View a markdown version of this page

Configuration AWS HealthLake - AWS HealthLake
Inscrivez-vous pour un Compte AWSConfiguration d'un utilisateur ou d'un rôle IAMAjouter un utilisateur ou un rôle d'administrateur de Data LakeCréation de compartiments S3Création d'un magasin de donnéesConfigurer les autorisations d'importationConfigurer les autorisations d'exportationInstaller la   AWS CLI

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration AWS HealthLake

Dans ce chapitre, vous allez utiliser le AWS Management Console pour configurer les autorisations requises pour commencer à utiliser AWS HealthLake et à créer un magasin de données. Pour configurer les autorisations nécessaires à la création d'un magasin de données, vous devez créer un utilisateur ou un rôle IAM qui est un administrateur et HealthLake un administrateur de lac de données. Vous faites de cet utilisateur un administrateur de lac de données dans AWS Lake Formation. L'administrateur du lac de données accorde à Lake Formation l'accès aux ressources nécessaires pour utiliser Amazon Athena afin d'interroger un magasin de données. Après avoir créé un magasin de HealthLake données, vous pouvez configurer les autorisations d'importation et d'exportation de fichiers.

Inscrivez-vous pour un Compte AWS

Pour commencer AWS, vous avez besoin d'un Compte AWS. Pour plus d'informations sur la création d'un Compte AWS, voir Getting started with an Compte AWS dans le Guide de Gestion de compte AWS référence.

Configuration d'un utilisateur ou d'un rôle IAM à utiliser HealthLake (administrateur IAM)

Persona : administrateur IAM

Utilisateur capable de créer des utilisateurs et des rôles IAM et d'ajouter des administrateurs de data lake.

Les étapes décrites dans cette rubrique doivent être effectuées par un administrateur IAM.

Pour connecter votre banque de HealthLake données à Athena, vous devez créer un utilisateur ou un rôle IAM à la fois administrateur de lac de données et administrateur. HealthLake Ce nouvel utilisateur ou rôle accorde l'accès aux ressources trouvées dans un magasin de données via AWS Lake Formation, et la politique AmazonHealthLakeFullAccess AWS gérée est ajoutée à son utilisateur ou à son rôle.

Important

Un utilisateur ou un rôle IAM administrateur de lac de données ne peut pas créer de nouveaux administrateurs de lacs de données. Pour ajouter un administrateur de lac de données supplémentaire, vous devez utiliser un utilisateur ou un rôle IAM auquel l'AdministratorAccessaccès a été accordé.

Pour créer un administrateur

  1. Ajoutez la politique AWS gérée par AmazonHealthlakeFullAccess IAM à un utilisateur ou à un rôle au sein de votre organisation.

    Si vous n'êtes pas habitué à créer un utilisateur IAM, consultez les sections Création d'un utilisateur IAM et Présentation des politiques AWS IAM dans le guide de l'utilisateur IAM.

  2. Accordez à l'utilisateur ou au rôle IAM l'accès à AWS Lake Formation.

    • Ajoutez la politique AWS gérée par IAM suivante à un utilisateur ou à un rôle au sein de votre organisation : AWSLakeFormationDataAdmin

      Note

      La AWSLakeFormationDataAdmin politique donne accès à toutes les ressources AWS du Lake Formation. Nous vous recommandons de toujours utiliser les autorisations minimales requises pour accomplir votre tâche. Pour plus d'informations, consultez Bonnes pratiques IAM dans le Guide de l'utilisateur IAM.

  3. Ajoutez la politique intégrée suivante à l'utilisateur ou au rôle. Pour plus d'informations, consultez la section Politiques intégrées dans le guide de l'utilisateur IAM.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-source-bucket/*",
                "arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ram:GetResourceShareInvitations",
                "ram:AcceptResourceShareInvitation",
                "glue:CreateDatabase",
                "glue:DeleteDatabase"
            ],
            "Resource": "*"
        }
    ]
}

Pour plus d'informations sur cette AWSLakeFormationDataAdmin politique, consultez la section Lake Formation Personas and IAM Permissions Reference dans le AWS Lake Formation Developer Guide.

