Configurazione AWS HealthLake - AWS HealthLake
Registrati per un Account AWSCrea un utente con accesso amministrativoConfigura un utente o un ruolo IAMAggiungi un utente o un ruolo Data Lake AdministratorCrea bucket S3Crea un data storeConfigurare le autorizzazioni di importazioneConfigurare le autorizzazioni di esportazioneInstalla il AWS CLI

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione AWS HealthLake

In questo capitolo, si utilizza AWS Management Console per impostare le autorizzazioni necessarie per iniziare a utilizzare AWS HealthLake e creare un archivio dati. Per configurare le autorizzazioni per creare un data store, crei un utente o un ruolo IAM che sia amministratore e HealthLake amministratore del data lake. Rendi questo utente un amministratore di data lake in AWS Lake Formation. L'amministratore del data lake concede a Lake Formation l'accesso alle risorse necessarie per utilizzare Amazon Athena per interrogare un data store. Dopo aver creato un HealthLake data store, puoi configurare le autorizzazioni per l'importazione e l'esportazione di file.

Registrati per un Account AWS

Se non ne hai uno Account AWS, completa i seguenti passaggi per crearne uno.

Per iscriverti a un Account AWS

  1. Apri la https://portal.aws.amazon.com/billing/registrazione.

  2. Segui le istruzioni online.

    Nel corso della procedura di registrazione riceverai una telefonata o un messaggio di testo e ti verrà chiesto di inserire un codice di verifica attraverso la tastiera del telefono.

    Quando ti iscrivi a un Account AWS, Utente root dell'account AWSviene creato un. L'utente root dispone dell'accesso a tutte le risorse e tutti i Servizi AWS nell'account. Come best practice di sicurezza, assegna l'accesso amministrativo a un utente e utilizza solo l'utente root per eseguire attività che richiedono l'accesso di un utente root.

AWS ti invia un'email di conferma dopo il completamento della procedura di registrazione. In qualsiasi momento, puoi visualizzare l'attività corrente del tuo account e gestirlo accedendo a https://aws.amazon.com/e scegliendo Il mio account.

Crea un utente con accesso amministrativo

Dopo esserti registrato Account AWS, proteggi Utente root dell'account AWS AWS IAM Identity Center, abilita e crea un utente amministrativo in modo da non utilizzare l'utente root per le attività quotidiane.

Proteggi i tuoi Utente root dell'account AWS

  1. Accedi AWS Management Consolecome proprietario dell'account scegliendo Utente root e inserendo il tuo indirizzo Account AWS email. Nella pagina successiva, inserisci la password.

    Per informazioni sull'accesso utilizzando un utente root, consulta la pagina Signing in as the root user della Guida per l'utente di Accedi ad AWS .

  2. Abilita l'autenticazione a più fattori (MFA) per l'utente root.

    Per istruzioni, consulta Abilitare un dispositivo MFA virtuale per l'utente Account AWS root (console) nella Guida per l'utente IAM.

Crea un utente con accesso amministrativo

  1. Abilita Centro identità IAM.

    Per istruzioni, consulta Abilitazione di AWS IAM Identity Center nella Guida per l'utente di AWS IAM Identity Center .

  2. In IAM Identity Center, assegna l'accesso amministrativo a un utente.

    Per un tutorial sull'utilizzo di IAM Identity Center directory come fonte di identità, consulta Configurare l'accesso utente con l'impostazione predefinita IAM Identity Center directory nella Guida per l'AWS IAM Identity Center utente.

Accesso come utente amministratore

  • Per accedere con l'utente IAM Identity Center, utilizza l'URL di accesso che è stato inviato al tuo indirizzo e-mail quando hai creato l'utente IAM Identity Center.

    Per informazioni sull'accesso utilizzando un utente IAM Identity Center, consulta AWS Accedere al portale di accesso nella Guida per l'Accedi ad AWS utente.

Assegna l'accesso a ulteriori utenti

  1. In IAM Identity Center, crea un set di autorizzazioni conforme alla best practice dell'applicazione di autorizzazioni con il privilegio minimo.

    Segui le istruzioni riportate nella pagina Creazione di un set di autorizzazioni nella Guida per l'utente di AWS IAM Identity Center .

  2. Assegna al gruppo prima gli utenti e poi l'accesso con autenticazione unica (Single Sign-On).

    Per istruzioni, consulta Aggiungere gruppi nella Guida per l'utente di AWS IAM Identity Center .

Configura un utente o un ruolo IAM da utilizzare HealthLake (amministratore IAM)

Persona: amministratore IAM

Un utente che può creare utenti e ruoli IAM e aggiungere amministratori di data lake.

I passaggi descritti in questo argomento devono essere eseguiti da un amministratore IAM.

