-Konto**
1. Öffnen Sie [https://portal.aws.amazon.com/billing/die Anmeldung.](https://portal.aws.amazon.com/billing/signup)
1. Folgen Sie den Online-Anweisungen.
Während der Anmeldung erhalten Sie einen Telefonanruf oder eine Textnachricht und müssen einen Verifizierungscode über die Telefontasten eingeben.
Wenn Sie sich für eine anmelden AWS-Konto, *Root-Benutzer des AWS-Kontos*wird eine erstellt. Der Root-Benutzer hat Zugriff auf alle AWS-Services und Ressourcen des Kontos. Als bewährte Sicherheitsmethode weisen Sie einem Benutzer Administratorzugriff zu und verwenden Sie nur den Root-Benutzer, um [Aufgaben auszuführen, die Root-Benutzerzugriff erfordern](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS sendet Ihnen nach Abschluss des Anmeldevorgangs eine Bestätigungs-E-Mail. Du kannst jederzeit deine aktuellen Kontoaktivitäten einsehen und dein Konto verwalten, indem du zu [https://aws.amazon.com/](https://aws.amazon.com/)gehst und **Mein Konto** auswählst.
## Erstellen eines Benutzers mit Administratorzugriff
Nachdem Sie sich für einen angemeldet haben AWS-Konto, sichern Sie Ihren Root-Benutzer des AWS-Kontos AWS IAM Identity Center, aktivieren und erstellen Sie einen Administratorbenutzer, sodass Sie den Root-Benutzer nicht für alltägliche Aufgaben verwenden.
**Sichern Sie Ihre Root-Benutzer des AWS-Kontos**
1. Melden Sie sich [AWS-Managementkonsole](https://console.aws.amazon.com/)als Kontoinhaber an, indem Sie **Root-Benutzer** auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.
Hilfe bei der Anmeldung mit dem Root-Benutzer finden Sie unter [Anmelden als Root-Benutzer](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) im *AWS-Anmeldung -Benutzerhandbuch* zu.
1. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer.
Anweisungen finden Sie unter [Aktivieren eines virtuellen MFA-Geräts für Ihren AWS-Konto Root-Benutzer (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) im *IAM-Benutzerhandbuch*.
**Erstellen eines Benutzers mit Administratorzugriff**
1. Aktivieren Sie das IAM Identity Center.
Anweisungen finden Sie unter [Aktivieren AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
1. Gewähren Sie einem Administratorbenutzer im IAM Identity Center Benutzerzugriff.
*Ein Tutorial zur Verwendung von IAM-Identity-Center-Verzeichnis als Identitätsquelle finden Sie IAM-Identity-Center-Verzeichnis im Benutzerhandbuch unter [Benutzerzugriff mit der Standardeinstellung konfigurieren](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html).AWS IAM Identity Center *
**Anmelden als Administratorbenutzer**
+ Um sich mit Ihrem IAM-Identity-Center-Benutzer anzumelden, verwenden Sie die Anmelde-URL, die an Ihre E-Mail-Adresse gesendet wurde, als Sie den IAM-Identity-Center-Benutzer erstellt haben.
Hilfe bei der Anmeldung mit einem IAM Identity Center-Benutzer finden Sie [im *AWS-Anmeldung Benutzerhandbuch* unter Anmeldung beim AWS Access-Portal](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html).
**Weiteren Benutzern Zugriff zuweisen**
1. Erstellen Sie im IAM-Identity-Center einen Berechtigungssatz, der den bewährten Vorgehensweisen für die Anwendung von geringsten Berechtigungen folgt.
Anweisungen hierzu finden Sie unter [ Berechtigungssatz erstellen](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
1. Weisen Sie Benutzer einer Gruppe zu und weisen Sie der Gruppe dann Single Sign-On-Zugriff zu.
Eine genaue Anleitung finden Sie unter [ Gruppen hinzufügen](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
## Konfigurieren Sie einen zu verwendenden IAM-Benutzer oder eine IAM-Rolle HealthLake (IAM-Administrator)
**Persona: IAM-Administrator**
Ein Benutzer, der IAM-Benutzer und -Rollen erstellen und Data Lake-Administratoren hinzufügen kann.