Ajouter un utilisateur ou un rôle en tant qu'administrateur du lac de données dans Lake Formation (administrateur IAM)

Note

Cette étape est obligatoire si vous procédez à une intégrationIndex et requête SQL.

Ensuite, l'administrateur IAM doit ajouter l'utilisateur ou le rôle créé à l'étape précédente en tant qu'administrateur de lac de données dans Lake Formation.

Pour ajouter un utilisateur ou un rôle IAM en tant qu'administrateur de lac de données

  1. Ouvrez la console AWS Lake Formation : https://console.aws.amazon.com/lakeformation/

    Note

    Si c'est la première fois que vous visitez Lake Formation, une boîte de dialogue Welcome to Lake Formation apparaît, vous demandant de définir un administrateur de Lake Formation.

    Image d'une boîte de dialogue vous demandant de définir un administrateur de formation lacustre

  2. Attribuez au nouvel utilisateur ou au nouveau rôle un administrateur AWS du lac de données de Lake Formation.

    • Option 1 : Si vous avez reçu la boîte de dialogue Welcome to Lake Formation.

      1. Choisissez Ajouter d'autres AWS utilisateurs ou rôles.

      2. Cliquez sur la flèche vers le bas (▼).

      3. Choisissez l' HealthLake administrateur que vous souhaitez également voir administrateur de Lake Formation.

      4. Choisissez Démarrer.

    • Option 2 : utilisez le volet de navigation (☰).

      1. Choisissez le volet de navigation (☰).

      2. Sous Autorisations, sélectionnez Rôles et tâches administratifs.

      3. Dans la section Administrateurs du lac de données, sélectionnez Choisir les administrateurs.

      4. Dans la boîte de dialogue Gérer les administrateurs des lacs de données, cliquez sur la flèche vers le bas (▼).

      5. Ensuite, sélectionnez ou recherchez les HealthLake administrateurs, utilisateurs ou rôles que vous souhaitez également voir devenir administrateurs de Lake Formation.

      6. Choisissez Enregistrer.

  3. Modifiez les paramètres de sécurité par défaut à gérer par Lake Formation. Les ressources du magasin de HealthLake données doivent être gérées par Lake Formation et non par IAM. Pour effectuer une mise à jour, voir Modifier le modèle d'autorisation par défaut dans le guide du développeur de AWS Lake Formation.

Création de compartiments S3

Pour importer des données FHIR R4 dans AWS HealthLake, deux compartiments Amazon S3 sont recommandés. Le compartiment d'entrée Amazon S3 contient les données FHIR à importer et HealthLake lit à partir de ce compartiment. Le compartiment de sortie Amazon S3 stocke les résultats du traitement de la tâche d'importation et HealthLake écrit (journaux) dans ce compartiment.

Note

En raison de la politique Gestion des identités et des accès AWS (IAM), les noms de vos compartiments Amazon S3 doivent être uniques. Pour plus d'informations, veuillez consulter la section Règles de dénomination de compartiment dans le Guide de l'utilisateur Amazon Simple Storage Service.

Dans le cadre de ce guide, nous indiquons les compartiments d'entrée et de sortie Amazon S3 suivants lors de la configuration des autorisations d'importation plus loin dans cette section.

  • Seau d'entrée : arn:aws:s3:::amzn-s3-demo-source-bucket

  • Seau de sortie : arn:aws:s3:::amzn-s3-demo-logging-bucket

Pour plus d'informations, consultez la section Création d'un compartiment dans le guide de l'utilisateur Amazon S3.

Création d'un magasin de données

Un magasin de HealthLake données est un référentiel de données FHIR R4 résidant dans une seule AWS région. Un AWS compte peut avoir zéro ou plusieurs banques de données. HealthLake prend en charge deux stratégies d'autorisation de stockage de données.

Important

Avant de créer un magasin de HealthLake données, consultez les politiques de contrôle des services (SCP) de votre AWS organisation susceptibles de restreindre la création ou la gestion des HealthLake ressources. Les SCP peuvent empêcher la création réussie de magasins de HealthLake données, même si vos autorisations IAM sont correctement configurées.

A datastoreID est généré lorsque vous créez un magasin HealthLake de données. Vous devez utiliser le datastoreID lors de la configuration des autorisations d'importation plus loin dans cette section.

