Menyiapkan izin untuk pekerjaan impor - AWS HealthLake

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan izin untuk pekerjaan impor

Sebelum mengimpor file ke penyimpanan data, Anda harus memberikan HealthLake izin untuk mengakses bucket input dan output di Amazon S3. Untuk memberikan HealthLake akses, Anda membuat peran IAM layanan HealthLake, tambahkan kebijakan kepercayaan ke peran untuk memberikan izin HealthLake peran, dan melampirkan kebijakan izin ke peran yang memberinya akses ke bucket Amazon S3 Anda.

Saat Anda membuat pekerjaan impor, Anda menentukan Amazon Resource Name (ARN) peran ini untukDataAccessRoleArn. Untuk informasi selengkapnya tentang IAM peran dan kebijakan kepercayaan, lihat IAMPeran.

Setelah Anda mengatur izin, Anda siap untuk mengimpor file ke penyimpanan data Anda dengan pekerjaan impor. Untuk informasi selengkapnya, lihat Memulai pekerjaan impor di HealthLake.

Untuk mengatur izin impor

  1. Jika belum, buat bucket Amazon S3 tujuan untuk file log keluaran. Bucket Amazon S3 harus berada di AWS Wilayah yang sama dengan layanan, dan Blokir Akses Publik harus diaktifkan untuk semua opsi. Untuk mempelajari selengkapnya, lihat Menggunakan Amazon S3 memblokir akses publik. KMSKunci milik Amazon atau milik pelanggan juga harus digunakan untuk enkripsi. Untuk mempelajari selengkapnya tentang menggunakan KMS kunci, lihat Amazon Key Management Service.

  2. Buat peran layanan akses data untuk HealthLake dan berikan izin HealthLake layanan untuk menganggapnya dengan kebijakan kepercayaan berikut. HealthLake menggunakan ini untuk menulis output ember Amazon S3. 

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": ["healthlake.amazonaws.com"]
        },
        "Action": "sts:AssumeRole",
        "Condition": {
            "StringEquals": {
                "aws:SourceAccount": "your-account-id"
            },
            "ArnEquals": {
                "aws:SourceArn": "arn:aws:healthlake:us-west-2:account:datastore/fhir/data store ID"
            }
        }
    }]
}

  3. Tambahkan kebijakan izin ke peran akses data yang memungkinkannya mengakses bucket Amazon S3. Ganti amzn-s3-demo-bucket dengan nama bucket Anda.

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Action": [
            "s3:ListBucket",
            "s3:GetBucketPublicAccessBlock",
            "s3:GetEncryptionConfiguration"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "s3:PutObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "kms:DescribeKey",
            "kms:GenerateDataKey*"
        ],
        "Resource": [
            "arn:aws:kms:us-east-1:012345678910:key/d330e7fc-b56c-4216-a250-f4c43ef46e83"
        ],
        "Effect": "Allow"
    }]
}