View a markdown version of this page

Einrichtung AWS HealthLake - AWS HealthLake
Melden Sie sich an für ein AWS-KontoKonfigurieren Sie einen IAM-Benutzer oder eine IAM-RolleFügen Sie einen Data Lake-Administratorbenutzer oder eine Rolle hinzuS3-Buckets erstellenEinen Datenspeicher erstellenRichten Sie Importberechtigungen einExportberechtigungen einrichtenInstalliere das AWS CLI

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichtung AWS HealthLake

In diesem Kapitel richten Sie mit dem die erforderlichen Berechtigungen ein, AWS-Managementkonsole um mit der Verwendung AWS HealthLake und Erstellung eines Datenspeichers zu beginnen. Um Berechtigungen für die Erstellung eines Datenspeichers einzurichten, erstellen Sie einen IAM-Benutzer oder eine IAM-Rolle, bei der es sich um einen Data HealthLake Lake-Administrator und -Administrator handelt. Sie machen diesen Benutzer in AWS Lake Formation zum Data Lake-Administrator. Der Data Lake-Administrator gewährt Lake Formation Zugriff auf Ressourcen, die für die Verwendung von Amazon Athena zur Abfrage eines Datenspeichers erforderlich sind. Nachdem Sie einen HealthLake Datenspeicher erstellt haben, können Sie Berechtigungen für den Import und Export von Dateien einrichten.

Melden Sie sich an für ein AWS-Konto

Um loszulegen AWS, benötigen Sie eine AWS-Konto. Informationen zum Erstellen eines AWS-Konto finden Sie unter Erste Schritte mit einem AWS-Konto im AWS -Kontenverwaltung Referenzhandbuch.

Konfigurieren Sie einen zu verwendenden IAM-Benutzer oder eine IAM-Rolle HealthLake (IAM-Administrator)

Persona: IAM-Administrator

Ein Benutzer, der IAM-Benutzer und -Rollen erstellen und Data Lake-Administratoren hinzufügen kann.

Diese Schritte in diesem Thema müssen von einem IAM-Administrator ausgeführt werden.

Um Ihren HealthLake Datenspeicher mit Athena zu verbinden, müssen Sie einen IAM-Benutzer oder eine IAM-Rolle erstellen, bei der es sich um einen Data Lake-Administrator und einen HealthLake Administrator handelt. Dieser neue Benutzer oder diese neue Rolle gewährt Zugriff auf Ressourcen, die sich in einem Datenspeicher über AWS Lake Formation befinden, und die AmazonHealthLakeFullAccess AWS verwaltete Richtlinie wird dem Benutzer oder der Rolle hinzugefügt.

Wichtig

Ein IAM-Benutzer oder eine IAM-Rolle, die ein Data Lake-Administrator ist, kann keine neuen Data Lake-Administratoren erstellen. Um einen weiteren Data Lake-Administrator hinzuzufügen, müssen Sie einen IAM-Benutzer oder eine IAM-Rolle verwenden, der bzw. der Zugriff gewährt AdministratorAccess wurde.

Um einen Administrator zu erstellen

  1. Fügen Sie die von AmazonHealthlakeFullAccess IAM AWS verwaltete Richtlinie einem Benutzer oder einer Rolle in Ihrer Organisation hinzu.

    Wenn Sie mit der Erstellung eines IAM-Benutzers nicht vertraut sind, finden Sie weitere Informationen unter Erstellen eines IAM-Benutzers und Überblick über AWS IAM-Richtlinien im IAM-Benutzerhandbuch.

  2. Gewähren Sie dem IAM-Benutzer oder der IAM-Rolle Zugriff auf AWS Lake Formation.

    • Fügen Sie einem Benutzer oder einer Rolle in Ihrer Organisation die folgende von IAM AWS verwaltete Richtlinie hinzu: AWSLakeFormationDataAdmin

      Anmerkung

      Die AWSLakeFormationDataAdmin Richtlinie gewährt Zugriff auf alle Ressourcen von AWS Lake Formation. Es wird empfohlen, immer die Mindestberechtigungen zu verwenden, die für die Ausführung Ihrer Aufgabe erforderlich sind. Weitere Informationen finden Sie unter Bewährte Methoden für IAM im IAM-Benutzerhandbuch.