Diese Schritte in diesem Thema müssen von einem IAM-Administrator ausgeführt werden.
Um Ihren HealthLake Datenspeicher mit Athena zu verbinden, müssen Sie einen IAM-Benutzer oder eine IAM-Rolle erstellen, bei der es sich um einen Data Lake-Administrator und einen HealthLake Administrator handelt. Dieser neue Benutzer oder diese neue Rolle gewährt Zugriff auf Ressourcen, die sich in einem Datenspeicher über AWS Lake Formation befinden, und die `AmazonHealthLakeFullAccess` AWS verwaltete Richtlinie wird dem Benutzer oder der Rolle hinzugefügt.
**Wichtig**
Ein IAM-Benutzer oder eine IAM-Rolle, die ein Data Lake-Administrator ist, *kann keine* neuen Data Lake-Administratoren erstellen. Um einen weiteren Data Lake-Administrator hinzuzufügen, müssen Sie einen IAM-Benutzer oder eine IAM-Rolle verwenden, der bzw. der Zugriff gewährt `AdministratorAccess` wurde.
**Um einen Administrator zu erstellen**
1. Fügen Sie die von **AmazonHealthlakeFullAccess** IAM AWS verwaltete Richtlinie einem Benutzer oder einer Rolle in Ihrer Organisation hinzu.
*Wenn Sie mit der Erstellung eines IAM-Benutzers nicht vertraut sind, finden Sie weitere Informationen unter [Erstellen eines IAM-Benutzers](https://docs.aws.amazon.com//IAM/latest/UserGuide/Using_SettingUpUser.html#Using_CreateUser_console) und [Überblick über AWS IAM-Richtlinien im IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/PoliciesOverview.html).*
1. Gewähren Sie dem IAM-Benutzer oder der IAM-Rolle Zugriff auf AWS Lake Formation.
+ Fügen Sie einem Benutzer oder einer Rolle in Ihrer Organisation die folgende von IAM AWS verwaltete Richtlinie hinzu: **AWSLakeFormationDataAdmin**
**Anmerkung**
Die `AWSLakeFormationDataAdmin` Richtlinie gewährt Zugriff auf alle Ressourcen von AWS Lake Formation. Es wird empfohlen, immer die Mindestberechtigungen zu verwenden, die für die Ausführung Ihrer Aufgabe erforderlich sind. Weitere Informationen finden Sie unter [Bewährte Methoden für IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
1. Fügen Sie dem Benutzer oder der Rolle die folgende Inline-Richtlinie hinzu. Weitere Informationen finden Sie unter [Inline-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#inline-policies) im *IAM-Benutzerhandbuch*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-source-bucket/*",
"arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"ram:GetResourceShareInvitations",
"ram:AcceptResourceShareInvitation",
"glue:CreateDatabase",
"glue:DeleteDatabase"
],
"Resource": "*"
}
]
}
```
------
Weitere Informationen zu dieser `AWSLakeFormationDataAdmin` Richtlinie finden Sie unter [Lake Formation Personas and IAM Permissions Reference](https://docs.aws.amazon.com/) im *AWS Lake Formation Developer Guide*.
## Einen Benutzer oder eine Rolle als Data Lake-Administrator in Lake Formation hinzufügen (IAM-Administrator)
**Anmerkung**
Dieser Schritt ist erforderlich, wenn Sie integrieren[SQL-Index und Abfrage](integrating-athena.md).
Als Nächstes muss der IAM-Administrator den Benutzer oder die Rolle hinzufügen, die im vorherigen Schritt als Data Lake-Administrator in Lake Formation erstellt wurden.
**Um einen IAM-Benutzer oder eine IAM-Rolle als Data Lake-Administrator hinzuzufügen**
1. Öffnen Sie die AWS Lake Formation Formation-Konsole: [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)
**Anmerkung**
Wenn Sie Lake Formation zum ersten Mal besuchen, wird ein Dialogfeld **Willkommen bei Lake Formation** angezeigt, in dem Sie aufgefordert werden, einen Lake Formation-Administrator zu definieren.
