Menyiapkan AWS HealthLake - AWS HealthLake
Mendaftar untuk Akun AWSBuat pengguna dengan akses administratifKonfigurasikan pengguna atau peran IAMMenambahkan pengguna atau peran Administrator Data LakeBuat ember S3Buat penyimpanan dataSiapkan izin imporSiapkan izin eksporInstal AWS CLI

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan AWS HealthLake

Dalam Bab ini, Anda menggunakan AWS Management Console untuk mengatur izin yang diperlukan untuk mulai menggunakan AWS HealthLake dan membuat penyimpanan data. Untuk mengatur izin untuk membuat penyimpanan data, Anda membuat pengguna IAM atau peran yang merupakan administrator dan HealthLake administrator data lake. Anda menjadikan pengguna ini administrator danau data di AWS Lake Formation. Administrator data lake memberikan Lake Formation akses ke sumber daya yang diperlukan untuk menggunakan Amazon Athena untuk menanyakan penyimpanan data. Setelah membuat penyimpanan HealthLake data, Anda dapat mengatur izin untuk mengimpor dan mengekspor file.

Mendaftar untuk Akun AWS

Jika Anda tidak memiliki Akun AWS, selesaikan langkah-langkah berikut untuk membuatnya.

Untuk mendaftar untuk Akun AWS

  1. Buka https://portal.aws.amazon.com/billing/pendaftaran.

  2. Ikuti petunjuk online.

    Bagian dari prosedur pendaftaran melibatkan menerima panggilan telepon atau pesan teks dan memasukkan kode verifikasi pada keypad telepon.

    Saat Anda mendaftar untuk sebuah Akun AWS, sebuah Pengguna root akun AWSdibuat. Pengguna root memiliki akses ke semua Layanan AWS dan sumber daya di akun. Sebagai praktik keamanan terbaik, tetapkan akses administratif ke pengguna, dan gunakan hanya pengguna root untuk melakukan tugas yang memerlukan akses pengguna root.

AWS mengirimi Anda email konfirmasi setelah proses pendaftaran selesai. Kapan saja, Anda dapat melihat aktivitas akun Anda saat ini dan mengelola akun Anda dengan masuk https://aws.amazon.com.rproxy.govskope.cake/ dan memilih Akun Saya.

Buat pengguna dengan akses administratif

Setelah Anda mendaftar Akun AWS, amankan Pengguna root akun AWS, aktifkan AWS IAM Identity Center, dan buat pengguna administratif sehingga Anda tidak menggunakan pengguna root untuk tugas sehari-hari.

Amankan Anda Pengguna root akun AWS

  1. Masuk ke AWS Management Consolesebagai pemilik akun dengan memilih pengguna Root dan memasukkan alamat Akun AWS email Anda. Di laman berikutnya, masukkan kata sandi.

    Untuk bantuan masuk dengan menggunakan pengguna root, lihat Masuk sebagai pengguna root di AWS Sign-In Panduan Pengguna.

  2. Mengaktifkan autentikasi multi-faktor (MFA) untuk pengguna root Anda.

    Untuk petunjuk, lihat Mengaktifkan perangkat MFA virtual untuk pengguna Akun AWS root (konsol) Anda di Panduan Pengguna IAM.

Buat pengguna dengan akses administratif

  1. Aktifkan Pusat Identitas IAM.

    Untuk mendapatkan petunjuk, silakan lihat Mengaktifkan AWS IAM Identity Center di Panduan Pengguna AWS IAM Identity Center .

  2. Di Pusat Identitas IAM, berikan akses administratif ke pengguna.

    Untuk tutorial tentang menggunakan Direktori Pusat Identitas IAM sebagai sumber identitas Anda, lihat Mengkonfigurasi akses pengguna dengan default Direktori Pusat Identitas IAM di Panduan AWS IAM Identity Center Pengguna.

Masuk sebagai pengguna dengan akses administratif

  • Untuk masuk dengan pengguna Pusat Identitas IAM, gunakan URL masuk yang dikirim ke alamat email saat Anda membuat pengguna Pusat Identitas IAM.