Per connettere il tuo HealthLake data store ad Athena, devi creare un utente o un ruolo IAM che sia un amministratore del data lake e un HealthLake amministratore. Questo nuovo utente o ruolo concede l'accesso alle risorse presenti in un data store tramite AWS Lake Formation e la policy AmazonHealthLakeFullAccess AWS gestita viene aggiunta al relativo utente o ruolo.

Importante

Un utente o un ruolo IAM che è un amministratore di data lake non può creare nuovi amministratori di data lake. Per aggiungere un amministratore del data lake aggiuntivo, devi utilizzare un utente o un ruolo IAM a cui è stato concesso AdministratorAccess l'accesso.

Per creare un amministratore

  1. Aggiungi la policy AWS gestita da AmazonHealthlakeFullAccess IAM a un utente o a un ruolo nella tua organizzazione.

    Se non hai dimestichezza con la creazione di un utente IAM, consulta Creazione di un utente IAM e Panoramica delle politiche AWS IAM nella Guida per l'utente IAM.

  2. Concedi all'utente o al ruolo IAM l'accesso a AWS Lake Formation.

    • Aggiungi la seguente policy AWS gestita da IAM a un utente o ruolo nella tua organizzazione: AWSLakeFormationDataAdmin

      Nota

      La AWSLakeFormationDataAdmin politica garantisce l'accesso a tutte le risorse di AWS Lake Formation. È consigliabile utilizzare sempre le autorizzazioni minime necessarie per eseguire l'attività. Per ulteriori informazioni, consulta Best practice IAM nella Guida per l'utente di IAM.

  3. Aggiungi la seguente politica in linea all'utente o al ruolo. Per ulteriori informazioni, consulta Inline policies nella IAM User Guide.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-source-bucket/*",
                "arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ram:GetResourceShareInvitations",
                "ram:AcceptResourceShareInvitation",
                "glue:CreateDatabase",
                "glue:DeleteDatabase"
            ],
            "Resource": "*"
        }
    ]
}

Per ulteriori informazioni sulla AWSLakeFormationDataAdmin policy, consulta Lake Formation Personas and IAM Permissions Reference nella AWS Lake Formation Developer Guide.

Aggiungi un utente o un ruolo come Data Lake Administrator in Lake Formation (IAM Administrator)

Nota

Questo passaggio è necessario in caso di integrazione. Indice e interrogazione SQL

Successivamente, l'amministratore IAM deve aggiungere l'utente o il ruolo creato nel passaggio precedente come amministratore del data lake in Lake Formation.

Per aggiungere un utente o un ruolo IAM come amministratore del data lake

  1. Apri la console AWS Lake Formation: https://console.aws.amazon.com/lakeformation/

    Nota

    Se è la prima volta che visiti Lake Formation, viene visualizzata una finestra di dialogo Welcome to Lake Formation che ti chiede di definire un amministratore di Lake Formation.

    Immagine di una finestra di dialogo che chiede di definire un amministratore della formazione dei laghi

  2. Assegna al nuovo utente o ruolo l'amministratore del data AWS lake di Lake Formation.

    • Opzione 1: se hai ricevuto la finestra di dialogo Welcome to Lake Formation.

      1. Scegli Aggiungi altri AWS utenti o ruoli.

      2. Scegli la freccia rivolta verso il basso (▼).

      3. Scegli l' HealthLake amministratore di cui vorresti che diventasse anche amministratore di Lake Formation.

      4. Scegli Avvia.

    • Opzione 2: utilizzare il pannello di navigazione (☰).

      1. Scegli il riquadro di navigazione (☰).

      2. In Autorizzazioni, scegli Ruoli e attività amministrative.

      3. Nella sezione Amministratori di Data lake, seleziona Scegli amministratori.

      4. Nella finestra di dialogo Gestisci gli amministratori del data lake, scegli la freccia rivolta verso il basso (▼).

      5. Successivamente, seleziona o cerca gli HealthLake amministratori, gli utenti o i ruoli che desideri siano anche amministratori di Lake Formation.

      6. Scegli Save (Salva).

  3. Modifica le impostazioni di sicurezza predefinite che devono essere gestite da Lake Formation. Le risorse del HealthLake data store devono essere gestite da Lake Formation e non da IAM. Per aggiornare, consulta Modificare il modello di autorizzazione predefinito nella AWS Lake Formation Developer Guide.

Crea bucket S3

Per importare dati FHIR R4 in AWS HealthLake, sono consigliati due bucket Amazon S3. Il bucket di input Amazon S3 contiene i dati FHIR da importare e li HealthLake legge. Il bucket di output di Amazon S3 memorizza i risultati di elaborazione del processo di importazione e HealthLake scrive (log) in questo bucket.

Nota

A causa della politica AWS Identity and Access Management (IAM), i nomi dei bucket Amazon S3 devono essere univoci. Per ulteriori informazioni, consulta Regole per la denominazione dei bucket nella Guida per l'utente di Amazon Simple Storage Service.