Pour créer un magasin HealthLake de données, voirCréation d'un magasin HealthLake de données.

Configuration des autorisations pour les tâches d'importation

Avant d'importer des fichiers dans un magasin de données, vous devez HealthLake autoriser l'accès à vos compartiments d'entrée et de sortie dans Amazon S3. Pour accorder HealthLake l'accès, vous créez un rôle de service IAM pour HealthLake, vous ajoutez une politique de confiance au rôle pour accorder les autorisations d' HealthLake assumer le rôle, et vous attachez une politique d'autorisation au rôle qui lui accorde l'accès à vos compartiments Amazon S3.

Lorsque vous créez une tâche d'importation, vous spécifiez le nom de ressource Amazon (ARN) de ce rôle pour leDataAccessRoleArn. Pour plus d'informations sur les rôles IAM et les politiques de confiance, consultez la section Rôles IAM.

Après avoir configuré l'autorisation, vous êtes prêt à importer des fichiers dans votre banque de données à l'aide d'une tâche d'importation. Pour de plus amples informations, veuillez consulter Démarrage d'une tâche d'importation FHIR.

Pour configurer les autorisations d'importation

  1. Si ce n'est pas déjà fait, créez un compartiment Amazon S3 de destination pour les fichiers journaux de sortie. Le compartiment Amazon S3 doit se trouver dans la même AWS région que le service, et le blocage de l'accès public doit être activé pour toutes les options. Pour en savoir plus, consultez Utiliser Amazon S3 pour bloquer l'accès public. Une clé KMS Amazon-owned ou une clé KMS appartenant au client doit également être utilisée pour le chiffrement. Pour en savoir plus sur l'utilisation des clés KMS, consultez Amazon Key Management Service.

  2. Créez un rôle de service d'accès aux données pour HealthLake et autorisez le HealthLake service à l'assumer conformément à la politique de confiance suivante. HealthLake l'utilise pour écrire le bucket Amazon S3 de sortie.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "healthlake.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "accountID"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:healthlake:us-west-2:111122223333:datastore/fhir/datastoreID"
                }
            }
        }
    ]
}

  3. Ajoutez une politique d'autorisation au rôle d'accès aux données qui lui permet d'accéder au compartiment Amazon S3. amzn-s3-demo-bucketRemplacez-le par le nom de votre compartiment.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [{
        "Action": [
            "s3:ListBucket",
            "s3:GetBucketPublicAccessBlock",
            "s3:GetEncryptionConfiguration"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "s3:PutObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "kms:DescribeKey",
            "kms:GenerateDataKey*"
        ],
        "Resource": [
            "arn:aws:kms:us-east-1:012345678910:key/d330e7fc-b56c-4216-a250-f4c43ef46e83"
        ],
        "Effect": "Allow"
    }]
}

Configuration des autorisations pour les tâches d'exportation

Avant d'exporter des fichiers depuis un magasin de données, vous devez HealthLake autoriser l'accès à votre compartiment de sortie dans Amazon S3. Pour accorder HealthLake l'accès, vous créez un rôle de service IAM pourHealthLake, vous ajoutez une politique de confiance au rôle pour accorder les autorisations d' HealthLake assumer le rôle, et vous attachez une politique d'autorisation au rôle qui lui accorde l'accès à votre compartiment Amazon S3.

Si vous avez déjà créé un rôle pour HealthLake, vous pouvez le réutiliser et lui accorder les autorisations supplémentaires pour votre compartiment Amazon S3 d'exportation répertoriées dans cette rubrique. Pour en savoir plus sur les rôles IAM et les politiques de confiance, consultez Politiques et autorisations IAM.

Important

HealthLake prend en charge à la fois les demandes d'exportation du SDK natif et l'opération FHIR $export R4. Des actions IAM distinctes doivent être fournies en fonction de l'API d'exportation que vous décidez d'utiliser. Cela vous permet de gérer allow et deny d'autoriser séparément. Si vous souhaitez restreindre les exportations du HealthLake SDK et de l'API REST FHIR, vous devez appliquer des autorisations de refus aux différentes actions IAM. Les modifications des autorisations des utilisateurs IAM ne sont pas nécessaires si vous accordez aux utilisateurs un accès complet à HealthLake.

