Configuration des autorisations pour les tâches d'importation - AWS HealthLake

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des autorisations pour les tâches d'importation

Avant d'importer des fichiers dans un magasin de données, vous devez HealthLake autoriser l'accès à vos compartiments d'entrée et de sortie dans Amazon S3. Pour accorder HealthLake l'accès, vous créez un rôle de IAM service pour HealthLake, vous ajoutez une politique de confiance au rôle pour accorder les autorisations d' HealthLake assumer le rôle, et vous attachez une politique d'autorisation au rôle qui lui accorde l'accès à vos compartiments Amazon S3.

Lorsque vous créez une tâche d'importation, vous spécifiez le nom de ressource Amazon (ARN) de ce rôle pour leDataAccessRoleArn. Pour plus d'informations sur IAM les rôles et les politiques de confiance, consultez la section IAMRôles.

Après avoir configuré l'autorisation, vous êtes prêt à importer des fichiers dans votre banque de données à l'aide d'une tâche d'importation. Pour de plus amples informations, veuillez consulter Démarrage d'une tâche d'importation dans HealthLake.

Pour configurer les autorisations d'importation

  1. Si ce n'est pas déjà fait, créez un compartiment Amazon S3 de destination pour les fichiers journaux de sortie. Le compartiment Amazon S3 doit se trouver dans la même AWS région que le service, et le blocage de l'accès public doit être activé pour toutes les options. Pour en savoir plus, consultez Utiliser Amazon S3 pour bloquer l'accès public. Une KMS clé appartenant à Amazon ou au client doit également être utilisée pour le chiffrement. Pour en savoir plus sur l'utilisation KMS des clés, consultez Amazon Key Management Service.

  2. Créez un rôle de service d'accès aux données pour HealthLake et autorisez le HealthLake service à l'assumer conformément à la politique de confiance suivante. HealthLake l'utilise pour écrire le bucket Amazon S3 de sortie. 

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": ["healthlake.amazonaws.com"]
        },
        "Action": "sts:AssumeRole",
        "Condition": {
            "StringEquals": {
                "aws:SourceAccount": "your-account-id"
            },
            "ArnEquals": {
                "aws:SourceArn": "arn:aws:healthlake:us-west-2:account:datastore/fhir/data store ID"
            }
        }
    }]
}

  3. Ajoutez une politique d'autorisation au rôle d'accès aux données qui lui permet d'accéder au compartiment Amazon S3. amzn-s3-demo-bucketRemplacez-le par le nom de votre compartiment.

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Action": [
            "s3:ListBucket",
            "s3:GetBucketPublicAccessBlock",
            "s3:GetEncryptionConfiguration"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "s3:PutObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "kms:DescribeKey",
            "kms:GenerateDataKey*"
        ],
        "Resource": [
            "arn:aws:kms:us-east-1:012345678910:key/d330e7fc-b56c-4216-a250-f4c43ef46e83"
        ],
        "Effect": "Allow"
    }]
}