Ai fini di questa guida, specifichiamo i seguenti bucket di input e output di Amazon S3 durante la configurazione delle autorizzazioni di importazione più avanti in questa sezione.

  • Bucket di input: arn:aws:s3:::amzn-s3-demo-source-bucket

  • Secchio di uscita: arn:aws:s3:::amzn-s3-demo-logging-bucket

Per ulteriori informazioni, consulta Creating a bucket nella Amazon S3 User Guide.

Crea un data store

Un HealthLake data store è un archivio di dati FHIR R4 che risiede all'interno di una singola regione. AWS Un AWS account può avere zero o molti archivi dati. HealthLake supporta due strategie di autorizzazione degli archivi dati.

Importante

Prima di creare un archivio HealthLake dati, esamina le politiche di controllo del servizio (SCPs) AWS dell'organizzazione che potrebbero limitare la creazione o la gestione delle HealthLake risorse. SCPs può impedire la corretta creazione di archivi HealthLake dati, anche se le autorizzazioni IAM sono configurate correttamente.

A datastoreID viene generato quando si crea un HealthLake data store. È necessario utilizzare il datastoreID quando si impostano le autorizzazioni di importazione più avanti in questa sezione.

Per creare un archivio HealthLake dati, vedereCreazione di un archivio HealthLake dati.

Impostazione delle autorizzazioni per i lavori di importazione

Prima di importare i file in un data store, devi concedere l' HealthLake autorizzazione per accedere ai tuoi bucket di input e output in Amazon S3. Per concedere HealthLake l'accesso, devi creare un ruolo di servizio IAM HealthLake, aggiungere una policy di fiducia al ruolo per concedere le autorizzazioni di HealthLake assunzione del ruolo e allegare una policy di autorizzazione al ruolo che gli consenta l'accesso ai tuoi bucket Amazon S3.

Quando crei un processo di importazione, specifichi l'Amazon Resource Name (ARN) di questo ruolo per. DataAccessRoleArn Per ulteriori informazioni sui ruoli IAM e sulle policy di fiducia, consulta IAM Roles.

Dopo aver impostato l'autorizzazione, sei pronto per importare i file nel tuo data store con un processo di importazione. Per ulteriori informazioni, consulta Avvio di un processo di importazione FHIR.

Per configurare le autorizzazioni di importazione

  1. Se non l'hai già fatto, crea un bucket Amazon S3 di destinazione per i file di log di output. Il bucket Amazon S3 deve trovarsi nella stessa AWS regione del servizio e l'opzione Block Public Access deve essere attivata per tutte le opzioni. Per ulteriori informazioni, consulta Usare Amazon S3 per bloccare l'accesso pubblico. Per la crittografia deve essere utilizzata anche una chiave KMS di proprietà di Amazon o di proprietà del cliente. Per ulteriori informazioni sull'uso delle chiavi KMS, consulta Amazon Key Management Service.

  2. Crea un ruolo di servizio di accesso ai dati HealthLake e concedi al HealthLake servizio l'autorizzazione ad assumerlo con la seguente politica di fiducia. HealthLake lo usa per scrivere il bucket Amazon S3 di output.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "healthlake.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "accountID"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:healthlake:us-west-2:111122223333:datastore/fhir/datastoreID"
                }
            }
        }
    ]
}

  3. Aggiungi una politica di autorizzazioni al ruolo di accesso ai dati che gli consenta di accedere al bucket Amazon S3. Sostituiscilo amzn-s3-demo-bucket con il nome del tuo bucket.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Action": [
            "s3:ListBucket",
            "s3:GetBucketPublicAccessBlock",
            "s3:GetEncryptionConfiguration"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "s3:PutObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "kms:DescribeKey",
            "kms:GenerateDataKey*"
        ],
        "Resource": [
            "arn:aws:kms:us-east-1:012345678910:key/d330e7fc-b56c-4216-a250-f4c43ef46e83"
        ],
        "Effect": "Allow"
    }]
}

Impostazione delle autorizzazioni per i lavori di esportazione

Prima di esportare file da un data store, devi concedere l' HealthLake autorizzazione per accedere al tuo bucket di output in Amazon S3. Per concedere HealthLake l'accesso, devi creare un ruolo di servizio IAMHealthLake, aggiungere una policy di fiducia al ruolo per concedere le autorizzazioni di HealthLake assunzione del ruolo e allegare una policy di autorizzazione al ruolo che gli consenta l'accesso al tuo bucket Amazon S3.

Se hai già creato un ruolo per HealthLake, puoi riutilizzarlo e concedergli le autorizzazioni aggiuntive per il tuo bucket di esportazione Amazon S3 elencate in questo argomento. Per ulteriori informazioni sui ruoli IAM e sulle policy di fiducia, consulta IAM Policies and Permissions.