![\[Bild eines Dialogfelds, in dem Sie aufgefordert werden, einen Lake Formation-Administrator zu definieren\]](http://docs.aws.amazon.com/de_de/healthlake/latest/devguide/images/lf-landing-page.png)
1. Weisen Sie dem neuen Benutzer oder der neuen Rolle die Rolle eines AWS Lake Formation Data Lake-Administrators zu.
+ *Option 1:* Wenn Sie das Dialogfeld **Willkommen bei Lake Formation** erhalten haben.
1. Wählen Sie **Weitere AWS Benutzer oder Rollen hinzufügen** aus.
1. Wählen Sie den **Abwärtspfeil (▼)**.
1. Wählen Sie den HealthLake Administrator aus, der auch Lake Formation-Administratoren sein soll.
1. Wählen Sie **Erste Schritte**.
+ *Option 2:* Verwenden Sie den **Navigationsbereich (☰)**.
1. Wählen Sie den **Navigationsbereich (☰)**.
1. Wählen Sie unter **Berechtigungen** die Option **Administrative Rollen und Aufgaben** aus.
1. Wählen Sie im Abschnitt **Data Lake-Administratoren** die Option **Administratoren auswählen** aus.
1. Wählen **Sie im Dialogfeld Data Lake-Administratoren verwalten** den **Abwärtspfeil (▼)** aus.
1. Wählen Sie als Nächstes die HealthLake Administratoren, Benutzer oder Rollen aus, die Sie auch Lake Formation-Administratoren sein möchten, oder suchen Sie nach ihnen.
1. Wählen Sie **Speichern**.
1. Ändern Sie die Standardsicherheitseinstellungen, die von Lake Formation verwaltet werden sollen. Die HealthLake Datenspeicherressourcen müssen von Lake Formation und *nicht* von IAM verwaltet werden. Informationen zur Aktualisierung finden Sie unter [Ändern des Standardberechtigungsmodells](https://docs.aws.amazon.com/lake-formation/latest/dg/getting-started-setup.html#setup-change-cat-settings) im *AWS Lake Formation Developer Guide*.
## S3-Buckets erstellen
Um FHIR R4-Daten in zwei Amazon S3-Buckets zu importieren AWS HealthLake, werden zwei Amazon S3 S3-Buckets empfohlen. Der Amazon S3 S3-Eingabe-Bucket enthält die zu importierenden FHIR-Daten und HealthLake liest aus diesem Bucket. Der Amazon S3 S3-Ausgabe-Bucket speichert die Verarbeitungsergebnisse des Importjobs und HealthLake schreibt (Logs) in diesen Bucket.
**Anmerkung**
Aufgrund der AWS Identity and Access Management (IAM-) Richtlinie müssen Ihre Amazon S3 S3-Bucket-Namen eindeutig sein. Weitere Informationen finden Sie unter [Benennungsregeln für Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html) im *Benutzerhandbuch zu Amazon Simple Storage Service*.
Für die Zwecke dieses Handbuchs geben wir die folgenden Amazon S3 S3-Eingabe- und Ausgabe-Buckets an, wenn wir später in diesem Abschnitt [Importberechtigungen](#setting-up-import-permissions) einrichten.
+ Eingabe-Bucket: `arn:aws:s3:::amzn-s3-demo-source-bucket`
+ Ausgabe-Bucket: `arn:aws:s3:::amzn-s3-demo-logging-bucket`
Weitere Informationen finden Sie unter [Erstellen eines Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) im *Amazon S3 S3-Benutzerhandbuch*.
## Einen Datenspeicher erstellen
Ein HealthLake Datenspeicher ist ein Repository mit FHIR R4-Daten, die sich in einer einzigen Region befinden. AWS Ein AWS Konto kann null oder viele Datenspeicher haben. HealthLake unterstützt zwei [Autorisierungsstrategien]() für Datenspeicher.