    Untuk bantuan masuk menggunakan pengguna Pusat Identitas IAM, lihat Masuk ke portal AWS akses di Panduan AWS Sign-In Pengguna.

Tetapkan akses ke pengguna tambahan

  1. Di Pusat Identitas IAM, buat set izin yang mengikuti praktik terbaik menerapkan izin hak istimewa paling sedikit.

    Untuk petunjuknya, lihat Membuat set izin di Panduan AWS IAM Identity Center Pengguna.

  2. Tetapkan pengguna ke grup, lalu tetapkan akses masuk tunggal ke grup.

    Untuk petunjuk, lihat Menambahkan grup di Panduan AWS IAM Identity Center Pengguna.

Konfigurasikan pengguna IAM atau peran yang akan digunakan HealthLake (Administrator IAM)

Persona: IAM Administrator

Pengguna yang dapat membuat pengguna dan peran IAM, dan dapat menambahkan administrator data lake.

Langkah-langkah dalam topik ini harus dilakukan oleh administrator IAM.

Untuk menghubungkan penyimpanan HealthLake data Anda ke Athena, Anda perlu membuat pengguna IAM atau peran yang merupakan administrator data lake dan administrator. HealthLake Pengguna atau peran baru ini memberikan akses ke sumber daya yang ditemukan di penyimpanan data melalui AWS Lake Formation, dan kebijakan AmazonHealthLakeFullAccess AWS terkelola ditambahkan ke pengguna atau peran mereka.

penting

Pengguna IAM atau peran yang merupakan administrator danau data tidak dapat membuat administrator danau data baru. Untuk menambahkan administrator data lake tambahan Anda harus menggunakan pengguna IAM atau peran yang telah diberikan AdministratorAccess akses.

Untuk membuat administrator

  1. Tambahkan kebijakan AWS terkelola AmazonHealthlakeFullAccess IAM ke pengguna atau peran di organisasi Anda.

    Jika Anda tidak terbiasa membuat pengguna IAM, lihat Membuat Pengguna IAM dan Ikhtisar Kebijakan IAM di Panduan Pengguna AWS IAM.

  2. Berikan pengguna IAM atau akses peran ke AWS Lake Formation.

    • Tambahkan kebijakan AWS terkelola IAM berikut ke pengguna atau peran di organisasi Anda: AWSLakeFormationDataAdmin

      catatan

      AWSLakeFormationDataAdminKebijakan tersebut memberikan akses ke semua sumber daya AWS Lake Formation. Sebaiknya Anda selalu menggunakan izin minimum yang diperlukan untuk menyelesaikan tugas Anda. Untuk informasi selengkapnya, lihat Praktik Terbaik IAM dalam Panduan Pengguna IAM.

  3. Tambahkan kebijakan inline berikut ke pengguna atau peran. Untuk informasi selengkapnya, lihat Kebijakan sebaris di Panduan Pengguna IAM.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-source-bucket/*",
                "arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ram:GetResourceShareInvitations",
                "ram:AcceptResourceShareInvitation",
                "glue:CreateDatabase",
                "glue:DeleteDatabase"
            ],
            "Resource": "*"
        }
    ]
}

Untuk informasi lebih lanjut tentang AWSLakeFormationDataAdmin kebijakan ini, lihat Referensi Izin Personas Lake Formation dan IAM di Panduan Pengembang AWS Lake Formation.

Tambahkan pengguna atau peran sebagai Administrator Data Lake di Lake Formation (IAM Administrator)

catatan

Langkah ini diperlukan jika Anda mengintegrasikan. Indeks SQL dan kueri

Selanjutnya, administrator IAM harus menambahkan pengguna atau peran yang dibuat pada langkah sebelumnya sebagai administrator danau data di Lake Formation.

