Commencer à utiliser Amazon Athena - AWS HealthLake
Octroi d’accèsCommencer à utiliser Athena

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Commencer à utiliser Amazon Athena

Pour intégrer HealthLake Amazon Athena, vous devez configurer des autorisations. Pour ce faire, vous allez créer un utilisateur, un groupe ou un rôle Athena et lui accorder l'accès aux ressources FHIR situées dans un HealthLake magasin de données.

Accorder à un utilisateur, un groupe ou un rôle l'accès à un magasin de HealthLake données (AWS Lake Formation Console)

Persona : administrator HealthLake

Le personnage d' HealthLake administrateur est un administrateur de lac de données dans AWS Lake Formation. Ils donnent accès aux magasins de HealthLake données de Lake Formation.

Pour chaque magasin de données créé, deux entrées sont visibles dans la console AWS Lake Formation. L'une des entrées est un lien vers une ressource. Les noms des liens vers les ressources sont toujours affichés en italique. Chaque lien de ressource est affiché avec le nom et le propriétaire de la ressource partagée associée. Pour tous les magasins de HealthLake données, le propriétaire de la ressource partagée est le compte HealthLake de service. L'autre entrée est le magasin HealthLake de données dans le compte HealthLake de service. Les étapes de cette procédure utilisent le magasin de données qui est le lien de ressource.

Pour en savoir plus sur les liens vers des ressources, voir Comment fonctionnent les liens vers des ressources dans Lake Formation in the AWS Lake Formation Developer Guide.

Pour qu'un utilisateur, un groupe ou un rôle puisse interroger des données dans Athena, vous devez accorder l'autorisation Describe sur la base de données de ressources. Ensuite, vous devez autoriser Select et Describe sur les tables.

ÉTAPE 1 : Pour accorder des autorisations DESCRIBE sur une base de HealthLake données de liens de ressources

  1. Ouvrez la console AWS Lake Formation : https://console.aws.amazon.com/lakeformation/

  2. Dans la barre de navigation principale, sélectionnez Bases de données.

  3. Sur la page Bases de données, cliquez sur le bouton radio à côté du nom du magasin de données en italique.

  4. Choisissez Actions (▼).

  5. Choisissez Accorder.

  6. Sur la page Accorder les autorisations relatives aux données, sous Principaux, sélectionnez Utilisateurs ou rôles IAM.

  7. Sous Utilisateurs ou rôles IAM, utilisez la flèche vers le bas (▼) ou recherchez l'utilisateur, le rôle ou le groupe IAM sur lequel vous souhaitez pouvoir effectuer des requêtes dans Athena.

  8. Sous Balises LF ou carte de ressources de catalogue, choisissez l'option Ressources de catalogue de données nommées.

  9. Sous Bases de données, utilisez la flèche vers le bas (▼) pour choisir la HealthLake base de données à laquelle vous souhaitez partager l'accès.

  10. Dans la fiche d'autorisation des liens vers les ressources, sous Autorisations des liens vers les ressources, sélectionnez Décrire.

Lorsque l'autorisation est accordée, la bannière de réussite de l'autorisation apparaît. Pour consulter l'autorisation que vous venez d'accorder, choisissez Data lake permissions. Recherchez l'utilisateur, le groupe et le rôle dans le tableau. Sous la colonne Autorisations, vous verrez la liste Décrire.

Vous devez maintenant utiliser Grant on target pour autoriser Select et Describe sur toutes les tables de la base de données.

ÉTAPE 2 : Accorder l'accès à toutes les tables d'un lien de ressource d'un magasin de HealthLake données

  1. Ouvrez la console AWS Lake Formation : https://console.aws.amazon.com/lakeformation/

  2. Dans la barre de navigation principale, sélectionnez Bases de données.

  3. Sur la page Bases de données, cliquez sur le bouton radio à côté du nom du magasin de données en italique.

  4. Choisissez Actions (▼).

  5. Choisissez Grant on target.

  6. Sur la page Accorder les autorisations relatives aux données, sous Principaux, sélectionnez Utilisateurs ou rôles IAM.

  7. Sous Utilisateurs ou rôles IAM, utilisez la flèche vers le bas (▼) ou recherchez l'utilisateur, le groupe ou le rôle IAM sur lequel vous souhaitez pouvoir effectuer des requêtes dans Athena.

  8. Sous Balises LF ou carte de ressources de catalogue, choisissez l'option Ressources de catalogue de données nommées.

  9. Sous Bases de données, utilisez la flèche vers le bas (▼) pour choisir la HealthLake base de données à laquelle vous souhaitez accorder l'accès.

  10. Sous Tables, choisissez Toutes les tables pour partager toutes les tables avec un HealthLake utilisateur.

  11. Dans la fiche Autorisations du tableau, sous Autorisations du tableau, choisissez Décrire et sélectionner.

  12. Choisissez Accorder.

Après avoir choisi l'octroi, une bannière de réussite de l'octroi des autorisations apparaît. L'utilisateur spécifié peut désormais effectuer des requêtes sur un magasin de HealthLake données dans Athena.

Commencer à utiliser Athena

HealthLake utilisateur

L' HealthLake utilisateur utilisera la console Athena ou AWS SDKs pour interroger un magasin de HealthLake données partagé avec lui par l' HealthLake administrateur. AWS CLI

Pour interroger un magasin de données à l'aide d'Athena, vous devez effectuer les trois opérations suivantes.

Pour commencer à utiliser Athena, ajoutez les politiques FullAccess AWS gérées AmazonAthenaFullAccesset AmazonS3 à votre utilisateur, groupe ou rôle. L'utilisation d'une politique AWS gérée est un excellent moyen de commencer à utiliser un nouveau service. N'oubliez pas que les politiques gérées par AWS peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont disponibles pour tous les clients AWS. Lorsque vous définissez des autorisations avec des stratégies IAM, accordez uniquement les autorisations nécessaires à l'exécution d'une seule tâche. Pour en savoir plus sur IAM et l'application du moindre privilège, consultez la section Appliquer les autorisations du moindre privilège dans le Guide de l'utilisateur d'IAM.

Important

Pour interroger un magasin de HealthLake données dans Athena, vous devez utiliser le moteur Athena version 3.

Les groupes de travail sont des ressources. Vous pouvez donc utiliser des politiques basées sur l'IAM pour contrôler l'accès à des groupes de travail spécifiques. Pour en savoir plus, consultez la section Utilisation de groupes de travail pour contrôler l'accès aux requêtes et les coûts dans le Guide de l'utilisateur d'Athena.

Pour en savoir plus sur la configuration des groupes de travail, consultez le guide https://docs.aws.amazon.com/athena/latest/ug/workgroups-procedure.html de l'utilisateur d'Athena.

Note

La région dans laquelle se trouve votre compartiment Amazon S3 et la console Athena doivent correspondre.

Pour pouvoir exécuter une requête, vous devez spécifier un emplacement de compartiment de résultats de requête dans Simple Storage Service (Amazon S3) ou utiliser un groupe de travail qui a spécifié un compartiment et dont la configuration remplace les paramètres du client. Les fichiers de sortie sont enregistrés automatiquement pour chaque requête qui s'exécute.

Pour plus de détails sur la spécification de l'emplacement des résultats de requête dans la console Athena, consultez la section Spécification d'un emplacement de résultat de requête à l'aide de la console Athena dans le guide de l'utilisateur d'Amazon Athena.

Pour voir des exemples illustrant la manière d'interroger votre HealthLake banque de données dans Athena, reportez-vous à. Interrogation de HealthLake données avec SQL