  3. Fügen Sie dem Benutzer oder der Rolle die folgende Inline-Richtlinie hinzu. Weitere Informationen finden Sie unter Inline-Richtlinien im IAM-Benutzerhandbuch.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-source-bucket/*",
                "arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ram:GetResourceShareInvitations",
                "ram:AcceptResourceShareInvitation",
                "glue:CreateDatabase",
                "glue:DeleteDatabase"
            ],
            "Resource": "*"
        }
    ]
}

Weitere Informationen zu dieser AWSLakeFormationDataAdmin Richtlinie finden Sie unter Lake Formation Personas and IAM Permissions Reference im AWS Lake Formation Developer Guide.

Einen Benutzer oder eine Rolle als Data Lake-Administrator in Lake Formation hinzufügen (IAM-Administrator)

Anmerkung

Dieser Schritt ist erforderlich, wenn Sie integrierenSQL-Index und Abfrage.

Als Nächstes muss der IAM-Administrator den Benutzer oder die Rolle hinzufügen, die im vorherigen Schritt als Data Lake-Administrator in Lake Formation erstellt wurden.

Um einen IAM-Benutzer oder eine IAM-Rolle als Data Lake-Administrator hinzuzufügen

  1. Öffnen Sie die AWS Lake Formation Formation-Konsole: https://console.aws.amazon.com/lakeformation/

    Anmerkung

    Wenn Sie Lake Formation zum ersten Mal besuchen, wird ein Dialogfeld Willkommen bei Lake Formation angezeigt, in dem Sie aufgefordert werden, einen Lake Formation-Administrator zu definieren.

    Bild eines Dialogfelds, in dem Sie aufgefordert werden, einen Lake Formation-Administrator zu definieren

  2. Weisen Sie dem neuen Benutzer oder der neuen Rolle die Rolle eines AWS Lake Formation Data Lake-Administrators zu.

    • Option 1: Wenn Sie das Dialogfeld Willkommen bei Lake Formation erhalten haben.

      1. Wählen Sie Weitere AWS Benutzer oder Rollen hinzufügen aus.

      2. Wählen Sie den Abwärtspfeil (▼).

      3. Wählen Sie den HealthLake Administrator aus, der auch Lake Formation-Administratoren sein soll.

      4. Wählen Sie Erste Schritte.

    • Option 2: Verwenden Sie den Navigationsbereich (☰).

      1. Wählen Sie den Navigationsbereich (☰).

      2. Wählen Sie unter Berechtigungen die Option Administrative Rollen und Aufgaben aus.

      3. Wählen Sie im Abschnitt Data Lake-Administratoren die Option Administratoren auswählen aus.

      4. Wählen Sie im Dialogfeld Data Lake-Administratoren verwalten den Abwärtspfeil (▼) aus.

      5. Wählen Sie als Nächstes die HealthLake Administratoren, Benutzer oder Rollen aus, die Sie auch Lake Formation-Administratoren sein möchten, oder suchen Sie nach ihnen.

      6. Wählen Sie Speichern.

  3. Ändern Sie die Standardsicherheitseinstellungen, die von Lake Formation verwaltet werden sollen. Die HealthLake Datenspeicherressourcen müssen von Lake Formation und nicht von IAM verwaltet werden. Informationen zur Aktualisierung finden Sie unter Ändern des Standardberechtigungsmodells im AWS Lake Formation Developer Guide.

S3-Buckets erstellen

Um FHIR R4-Daten in zwei Amazon S3-Buckets zu importieren AWS HealthLake, werden zwei Amazon S3 S3-Buckets empfohlen. Der Amazon S3 S3-Eingabe-Bucket enthält die zu importierenden FHIR-Daten und HealthLake liest aus diesem Bucket. Der Amazon S3 S3-Ausgabe-Bucket speichert die Verarbeitungsergebnisse des Importjobs und HealthLake schreibt (Logs) in diesen Bucket.

