Impostazione delle autorizzazioni per i lavori di esportazione - AWS HealthLake

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Impostazione delle autorizzazioni per i lavori di esportazione

Prima di esportare file da un data store, devi concedere l' HealthLake autorizzazione per accedere al tuo bucket di output in Amazon S3. Per concedere HealthLake l'accesso, devi creare un ruolo di IAM servizio HealthLake, aggiungere una policy di fiducia al ruolo per concedere le autorizzazioni per HealthLake assumere il ruolo e allegare una policy di autorizzazione al ruolo che gli conceda l'accesso al tuo bucket Amazon S3.

Se hai già creato un ruolo per HealthLake inImpostazione delle autorizzazioni per i lavori di importazione, puoi riutilizzarlo e concedergli le autorizzazioni aggiuntive per il tuo bucket di esportazione Amazon S3 elencate in questo argomento. Per ulteriori informazioni sui IAM ruoli e sulle politiche di fiducia, consulta IAM Politiche e autorizzazioni.

Importante

HealthLake SDKle richieste di esportazione che utilizzano StartFHIRExportJob API l'operazione e le richieste di FHIR REST API esportazione che utilizzano StartFHIRExportJobWithPost API l'operazione hanno IAM azioni separate. Per ogni IAM azione, SDK esporta con StartFHIRExportJob ed FHIR REST API esporta conStartFHIRExportJobWithPost, le autorizzazioni di consentimento/rifiuto possono essere gestite separatamente. Se vuoi che entrambe le SDK FHIR REST API esportazioni siano limitate, assicurati di negare le autorizzazioni per ogni azione. IAM Se concedi agli utenti l'accesso completo a HealthLake, non è richiesta alcuna modifica delle autorizzazioni IAM utente.

L'utente o il ruolo che imposta le autorizzazioni deve disporre dell'autorizzazione a creare ruoli, creare politiche e allegare politiche ai ruoli. La seguente IAM politica concede queste autorizzazioni.

{
  "Version": "2012-10-17",
  "Statement": [{
    "Action": ["iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy"],
    "Effect": "Allow",
    "Resource": "*"
    }, {
    "Action": "iam:PassRole"
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
      "StringEquals": {
        "iam:PassedToService": "healthlake.amazonaws.com"
      }
    }
  }]
}
Per impostare le autorizzazioni di esportazione

  1. Se non l'hai già fatto, crea un bucket Amazon S3 di destinazione per i dati che esporterai dal tuo data store. Il bucket Amazon S3 deve trovarsi nella stessa AWS regione del servizio e l'opzione Block Public Access deve essere attivata per tutte le opzioni. Per ulteriori informazioni, consulta Usare Amazon S3 per bloccare l'accesso pubblico. Per la crittografia deve essere utilizzata anche una KMS chiave di proprietà di Amazon o di proprietà del cliente. Per ulteriori informazioni sull'uso KMS delle chiavi, consulta Amazon Key Management Service.

  2. Se non l'hai già fatto, crea un ruolo del servizio di accesso ai dati HealthLake e concedi al HealthLake servizio l'autorizzazione ad assumerlo con la seguente politica di fiducia. HealthLake lo usa per scrivere il bucket Amazon S3 di output. Se ne hai già creato unoImpostazione delle autorizzazioni per i lavori di importazione, puoi riutilizzarlo e concedergli le autorizzazioni per il tuo bucket Amazon S3 nel passaggio successivo. 

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": ["healthlake.amazonaws.com"]
        },
        "Action": "sts:AssumeRole",
        "Condition": {
            "StringEquals": {
                "aws:SourceAccount": "your-account-id"
            },
            "ArnEquals": {
                "aws:SourceArn": "arn:aws:healthlake:us-west-2:account:datastore/fhir/data store ID"
            }
        }
    }]
}

  3. Aggiungi una politica di autorizzazioni al ruolo di accesso ai dati che gli consenta di accedere al tuo bucket Amazon S3 di output. Sostituiscilo amzn-s3-demo-bucket con il nome del bucket.

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Action": [
            "s3:ListBucket",
            "s3:GetBucketPublicAccessBlock",
            "s3:GetEncryptionConfiguration"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "s3:PutObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "kms:DescribeKey",
            "kms:GenerateDataKey*"
        ],
        "Resource": [
            "arn:aws:kms:us-east-1:012345678910:key/d330e7fc-b56c-4216-a250-f4c43ef46e83"
        ],
        "Effect": "Allow"
    }]
}