Untuk menambahkan pengguna IAM atau peran sebagai administrator danau data

  1. Buka konsol AWS Lake Formation: https://console.aws.amazon.com/lakeformation/

    catatan

    Jika ini adalah pertama kalinya Anda mengunjungi Lake Formation, kotak dialog Selamat Datang di Lake Formation muncul meminta Anda untuk menentukan administrator Lake Formation.

    Gambar kotak dialog yang meminta Anda untuk menentukan administrator formasi danau

  2. Tetapkan pengguna atau peran baru untuk menjadi administrator danau data AWS Lake Formation.

    • Opsi 1: Jika Anda menerima kotak dialog Selamat Datang di Lake Formation.

      1. Pilih Tambahkan AWS pengguna atau peran lain.

      2. Pilih panah bawah (▼).

      3. Pilih HealthLake administrator yang Anda inginkan juga menjadi administrator Lake Formation.

      4. Pilih Mulai.

    • Opsi 2: Gunakan panel Navigasi (☰).

      1. Pilih panel Navigasi (☰).

      2. Di bawah Izin, pilih Peran dan tugas administratif.

      3. Di bagian Administrator danau data, pilih Pilih administrator.

      4. Di kotak dialog Kelola data lake administrator, pilih panah bawah (▼).

      5. Selanjutnya, pilih atau cari HealthLake administrator pengguna atau peran yang Anda juga ingin menjadi administrator Lake Formation.

      6. Pilih Simpan.

  3. Ubah pengaturan keamanan default untuk dikelola oleh Lake Formation. Sumber daya penyimpanan HealthLake data perlu dikelola oleh Lake Formation bukan IAM. Untuk memperbarui, lihat Mengubah model izin default di Panduan Pengembang AWS Lake Formation.

Buat ember S3

Untuk mengimpor data FHIR R4 ke dalam AWS HealthLake, dua bucket Amazon S3 direkomendasikan. Bucket input Amazon S3 menyimpan data FHIR untuk diimpor dan HealthLake dibaca dari bucket ini. Bucket keluaran Amazon S3 menyimpan hasil pemrosesan pekerjaan impor dan HealthLake menulis (log) ke bucket ini.

catatan

Karena kebijakan AWS Identity and Access Management (IAM), nama bucket Amazon S3 Anda harus unik. Untuk informasi selengkapnya, lihat Aturan penamaan bucket di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Untuk tujuan panduan ini, kami menentukan bucket input dan output Amazon S3 berikut saat menyiapkan izin impor nanti di bagian ini.

  • Ember masukan: arn:aws:s3:::amzn-s3-demo-source-bucket

  • Ember keluaran: arn:aws:s3:::amzn-s3-demo-logging-bucket

Untuk informasi tambahan, lihat Membuat bucket di Panduan Pengguna Amazon S3.

Buat penyimpanan data

Penyimpanan HealthLake data adalah repositori data FHIR R4 yang berada dalam satu Wilayah. AWS Sebuah AWS akun dapat memiliki nol atau banyak penyimpanan data. HealthLake mendukung dua strategi otorisasi penyimpanan data.

Penting

Sebelum membuat penyimpanan HealthLake data, tinjau kebijakan kontrol Layanan (SCPs) di AWS Organisasi Anda yang mungkin membatasi pembuatan atau pengelolaan HealthLake sumber daya. SCPs dapat mencegah keberhasilan pembuatan penyimpanan HealthLake data, bahkan jika izin IAM Anda diatur dengan benar.

A datastoreID dihasilkan saat Anda membuat penyimpanan HealthLake data. Anda harus menggunakan datastoreID saat mengatur izin impor nanti di bagian ini.

Untuk membuat penyimpanan HealthLake data, lihatMembuat penyimpanan HealthLake data.

Menyiapkan izin untuk pekerjaan impor

Sebelum mengimpor file ke penyimpanan data, Anda harus memberikan HealthLake izin untuk mengakses bucket input dan output di Amazon S3. Untuk memberikan HealthLake akses, Anda membuat peran layanan IAM HealthLake, tambahkan kebijakan kepercayaan ke peran untuk memberikan izin peran HealthLake asumsi, dan melampirkan kebijakan izin ke peran yang memberinya akses ke bucket Amazon S3 Anda.