Anmerkung

Aufgrund der AWS Identity and Access Management (IAM-) Richtlinie müssen Ihre Amazon S3 S3-Bucket-Namen eindeutig sein. Weitere Informationen finden Sie unter Benennungsregeln für Buckets im Benutzerhandbuch zu Amazon Simple Storage Service.

Für die Zwecke dieses Handbuchs geben wir die folgenden Amazon S3 S3-Eingabe- und Ausgabe-Buckets an, wenn wir später in diesem Abschnitt Importberechtigungen einrichten.

  • Eingabe-Bucket: arn:aws:s3:::amzn-s3-demo-source-bucket

  • Ausgabe-Bucket: arn:aws:s3:::amzn-s3-demo-logging-bucket

Weitere Informationen finden Sie unter Erstellen eines Buckets im Amazon S3 S3-Benutzerhandbuch.

Einen Datenspeicher erstellen

Ein HealthLake Datenspeicher ist ein Repository mit FHIR R4-Daten, die sich in einer einzigen Region befinden. AWS Ein AWS Konto kann null oder viele Datenspeicher haben. HealthLake unterstützt zwei Autorisierungsstrategien für Datenspeicher.

Wichtig

Bevor Sie einen HealthLake Datenspeicher erstellen, sollten Sie die Service Control Policies (SCPs) in Ihrer AWS Organisation überprüfen, die die Erstellung oder Verwaltung von HealthLake Ressourcen einschränken könnten. SCPs können die erfolgreiche Erstellung von HealthLake Datenspeichern verhindern, selbst wenn Ihre IAM-Berechtigungen korrekt eingerichtet sind.

A datastoreID wird generiert, wenn Sie einen HealthLake Datenspeicher erstellen. Sie müssen die verwendendatastoreID, wenn Sie die Importberechtigungen später in diesem Abschnitt einrichten.

Informationen zum Erstellen eines HealthLake Datenspeichers finden Sie unterEinen HealthLake Datenspeicher erstellen.

Berechtigungen für Importaufträge einrichten

Bevor Sie Dateien in einen Datenspeicher importieren, müssen Sie die HealthLake Erlaubnis für den Zugriff auf Ihre Eingabe- und Ausgabe-Buckets in Amazon S3 erteilen. Um HealthLake Zugriff zu gewähren, erstellen Sie eine IAM-Servicerolle für HealthLake, fügen der Rolle eine Vertrauensrichtlinie hinzu, um Rollenübernahmeberechtigungen zu gewähren HealthLake , und fügen der Rolle eine Berechtigungsrichtlinie hinzu, die ihr Zugriff auf Ihre Amazon S3 S3-Buckets gewährt.

Wenn Sie einen Importauftrag erstellen, geben Sie den Amazon-Ressourcennamen (ARN) dieser Rolle für die anDataAccessRoleArn. Weitere Informationen zu IAM-Rollen und Vertrauensrichtlinien finden Sie unter IAM-Rollen.

Nachdem Sie die Berechtigungen eingerichtet haben, können Sie Dateien mit einem Importauftrag in Ihren Datenspeicher importieren. Weitere Informationen finden Sie unter Einen FHIR-Importjob starten.

Um Importberechtigungen einzurichten

  1. Falls dies noch nicht geschehen ist, erstellen Sie einen Amazon S3 S3-Ziel-Bucket für Ausgabeprotokolldateien. Der Amazon S3 S3-Bucket muss sich in derselben AWS Region wie der Service befinden, und Block Public Access muss für alle Optionen aktiviert sein. Weitere Informationen finden Sie unter Blockieren des öffentlichen Zugriffs mit Amazon S3. Für die Verschlüsselung muss auch ein KMS-Schlüssel Amazon-owned oder ein kundeneigener KMS-Schlüssel verwendet werden. Weitere Informationen zur Verwendung von KMS-Schlüsseln finden Sie unter Amazon Key Management Service.