Utilisation AWS CLI and AWS SDK :

Les HealthLake actions natives suivantes sont disponibles pour exporter des données depuis un magasin de données à l'aide AWS CLI des AWS SDK et :

  • StartFHIRExportJob

  • DescribeFHIRExportJob

  • ListFHIRExportJobs

À l'aide des API FHIR :

Les actions IAM suivantes sont disponibles pour exporter des données depuis un magasin de HealthLake données et pour annuler (supprimer) une tâche d'exportation à l'aide de l'opération $export FHIR :

POST:

  • StartFHIRExportJobWithPost

GET:

  • StartFHIRExportJobWithGet

  • DescribeFHIRExportJobWithGet

  • GetExportedFile

DELETE:

  • CancelFHIRExportJobWithDelete

L'utilisateur ou le rôle qui définit les autorisations doit être autorisé à créer des rôles, à créer des politiques et à associer des politiques aux rôles. La politique IAM suivante accorde ces autorisations.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Action": [
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "healthlake.amazonaws.com"
                }
            }
        }
    ]
}
Pour configurer les autorisations d'exportation

  1. Si ce n'est pas déjà fait, créez un compartiment Amazon S3 de destination pour les données que vous allez exporter depuis votre magasin de données. Le compartiment Amazon S3 doit se trouver dans la même région AWS que le service, et le blocage de l'accès public doit être activé pour toutes les options. Pour en savoir plus, consultez Utiliser Amazon S3 pour bloquer l'accès public. Une clé KMS Amazon-owned ou une clé KMS appartenant au client doit également être utilisée pour le chiffrement. Pour en savoir plus sur l'utilisation des clés KMS, consultez Amazon Key Management Service.

  2. Si ce n'est pas déjà fait, créez un rôle de service d'accès aux données HealthLake et autorisez le HealthLake service à l'assumer conformément à la politique de confiance suivante. HealthLakel'utilise pour écrire le bucket Amazon S3 de sortie. Si vous en avez déjà créé unConfiguration des autorisations pour les tâches d'importation, vous pouvez le réutiliser et lui accorder des autorisations pour votre compartiment Amazon S3 à l'étape suivante.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "healthlake.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "accountID"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:healthlake:us-west-2:111122223333:datastore/fhir/data store ID"
                }
            }
        }
    ]
}

  3. Ajoutez une politique d'autorisation au rôle d'accès aux données qui lui permet d'accéder à votre compartiment Amazon S3 de sortie. amzn-s3-demo-bucketRemplacez-le par le nom de votre compartiment.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [{
        "Action": [
            "s3:ListBucket",
            "s3:GetBucketPublicAccessBlock",
            "s3:GetEncryptionConfiguration"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "s3:PutObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "kms:DescribeKey",
            "kms:GenerateDataKey*"
        ],
        "Resource": [
            "arn:aws:kms:us-east-1:012345678910:key/d330e7fc-b56c-4216-a250-f4c43ef46e83"
        ],
        "Effect": "Allow"
    }]
}

Installer la   AWS CLI

Le AWS CLI est requis pour décrire et répertorier les propriétés des tâches d' HealthLake importation et d'exportation. Vous pouvez également demander ces informations à l'aide HealthLake des SDK.

Pour configurer le AWS CLI

  1. Téléchargez et configurez l’interface AWS CLI. Pour obtenir des instructions, consultez les rubriques suivantes dans le Guide de l’utilisateur de l’AWS Command Line Interface  :

  2. Dans le AWS CLI config fichier, ajoutez un profil nommé pour l'administrateur. Vous utilisez ce profil lors de l'exécution des AWS CLI commandes. Conformément au principe de sécurité du moindre privilège, nous vous recommandons de créer un rôle IAM distinct doté de privilèges spécifiques aux tâches effectuées. Pour plus d'informations sur les profils nommés, consultez la section Configuration et paramètres des fichiers d'identification dans le Guide de l'AWS Command Line Interface utilisateur.

    [default]
aws_access_key_id = default access key ID
aws_secret_access_key = default secret access key
region = region

  3. Vérifiez la configuration à l'aide de la help commande suivante.

    aws healthlake help

    Si la configuration AWS CLI est correcte, une brève description AWS HealthLake et une liste des commandes disponibles s'affichent.