Saat Anda membuat pekerjaan impor, Anda menentukan Nama Sumber Daya Amazon (ARN) peran ini untuk. DataAccessRoleArn Untuk informasi selengkapnya tentang peran IAM dan kebijakan kepercayaan, lihat Peran IAM.

Setelah Anda mengatur izin, Anda siap untuk mengimpor file ke penyimpanan data Anda dengan pekerjaan impor. Untuk informasi selengkapnya, lihat Memulai pekerjaan impor FHIR.

Untuk mengatur izin impor

  1. Jika belum, buat bucket Amazon S3 tujuan untuk file log keluaran. Bucket Amazon S3 harus berada di AWS Wilayah yang sama dengan layanan, dan Blokir Akses Publik harus diaktifkan untuk semua opsi. Untuk mempelajari selengkapnya, lihat Menggunakan Amazon S3 memblokir akses publik. Kunci KMS milik Amazon atau milik pelanggan juga harus digunakan untuk enkripsi. Untuk mempelajari selengkapnya tentang menggunakan kunci KMS, lihat Amazon Key Management Service.

  2. Buat peran layanan akses data untuk HealthLake dan berikan izin HealthLake layanan untuk menganggapnya dengan kebijakan kepercayaan berikut. HealthLake menggunakan ini untuk menulis output ember Amazon S3.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "healthlake.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "accountID"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:healthlake:us-west-2:111122223333:datastore/fhir/datastoreID"
                }
            }
        }
    ]
}

  3. Tambahkan kebijakan izin ke peran akses data yang memungkinkannya mengakses bucket Amazon S3. Ganti amzn-s3-demo-bucket dengan nama bucket Anda.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Action": [
            "s3:ListBucket",
            "s3:GetBucketPublicAccessBlock",
            "s3:GetEncryptionConfiguration"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "s3:PutObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "kms:DescribeKey",
            "kms:GenerateDataKey*"
        ],
        "Resource": [
            "arn:aws:kms:us-east-1:012345678910:key/d330e7fc-b56c-4216-a250-f4c43ef46e83"
        ],
        "Effect": "Allow"
    }]
}

Menyiapkan izin untuk pekerjaan ekspor

Sebelum mengekspor file dari penyimpanan data, Anda harus memberikan HealthLake izin untuk mengakses bucket keluaran di Amazon S3. Untuk memberikan HealthLake akses, Anda membuat peran layanan IAMHealthLake, tambahkan kebijakan kepercayaan ke peran untuk memberikan izin peran HealthLake asumsi, dan melampirkan kebijakan izin ke peran yang memberinya akses ke bucket Amazon S3 Anda.

Jika Anda sudah membuat peran HealthLake, Anda dapat menggunakannya kembali dan memberinya izin tambahan untuk bucket ekspor Amazon S3 yang tercantum dalam topik ini. Untuk mempelajari lebih lanjut tentang peran IAM dan kebijakan kepercayaan, lihat Kebijakan dan Izin IAM.

Penting

HealthLake mendukung permintaan ekspor SDK asli dan operasi FHIR $export R4. Tindakan IAM terpisah harus disediakan tergantung pada API ekspor mana yang Anda putuskan untuk digunakan. Ini memungkinkan Anda untuk menangani allow dan deny mengizinkan secara terpisah. Jika Anda ingin membatasi ekspor HealthLake SDK dan FHIR REST API, Anda harus menerapkan izin penolakan ke tindakan IAM terpisah. Perubahan izin pengguna IAM tidak diperlukan jika Anda memberi pengguna akses HealthLake penuh.