  2. Erstellen Sie eine Datenzugriffs-Servicerolle für HealthLake und erteilen Sie dem HealthLake Service die Erlaubnis, diese zu übernehmen. Beachten Sie dabei die folgende Vertrauensrichtlinie. HealthLake verwendet dies, um den Amazon S3 S3-Ausgabe-Bucket zu schreiben.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "healthlake.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "accountID"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:healthlake:us-west-2:111122223333:datastore/fhir/datastoreID"
                }
            }
        }
    ]
}

  3. Fügen Sie der Datenzugriffsrolle eine Berechtigungsrichtlinie hinzu, die ihr den Zugriff auf den Amazon S3 S3-Bucket ermöglicht. amzn-s3-demo-bucketErsetzen Sie es durch den Namen Ihres Buckets.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [{
        "Action": [
            "s3:ListBucket",
            "s3:GetBucketPublicAccessBlock",
            "s3:GetEncryptionConfiguration"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "s3:PutObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "kms:DescribeKey",
            "kms:GenerateDataKey*"
        ],
        "Resource": [
            "arn:aws:kms:us-east-1:012345678910:key/d330e7fc-b56c-4216-a250-f4c43ef46e83"
        ],
        "Effect": "Allow"
    }]
}

Berechtigungen für Exportaufträge einrichten

Bevor Sie Dateien aus einem Datenspeicher exportieren, müssen Sie die HealthLake Erlaubnis für den Zugriff auf Ihren Ausgabe-Bucket in Amazon S3 erteilen. Um HealthLake Zugriff zu gewähren, erstellen Sie eine IAM-Servicerolle fürHealthLake, fügen der Rolle eine Vertrauensrichtlinie hinzu, um Rollenübernahmeberechtigungen zu gewähren HealthLake , und fügen der Rolle eine Berechtigungsrichtlinie hinzu, die ihr Zugriff auf Ihren Amazon S3 S3-Bucket gewährt.

Wenn Sie bereits eine Rolle für erstellt haben HealthLake, können Sie sie wiederverwenden und ihr die zusätzlichen Berechtigungen für Ihren Amazon S3 S3-Exportbucket gewähren, die in diesem Thema aufgeführt sind. Weitere Informationen zu IAM-Rollen und Vertrauensrichtlinien finden Sie unter IAM-Richtlinien und -Berechtigungen.

Wichtig

HealthLake unterstützt sowohl native SDK-Exportanfragen als auch den FHIR R4-Vorgang. $export Je nachdem, für welche Export-API Sie sich entscheiden, müssen separate IAM-Aktionen bereitgestellt werden. Auf diese Weise können Sie die Verwaltung allow und die deny Berechtigungen getrennt voneinander verwalten. Wenn Sie sowohl den HealthLake SDK- als auch den FHIR-REST-API-Export einschränken möchten, müssen Sie den einzelnen IAM-Aktionen die Zugriffsrechte verweigern. Änderungen der IAM-Benutzerberechtigungen sind nicht erforderlich, wenn Sie Benutzern vollen Zugriff auf gewähren. HealthLake

Verwenden AWS CLI und AWS SDKs:

Die folgenden systemeigenen HealthLake Aktionen sind für den Export von Daten aus einem Datenspeicher mithilfe der AWS SDKs AWS CLI und verfügbar:

  • StartFHIRExportJob

  • DescribeFHIRExportJob

  • ListFHIRExportJobs

Verwendung von FHIR-APIs:

Die folgenden IAM-Aktionen sind für den Export von Daten aus einem HealthLake Datenspeicher und für das Abbrechen (Löschen) eines Exportauftrags mithilfe der FHIR-Operation verfügbar: $export

POST:

  • StartFHIRExportJobWithPost

GET:

  • StartFHIRExportJobWithGet

  • DescribeFHIRExportJobWithGet

  • GetExportedFile

DELETE:

  • CancelFHIRExportJobWithDelete

Der Benutzer oder die Rolle, der bzw. die Berechtigungen einrichtet, muss berechtigt sein, Rollen und Richtlinien zu erstellen und Rollen Richtlinien zuzuordnen. Die folgende IAM-Richtlinie gewährt diese Berechtigungen.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Action": [
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "healthlake.amazonaws.com"
                }
            }
        }
    ]
}
Um Exportberechtigungen einzurichten

  1. Falls dies noch nicht geschehen ist, erstellen Sie einen Amazon S3 S3-Ziel-Bucket für die Daten, die Sie aus Ihrem Datenspeicher exportieren möchten. Der Amazon S3 S3-Bucket muss sich in derselben AWS-Region wie der Service befinden, und Block Public Access muss für alle Optionen aktiviert sein. Weitere Informationen finden Sie unter Blockieren des öffentlichen Zugriffs mit Amazon S3. Für die Verschlüsselung muss auch ein KMS-Schlüssel Amazon-owned oder ein kundeneigener KMS-Schlüssel verwendet werden. Weitere Informationen zur Verwendung von KMS-Schlüsseln finden Sie unter Amazon Key Management Service.

  2. Falls Sie dies noch nicht getan haben, erstellen Sie eine Datenzugriffs-Servicerolle für HealthLake und erteilen Sie dem HealthLake Service die Erlaubnis, diese zu übernehmen. Beachten Sie dabei die folgende Vertrauensrichtlinie. HealthLakeverwendet dies, um den Amazon S3 S3-Ausgabe-Bucket zu schreiben. Wenn Sie bereits einen in erstellt habenBerechtigungen für Importaufträge einrichten, können Sie ihn wiederverwenden und ihm im nächsten Schritt Berechtigungen für Ihren Amazon S3 S3-Bucket erteilen.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "healthlake.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "accountID"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:healthlake:us-west-2:111122223333:datastore/fhir/data store ID"
                }
            }
        }
    ]
}

  3. Fügen Sie der Datenzugriffsrolle eine Berechtigungsrichtlinie hinzu, die ihr den Zugriff auf Ihren Amazon S3 S3-Ausgabe-Bucket ermöglicht. amzn-s3-demo-bucketErsetzen Sie es durch den Namen Ihres Buckets.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [{
        "Action": [
            "s3:ListBucket",
            "s3:GetBucketPublicAccessBlock",
            "s3:GetEncryptionConfiguration"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "s3:PutObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "kms:DescribeKey",
            "kms:GenerateDataKey*"
        ],
        "Resource": [
            "arn:aws:kms:us-east-1:012345678910:key/d330e7fc-b56c-4216-a250-f4c43ef46e83"
        ],
        "Effect": "Allow"
    }]
}

Installiere das AWS CLI

Der AWS CLI ist erforderlich, um die Eigenschaften von HealthLake Import- und Exportaufträgen zu beschreiben und aufzulisten. Sie können diese Informationen auch mithilfe von HealthLake SDKs anfordern.

Um das einzurichten AWS CLI

  1. Herunterladen und Konfigurieren von AWS CLI. Eine Anleitung finden Sie unter den folgenden Themen im AWS Command Line Interface -Benutzerhandbuch.

  2. Fügen Sie der AWS CLI config Datei ein benanntes Profil für den Administrator hinzu. Sie verwenden dieses Profil, wenn Sie die AWS CLI Befehle ausführen. Gemäß dem Sicherheitsprinzip der geringsten Rechte empfehlen wir Ihnen, eine separate IAM-Rolle mit spezifischen Rechten für die auszuführenden Aufgaben zu erstellen. Weitere Informationen zu benannten Profilen finden Sie im AWS Command Line Interface Benutzerhandbuch unter Konfiguration und Einstellungen für Anmeldeinformationsdateien.

    [default]
aws_access_key_id = default access key ID
aws_secret_access_key = default secret access key
region = region

  3. Überprüfen Sie das Setup mit dem folgenden help Befehl.

    aws healthlake help

    Wenn der richtig konfiguriert AWS CLI ist, sehen Sie eine kurze Beschreibung AWS HealthLake und eine Liste der verfügbaren Befehle.