**Wichtig**
Bevor Sie einen HealthLake Datenspeicher erstellen, sollten Sie die [Dienststeuerungsrichtlinien (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) in Ihrer AWS Organisation überprüfen, die die Erstellung oder Verwaltung von HealthLake Ressourcen einschränken könnten. SCPs kann die erfolgreiche Erstellung von HealthLake Datenspeichern verhindern, selbst wenn Ihre IAM-Berechtigungen korrekt eingerichtet sind.
A `datastoreID` wird generiert, wenn Sie einen HealthLake Datenspeicher erstellen. Sie müssen die verwenden`datastoreID`, wenn Sie die [Importberechtigungen](#setting-up-import-permissions) später in diesem Abschnitt einrichten.
Informationen zum Erstellen eines HealthLake Datenspeichers finden Sie unter[Einen HealthLake Datenspeicher erstellen](managing-data-stores-create.md).
## Berechtigungen für Importaufträge einrichten
Bevor Sie Dateien in einen Datenspeicher importieren, müssen Sie die HealthLake Erlaubnis für den Zugriff auf Ihre Eingabe- und Ausgabe-Buckets in Amazon S3 erteilen. Um HealthLake Zugriff zu gewähren, erstellen Sie eine IAM-Servicerolle für HealthLake, fügen der Rolle eine Vertrauensrichtlinie hinzu, um Rollenübernahmeberechtigungen zu gewähren HealthLake , und fügen der Rolle eine Berechtigungsrichtlinie hinzu, die ihr Zugriff auf Ihre Amazon S3 S3-Buckets gewährt.
Wenn Sie einen Importauftrag erstellen, geben Sie den Amazon-Ressourcennamen (ARN) dieser Rolle für die an`DataAccessRoleArn`. Weitere Informationen zu IAM-Rollen und Vertrauensrichtlinien finden Sie unter [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
Nachdem Sie die Berechtigungen eingerichtet haben, können Sie Dateien mit einem Importauftrag in Ihren Datenspeicher importieren. Weitere Informationen finden Sie unter [Einen FHIR-Importjob starten](importing-fhir-data-start.md).
**So richten Sie Importberechtigungen ein**
1. Falls dies noch nicht geschehen ist, erstellen Sie einen Amazon S3 S3-Ziel-Bucket für Ausgabeprotokolldateien. Der Amazon S3 S3-Bucket muss sich in derselben AWS Region wie der Service befinden, und Block Public Access muss für alle Optionen aktiviert sein. Weitere Informationen finden Sie unter [Blockieren des öffentlichen Zugriffs mit Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html). Ein KMS-Schlüssel, der Amazon oder dem Kunden gehört, muss ebenfalls für die Verschlüsselung verwendet werden. Weitere Informationen zur Verwendung von KMS-Schlüsseln finden Sie unter [Amazon Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
1. Erstellen Sie eine Datenzugriffs-Servicerolle für HealthLake und erteilen Sie dem HealthLake Service die Erlaubnis, diese zu übernehmen. Beachten Sie dabei die folgende Vertrauensrichtlinie. HealthLake verwendet dies, um den Amazon S3 S3-Ausgabe-Bucket zu schreiben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"healthlake.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "accountID"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:healthlake:us-west-2:111122223333:datastore/fhir/datastoreID"
}
}
}
]
}
```
------
1. Fügen Sie der Datenzugriffsrolle eine Berechtigungsrichtlinie hinzu, die ihr den Zugriff auf den Amazon S3 S3-Bucket ermöglicht. `amzn-s3-demo-bucket`Ersetzen Sie es durch den Namen Ihres Buckets.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"s3:ListBucket",
"s3:GetBucketPublicAccessBlock",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-source-bucket"
],
"Effect": "Allow"
},
{
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
],
"Effect": "Allow"
},
{
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey*"
],
"Resource": [
"arn:aws:kms:us-east-1:012345678910:key/d330e7fc-b56c-4216-a250-f4c43ef46e83"
],
"Effect": "Allow"
}]
}
```
------
## Berechtigungen für Exportaufträge einrichten
Bevor Sie Dateien aus einem Datenspeicher exportieren, müssen Sie die HealthLake Erlaubnis für den Zugriff auf Ihren Ausgabe-Bucket in Amazon S3 erteilen. Um HealthLake Zugriff zu gewähren, erstellen Sie eine IAM-Servicerolle fürHealthLake, fügen der Rolle eine Vertrauensrichtlinie hinzu, um Rollenübernahmeberechtigungen zu gewähren HealthLake , und fügen der Rolle eine Berechtigungsrichtlinie hinzu, die ihr Zugriff auf Ihren Amazon S3 S3-Bucket gewährt.