Menggunakan AWS CLI dan AWS SDKs:

HealthLake Tindakan native berikut tersedia untuk mengekspor data dari penyimpanan data menggunakan AWS CLI dan AWS SDKs:

  • StartFHIRExportJob

  • DescribeFHIRExportJob

  • ListFHIRExportJobs

Menggunakan FHIR APIs:

Tindakan IAM berikut tersedia untuk mengekspor data dari penyimpanan HealthLake data dan untuk membatalkan (menghapus) pekerjaan ekspor menggunakan operasi FHIR: $export

POST:

  • StartFHIRExportJobWithPost

GET:

  • StartFHIRExportJobWithGet

  • DescribeFHIRExportJobWithGet

  • GetExportedFile

DELETE:

  • CancelFHIRExportJobWithDelete

Pengguna atau peran yang menyiapkan izin harus memiliki izin untuk membuat peran, membuat kebijakan, dan melampirkan kebijakan ke peran. Kebijakan IAM berikut memberikan izin ini.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "healthlake.amazonaws.com"
                }
            }
        }
    ]
}
Untuk mengatur izin ekspor

  1. Jika belum, buat bucket Amazon S3 tujuan untuk data yang akan Anda ekspor dari penyimpanan data Anda. Bucket Amazon S3 harus berada di Wilayah AWS yang sama dengan layanan, dan Blokir Akses Publik harus diaktifkan untuk semua opsi. Untuk mempelajari selengkapnya, lihat Menggunakan Amazon S3 memblokir akses publik. Kunci KMS milik Amazon atau milik pelanggan juga harus digunakan untuk enkripsi. Untuk mempelajari selengkapnya tentang menggunakan kunci KMS, lihat Amazon Key Management Service.

  2. Jika Anda belum melakukannya, buat peran layanan akses data untuk HealthLake dan berikan izin HealthLake layanan untuk menganggapnya dengan kebijakan kepercayaan berikut. HealthLakemenggunakan ini untuk menulis output ember Amazon S3. Jika Anda sudah membuatnyaMenyiapkan izin untuk pekerjaan impor, Anda dapat menggunakannya kembali dan memberinya izin untuk bucket Amazon S3 Anda di langkah berikutnya.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "healthlake.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "accountID"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:healthlake:us-west-2:111122223333:datastore/fhir/data store ID"
                }
            }
        }
    ]
}

  3. Tambahkan kebijakan izin ke peran akses data yang memungkinkannya mengakses bucket Amazon S3 keluaran Anda. Ganti amzn-s3-demo-bucket dengan nama bucket Anda.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Action": [
            "s3:ListBucket",
            "s3:GetBucketPublicAccessBlock",
            "s3:GetEncryptionConfiguration"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "s3:PutObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "kms:DescribeKey",
            "kms:GenerateDataKey*"
        ],
        "Resource": [
            "arn:aws:kms:us-east-1:012345678910:key/d330e7fc-b56c-4216-a250-f4c43ef46e83"
        ],
        "Effect": "Allow"
    }]
}

Instal AWS CLI

AWS CLI Diperlukan untuk mendeskripsikan dan mencantumkan properti pekerjaan HealthLake impor dan ekspor. Anda juga dapat meminta informasi ini menggunakan HealthLake SDKs.

Untuk mengatur AWS CLI

  1. Unduh dan konfigurasikan AWS CLI. Untuk instruksi, lihat topik berikut di AWS Command Line Interface Panduan Pengguna.

  2. Dalam AWS CLI config file, tambahkan profil bernama untuk administrator. Anda menggunakan profil ini saat menjalankan AWS CLI perintah. Di bawah prinsip keamanan dengan hak istimewa terkecil, kami sarankan Anda membuat peran IAM terpisah dengan hak istimewa khusus untuk tugas yang sedang dilakukan. Untuk informasi selengkapnya tentang profil bernama, lihat Konfigurasi dan pengaturan file kredenal di Panduan AWS Command Line Interface Pengguna.

    [default]
aws_access_key_id = default access key ID
aws_secret_access_key = default secret access key
region = region

  3. Verifikasi pengaturan menggunakan help perintah berikut.

    aws healthlake help

    Jika AWS CLI dikonfigurasi dengan benar, Anda melihat deskripsi singkat AWS HealthLake dan daftar perintah yang tersedia.