Berechtigungen für Importjobs einrichten - AWS HealthLake

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungen für Importjobs einrichten

Bevor Sie Dateien in einen Datenspeicher importieren, müssen Sie die HealthLake Erlaubnis für den Zugriff auf Ihre Eingabe- und Ausgabe-Buckets in Amazon S3 erteilen. Um HealthLake Zugriff zu gewähren, erstellen Sie eine IAM Servicerolle für HealthLake, fügen der Rolle eine Vertrauensrichtlinie hinzu, um Rollenübernahmeberechtigungen zu gewähren HealthLake , und fügen der Rolle eine Berechtigungsrichtlinie hinzu, die ihr Zugriff auf Ihre Amazon S3 S3-Buckets gewährt.

Wenn Sie einen Importauftrag erstellen, geben Sie den Amazon-Ressourcennamen (ARN) dieser Rolle für die anDataAccessRoleArn. Weitere Informationen zu IAM Rollen und Vertrauensrichtlinien finden Sie unter IAMRollen.

Nachdem Sie die Berechtigungen eingerichtet haben, können Sie Dateien mit einem Importauftrag in Ihren Datenspeicher importieren. Weitere Informationen finden Sie unter Starten Sie einen Importjob in HealthLake.

So richten Sie Importberechtigungen ein

  1. Falls dies noch nicht geschehen ist, erstellen Sie einen Amazon S3 S3-Ziel-Bucket für Ausgabeprotokolldateien. Der Amazon S3 S3-Bucket muss sich in derselben AWS Region wie der Service befinden, und Block Public Access muss für alle Optionen aktiviert sein. Weitere Informationen finden Sie unter Blockieren des öffentlichen Zugriffs mit Amazon S3. Für die Verschlüsselung muss auch ein Amazon-eigener oder kundeneigener KMS Schlüssel verwendet werden. Weitere Informationen zur Verwendung von KMS Schlüsseln finden Sie unter Amazon Key Management Service.

  2. Erstellen Sie eine Datenzugriffs-Servicerolle für HealthLake und erteilen Sie dem HealthLake Service die Erlaubnis, diese zu übernehmen. Beachten Sie dabei die folgende Vertrauensrichtlinie. HealthLake verwendet dies, um den Amazon S3 S3-Ausgabe-Bucket zu schreiben. 

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": ["healthlake.amazonaws.com"]
        },
        "Action": "sts:AssumeRole",
        "Condition": {
            "StringEquals": {
                "aws:SourceAccount": "your-account-id"
            },
            "ArnEquals": {
                "aws:SourceArn": "arn:aws:healthlake:us-west-2:account:datastore/fhir/data store ID"
            }
        }
    }]
}

  3. Fügen Sie der Datenzugriffsrolle eine Berechtigungsrichtlinie hinzu, die ihr den Zugriff auf den Amazon S3 S3-Bucket ermöglicht. amzn-s3-demo-bucketErsetzen Sie es durch den Namen Ihres Buckets.

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Action": [
            "s3:ListBucket",
            "s3:GetBucketPublicAccessBlock",
            "s3:GetEncryptionConfiguration"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "s3:PutObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "kms:DescribeKey",
            "kms:GenerateDataKey*"
        ],
        "Resource": [
            "arn:aws:kms:us-east-1:012345678910:key/d330e7fc-b56c-4216-a250-f4c43ef46e83"
        ],
        "Effect": "Allow"
    }]
}