Wenn Sie bereits eine Rolle für erstellt haben HealthLake, können Sie sie wiederverwenden und ihr die zusätzlichen Berechtigungen für Ihren Amazon S3 S3-Exportbucket gewähren, die in diesem Thema aufgeführt sind. Weitere Informationen zu IAM-Rollen und Vertrauensrichtlinien finden Sie unter [IAM-Richtlinien und](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) -Berechtigungen.
**Wichtig**
HealthLake unterstützt sowohl [native SDK-Exportanfragen](exporting-fhir-data.md) als auch den [FHIR](reference-fhir-operations-export.md) R4-Vorgang. `$export` Je nachdem, für welche Export-API Sie sich entscheiden, müssen separate IAM-Aktionen bereitgestellt werden. Auf diese Weise können Sie die Verwaltung `allow` und die `deny` Berechtigungen getrennt voneinander verwalten. Wenn Sie sowohl den HealthLake SDK- als auch den FHIR-REST-API-Export einschränken möchten, müssen Sie den einzelnen IAM-Aktionen die Zugriffsrechte verweigern. Änderungen der IAM-Benutzerberechtigungen sind nicht erforderlich, wenn Sie Benutzern vollen Zugriff auf gewähren. HealthLake
Die folgenden systemeigenen HealthLake Aktionen sind für den Export von Daten aus einem Datenspeicher mithilfe von AWS CLI und verfügbar AWS SDKs:
`StartFHIRExportJob`
`DescribeFHIRExportJob`
`ListFHIRExportJobs`
Die folgenden IAM-Aktionen sind für den Export von Daten aus einem HealthLake Datenspeicher und für das Abbrechen (Löschen) eines Exportauftrags mithilfe der FHIR-Operation verfügbar: `$export`
`POST`:
`StartFHIRExportJobWithPost`
`GET`:
`StartFHIRExportJobWithGet`
`DescribeFHIRExportJobWithGet`
`GetExportedFile`
`DELETE`:
`CancelFHIRExportJobWithDelete`
Der Benutzer oder die Rolle, der bzw. die Berechtigungen einrichtet, muss berechtigt sein, Rollen und Richtlinien zu erstellen und Rollen Richtlinien zuzuordnen. Die folgende IAM-Richtlinie gewährt diese Berechtigungen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "iam:PassRole",
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "healthlake.amazonaws.com"
}
}
}
]
}
```
------
**Um Exportberechtigungen einzurichten**
1. Falls dies noch nicht geschehen ist, erstellen Sie einen Amazon S3 S3-Ziel-Bucket für die Daten, die Sie aus Ihrem Datenspeicher exportieren möchten. Der Amazon S3 S3-Bucket muss sich in derselben AWS-Region wie der Service befinden, und Block Public Access muss für alle Optionen aktiviert sein. Weitere Informationen finden Sie unter [Blockieren des öffentlichen Zugriffs mit Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html). Ein KMS-Schlüssel, der Amazon oder dem Kunden gehört, muss ebenfalls für die Verschlüsselung verwendet werden. Weitere Informationen zur Verwendung von KMS-Schlüsseln finden Sie unter [Amazon Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
1. Falls Sie dies noch nicht getan haben, erstellen Sie eine Datenzugriffs-Servicerolle für HealthLake und erteilen Sie dem HealthLake Service die Erlaubnis, diese zu übernehmen. Beachten Sie dabei die folgende Vertrauensrichtlinie. HealthLakeverwendet dies, um den Amazon S3 S3-Ausgabe-Bucket zu schreiben. Wenn Sie bereits einen in erstellt haben[Berechtigungen für Importaufträge einrichten](#setting-up-import-permissions), können Sie ihn wiederverwenden und ihm im nächsten Schritt Berechtigungen für Ihren Amazon S3 S3-Bucket erteilen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"healthlake.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "accountID"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:healthlake:us-west-2:111122223333:datastore/fhir/data store ID"