Importante

HealthLake supporta sia le richieste di esportazione SDK native sia il funzionamento FHIR R4. $export È necessario fornire azioni IAM separate a seconda dell'API di esportazione che si decide di utilizzare. Ciò consente di gestire allow le deny autorizzazioni separatamente. Se desideri limitare le esportazioni di API REST HealthLake SDK e FHIR, devi applicare le autorizzazioni di negazione alle azioni IAM separate. Le modifiche alle autorizzazioni degli utenti IAM non sono necessarie se concedi agli utenti l'accesso completo a. HealthLake

Utilizzo AWS CLI e AWS SDKs:

Le seguenti HealthLake azioni native sono disponibili per esportare dati da un data store utilizzando AWS CLI e AWS SDKs:

  • StartFHIRExportJob

  • DescribeFHIRExportJob

  • ListFHIRExportJobs

Utilizzo di FHIR: APIs

Le seguenti azioni IAM sono disponibili per esportare dati da un HealthLake data store e per annullare (eliminare) un processo di esportazione utilizzando l'operazione FHIR: $export

POST:

  • StartFHIRExportJobWithPost

GET:

  • StartFHIRExportJobWithGet

  • DescribeFHIRExportJobWithGet

  • GetExportedFile

DELETE:

  • CancelFHIRExportJobWithDelete

L'utente o il ruolo che imposta le autorizzazioni deve avere l'autorizzazione a creare ruoli, creare politiche e allegare politiche ai ruoli. La seguente policy IAM concede queste autorizzazioni.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "healthlake.amazonaws.com"
                }
            }
        }
    ]
}
Per impostare le autorizzazioni di esportazione

  1. Se non l'hai già fatto, crea un bucket Amazon S3 di destinazione per i dati che esporterai dal tuo data store. Il bucket Amazon S3 deve trovarsi nella stessa regione AWS del servizio e l'opzione Block Public Access deve essere attivata per tutte le opzioni. Per ulteriori informazioni, consulta Usare Amazon S3 per bloccare l'accesso pubblico. Per la crittografia deve essere utilizzata anche una chiave KMS di proprietà di Amazon o di proprietà del cliente. Per ulteriori informazioni sull'uso delle chiavi KMS, consulta Amazon Key Management Service.

  2. Se non l'hai già fatto, crea un ruolo di servizio di accesso ai dati HealthLake e concedi al HealthLake servizio l'autorizzazione ad assumerlo con la seguente politica di fiducia. HealthLakelo usa per scrivere il bucket Amazon S3 di output. Se ne hai già creato unoImpostazione delle autorizzazioni per i lavori di importazione, puoi riutilizzarlo e concedergli le autorizzazioni per il tuo bucket Amazon S3 nel passaggio successivo.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "healthlake.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "accountID"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:healthlake:us-west-2:111122223333:datastore/fhir/data store ID"
                }
            }
        }
    ]
}

  3. Aggiungi una politica di autorizzazioni al ruolo di accesso ai dati che gli consenta di accedere al tuo bucket Amazon S3 di output. Sostituiscilo amzn-s3-demo-bucket con il nome del bucket.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Action": [
            "s3:ListBucket",
            "s3:GetBucketPublicAccessBlock",
            "s3:GetEncryptionConfiguration"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "s3:PutObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "kms:DescribeKey",
            "kms:GenerateDataKey*"
        ],
        "Resource": [
            "arn:aws:kms:us-east-1:012345678910:key/d330e7fc-b56c-4216-a250-f4c43ef46e83"
        ],
        "Effect": "Allow"
    }]
}

Installa il AWS CLI

AWS CLI È necessario per descrivere ed HealthLake elencare le proprietà del lavoro di importazione ed esportazione. È inoltre possibile richiedere queste informazioni utilizzando HealthLake SDKs.

Per configurare il AWS CLI

  1. Scarica e configura la AWS CLI. Per le istruzioni, consulta i seguenti argomenti nella Guida per l'utente di AWS Command Line Interface .

  2. Nel AWS CLI config file, aggiungi un profilo denominato per l'amministratore. Questo profilo viene utilizzato quando si eseguono i AWS CLI comandi. In base al principio di sicurezza del privilegio minimo, ti consigliamo di creare un ruolo IAM separato con privilegi specifici per le attività eseguite. Per ulteriori informazioni sui profili denominati, consulta Configurazione e impostazioni dei file di credenziali nella Guida per l'AWS Command Line Interface utente.

    [default]
aws_access_key_id = default access key ID
aws_secret_access_key = default secret access key
region = region

  3. Verificate la configurazione utilizzando il seguente help comando.

    aws healthlake help

    Se AWS CLI è configurato correttamente, viene visualizzata una breve descrizione AWS HealthLake e un elenco dei comandi disponibili.