Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menyiapkan izin untuk pekerjaan ekspor
Sebelum mengekspor file dari penyimpanan data, Anda harus memberikan HealthLake izin untuk mengakses bucket keluaran di Amazon S3. Untuk memberikan HealthLake akses, Anda membuat peran IAM layanan HealthLake, tambahkan kebijakan kepercayaan ke peran untuk memberikan izin peran HealthLake asumsi, dan melampirkan kebijakan izin ke peran yang memberinya akses ke bucket Amazon S3 Anda.
Jika Anda sudah membuat peran untuk HealthLake inMenyiapkan izin untuk pekerjaan impor, Anda dapat menggunakannya kembali dan memberinya izin tambahan untuk bucket Amazon S3 ekspor yang tercantum dalam topik ini. Untuk mempelajari selengkapnya tentang IAM peran dan kebijakan kepercayaan, lihat IAMKebijakan dan Izin.
penting
HealthLake SDKpermintaan ekspor menggunakan StartFHIRExportJob API operasi dan permintaan FHIR REST API ekspor menggunakan StartFHIRExportJobWithPost API operasi memiliki IAM tindakan terpisah. Setiap IAM tindakan, SDK ekspor dengan StartFHIRExportJob dan FHIR REST API ekspor denganStartFHIRExportJobWithPost, dapat mengizinkan/menolak izin ditangani secara terpisah. Jika Anda ingin keduanya SDK dan FHIR REST API ekspor dibatasi, pastikan untuk menolak izin untuk setiap IAM tindakan. Jika Anda memberi pengguna akses penuh HealthLake, tidak diperlukan perubahan izin IAM pengguna.
Pengguna atau peran yang menyiapkan izin harus memiliki izin untuk membuat peran, membuat kebijakan, dan melampirkan kebijakan ke peran. IAMKebijakan berikut memberikan izin ini.
{ "Version": "2012-10-17", "Statement": [{ "Action": ["iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy"], "Effect": "Allow", "Resource": "*" }, { "Action": "iam:PassRole" "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "healthlake.amazonaws.com" } } }] }
Untuk mengatur izin ekspor
-
Jika belum, buat bucket Amazon S3 tujuan untuk data yang akan Anda ekspor dari penyimpanan data Anda. Bucket Amazon S3 harus berada di AWS Wilayah yang sama dengan layanan, dan Blokir Akses Publik harus diaktifkan untuk semua opsi. Untuk mempelajari selengkapnya, lihat Menggunakan Amazon S3 memblokir akses publik. KMSKunci milik Amazon atau milik pelanggan juga harus digunakan untuk enkripsi. Untuk mempelajari selengkapnya tentang menggunakan KMS kunci, lihat Amazon Key Management Service.
-
Jika Anda belum melakukannya, buat peran layanan akses data untuk HealthLake dan berikan izin HealthLake layanan untuk menganggapnya dengan kebijakan kepercayaan berikut. HealthLake menggunakan ini untuk menulis output ember Amazon S3. Jika Anda sudah membuatnyaMenyiapkan izin untuk pekerjaan impor, Anda dapat menggunakannya kembali dan memberinya izin untuk bucket Amazon S3 Anda di langkah berikutnya.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": ["healthlake.amazonaws.com"] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your-account-id" }, "ArnEquals": { "aws:SourceArn": "arn:aws:healthlake:us-west-2:account:datastore/fhir/data store ID" } } }] } -
Tambahkan kebijakan izin ke peran akses data yang memungkinkannya mengakses bucket Amazon S3 keluaran Anda. Ganti
amzn-s3-demo-bucketdengan nama bucket Anda.{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:ListBucket", "s3:GetBucketPublicAccessBlock", "s3:GetEncryptionConfiguration" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-source-bucket" ], "Effect": "Allow" }, { "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-logging-bucket/*" ], "Effect": "Allow" }, { "Action": [ "kms:DescribeKey", "kms:GenerateDataKey*" ], "Resource": [ "arn:aws:kms:us-east-1:012345678910:key/d330e7fc-b56c-4216-a250-f4c43ef46e83" ], "Effect": "Allow" }] }