}
}
}
]
}
```
------
1. Fügen Sie der Datenzugriffsrolle eine Berechtigungsrichtlinie hinzu, die ihr den Zugriff auf Ihren Amazon S3 S3-Ausgabe-Bucket ermöglicht. `amzn-s3-demo-bucket`Ersetzen Sie es durch den Namen Ihres Buckets.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"s3:ListBucket",
"s3:GetBucketPublicAccessBlock",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-source-bucket"
],
"Effect": "Allow"
},
{
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
],
"Effect": "Allow"
},
{
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey*"
],
"Resource": [
"arn:aws:kms:us-east-1:012345678910:key/d330e7fc-b56c-4216-a250-f4c43ef46e83"
],
"Effect": "Allow"
}]
}
```
------
## Installiere das AWS CLI
Der AWS CLI ist erforderlich, um die Eigenschaften von HealthLake Import- und Exportaufträgen zu beschreiben und aufzulisten. Sie können diese Informationen auch über anfordern HealthLake SDKs.
**Um das einzurichten AWS CLI**
1. Herunterladen und Konfigurieren von AWS CLI. Eine Anleitung finden Sie unter den folgenden Themen im *AWS Command Line Interface -Benutzerhandbuch*.
+ [Installation oder Aktualisierung der neuesten Version von AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)
+ [Erste Schritte mit dem AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)
1. Fügen Sie der AWS CLI `config` Datei ein benanntes Profil für den Administrator hinzu. Sie verwenden dieses Profil, wenn Sie die AWS CLI Befehle ausführen. Gemäß dem Sicherheitsprinzip der geringsten Rechte empfehlen wir Ihnen, eine separate IAM-Rolle mit spezifischen Rechten für die auszuführenden Aufgaben zu erstellen. Weitere Informationen zu benannten Profilen finden Sie im *AWS Command Line Interface Benutzerhandbuch* unter [Konfiguration und Einstellungen für Anmeldeinformationsdateien](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html).
```
[default]
aws_access_key_id = default access key ID
aws_secret_access_key = default secret access key
region = region
```
1. Überprüfen Sie das Setup mit dem folgenden `help` Befehl.
```
aws healthlake help
```
Wenn der richtig konfiguriert AWS CLI ist, sehen Sie eine kurze Beschreibung AWS HealthLake und eine Liste der verfügbaren Befehle.
# AWS HealthLake Tutorial
**Zielsetzung**
In diesem Tutorial importieren Sie FHIR R4-Daten mithilfe HealthLake systemeigener Aktionen in einen HealthLake Datenspeicher. Als Nächstes verwalten (erstellen, lesen, aktualisieren, löschen) Sie eine FHIR-Ressource mithilfe von FHIR. RESTful APIs Zum Abschluss des Tutorials exportieren Sie FHIR-Daten mithilfe systemeigener Aktionen. HealthLake
**Voraussetzungen**
Alle unter aufgeführten Verfahren [Einrichtung](getting-started-setting-up.md) sind erforderlich, um dieses Tutorial abzuschließen.
**Schritte des Tutorials**
1. [Starten Sie den FHIR-Importjob](importing-fhir-data-start.md)
1. [Holen Sie sich die Eigenschaften des FHIR-Importauftrags](importing-fhir-data-describe.md)
1. [FHIR-Ressource erstellen](managing-fhir-resources-create.md)
1. [Lesen Sie die FHIR-Ressource](managing-fhir-resources-read.md)
1. [Aktualisieren Sie die FHIR-Ressource](managing-fhir-resources-update.md)
1. [FHIR-Ressource löschen](managing-fhir-resources-delete.md)
1. [Exportieren Sie FHIR-Daten](exporting-fhir-data.md)
1. [Datenspeicher löschen](managing-data-stores-delete.md)