Configurazione delle autorizzazioni per iniziare a utilizzare AWS HealthLake - AWS HealthLake
Registrati per un Account AWSCrea un utente con accesso amministrativoConfigura un IAM utente o un ruolo da utilizzare HealthLake (amministratore) IAMAggiungere un utente o un ruolo come amministratore del Data Lake in Lake Formation (IAMamministratore)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione delle autorizzazioni per iniziare a utilizzare AWS HealthLake

In questo capitolo, si utilizza il AWS Management Console per impostare le autorizzazioni necessarie per iniziare a utilizzare AWS HealthLake e creare un data store. Per impostare le autorizzazioni per creare un data store, è necessario creare un IAM utente o un ruolo che sia amministratore e HealthLake amministratore del data lake. Rendi questo utente un amministratore di data lake in AWS Lake Formation. L'amministratore del data lake concede a Lake Formation l'accesso alle risorse necessarie per utilizzare Amazon Athena per interrogare un data store.

Dopo aver creato un data store in HealthLake, puoi impostare le autorizzazioni per importare file nel data store o esportarli. Per informazioni sulla configurazione delle autorizzazioni per importare file, consulta. Impostazione delle autorizzazioni per i lavori di importazione Per informazioni sull'impostazione delle autorizzazioni per l'esportazione di file, vedere. Impostazione delle autorizzazioni per i lavori di esportazione

Registrati per un Account AWS

Se non ne hai uno Account AWS, completa i seguenti passaggi per crearne uno.

Per iscriverti a un Account AWS

  1. Apri la https://portal.aws.amazon.com/billing/registrazione.

  2. Segui le istruzioni online.

    Nel corso della procedura di registrazione riceverai una telefonata, durante la quale sarà necessario inserire un codice di verifica attraverso la tastiera del telefono.

    Quando ti iscrivi a un Account AWS, Utente root dell'account AWSviene creato un. L'utente root dispone dell'accesso a tutte le risorse e tutti i Servizi AWS nell'account. Come best practice di sicurezza, assegna l'accesso amministrativo a un utente e utilizza solo l'utente root per eseguire attività che richiedono l'accesso di un utente root.

AWS ti invia un'email di conferma dopo il completamento della procedura di registrazione. In qualsiasi momento, puoi visualizzare l'attività corrente del tuo account e gestirlo accedendo a https://aws.amazon.com/e scegliendo Il mio account.

Crea un utente con accesso amministrativo

Dopo esserti registrato Account AWS, proteggi Utente root dell'account AWS AWS IAM Identity Center, abilita e crea un utente amministrativo in modo da non utilizzare l'utente root per le attività quotidiane.

Proteggi i tuoi Utente root dell'account AWS

  1. Accedi AWS Management Consolecome proprietario dell'account scegliendo Utente root e inserendo il tuo indirizzo Account AWS email. Nella pagina successiva, inserisci la password.

    Per informazioni sull'accesso utilizzando un utente root, consulta la pagina Signing in as the root user della Guida per l'utente di Accedi ad AWS .

  2. Attiva l'autenticazione a più fattori (MFA) per il tuo utente root.

    Per istruzioni, consulta Abilitare un MFA dispositivo virtuale per l'utente Account AWS root (console) nella Guida per l'IAMutente.

Crea un utente con accesso amministrativo

  1. Abilita IAM Identity Center.

    Per istruzioni, consulta Abilitazione di AWS IAM Identity Center nella Guida per l'utente di AWS IAM Identity Center .

  2. In IAM Identity Center, concedi l'accesso amministrativo a un utente.

    Per un tutorial sull'utilizzo di IAM Identity Center directory come fonte di identità, consulta Configurare l'accesso utente con i valori predefiniti IAM Identity Center directory nella Guida per l'AWS IAM Identity Center utente.

Accesso come utente amministratore

  • Per accedere con l'utente dell'IAMIdentity Center, utilizza l'accesso URL che è stato inviato al tuo indirizzo e-mail quando hai creato l'utente IAM Identity Center.

    Per informazioni sull'accesso con un utente di IAM Identity Center, consulta Accesso al portale di AWS accesso nella Guida per l'Accedi ad AWS utente.

Assegna l'accesso a ulteriori utenti

  1. In IAM Identity Center, crea un set di autorizzazioni che segua la migliore pratica di applicazione delle autorizzazioni con privilegi minimi.

    Segui le istruzioni riportate nella pagina Creazione di un set di autorizzazioni nella Guida per l'utente di AWS IAM Identity Center .

  2. Assegna al gruppo prima gli utenti e poi l'accesso con autenticazione unica (Single Sign-On).

    Per istruzioni, consulta Aggiungere gruppi nella Guida per l'utente di AWS IAM Identity Center .

Configura un IAM utente o un ruolo da utilizzare HealthLake (amministratore) IAM

Persona: IAM amministratore

Un utente che può creare IAM utenti e ruoli e aggiungere amministratori del data lake.

I passaggi descritti in questo argomento devono essere eseguiti da un IAM amministratore.

Per connettere il tuo HealthLake data store ad Athena, devi creare un IAM utente o un ruolo che sia un amministratore del data lake e un HealthLake amministratore. Questo nuovo utente o ruolo concede l'accesso alle risorse presenti in un data store tramite AWS Lake Formation e la policy AmazonHealthLakeFullAccess AWS gestita viene aggiunta al relativo utente o ruolo.

Importante

Un IAM utente o un ruolo che è un amministratore di data lake non può creare nuovi amministratori di data lake. Per aggiungere un amministratore del data lake aggiuntivo, è necessario utilizzare un IAM utente o un ruolo a cui è stato concesso AdministratorAccess l'accesso.

Per creare un amministratore

  1. Aggiungi la politica AmazonHealthlakeFullAccess IAM AWS gestita a un utente o a un ruolo nell'organizzazione.

    Se non hai dimestichezza con la creazione di un IAM utente, consulta Creazione di un IAM utente e Panoramica delle AWS IAM politiche nella Guida per l'IAMutente.

  2. Concedi all'IAMutente o al ruolo l'accesso a AWS Lake Formation.

    • Aggiungi la seguente politica IAM AWS gestita a un utente o a un ruolo nella tua organizzazione: AWSLakeFormationDataAdmin

      Nota

      La AWSLakeFormationDataAdmin politica garantisce l'accesso a tutte le risorse di AWS Lake Formation. È consigliabile utilizzare sempre le autorizzazioni minime necessarie per eseguire l'attività. Per ulteriori informazioni, consulta IAMBest Practices nella Guida per l'IAMutente.

  3. Aggiungi la seguente politica in linea all'utente o al ruolo. Per ulteriori informazioni, consulta Politiche in linea nella Guida per l'IAMutente.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-source-bucket/*",
                "arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ram:GetResourceShareInvitations",
                "ram:AcceptResourceShareInvitation",
                "glue:CreateDatabase",
                "glue:DeleteDatabase"
            ],
            "Resource": "*"
        }
    ]
}

Per ulteriori informazioni sulla AWSLakeFormationDataAdmin politica, consulta Lake Formation Personas and IAM Permissions Reference nella AWS Lake Formation Developer Guide.

Aggiungere un utente o un ruolo come amministratore del Data Lake in Lake Formation (IAMamministratore)

Successivamente, l'IAMamministratore deve aggiungere l'utente o il ruolo creato nel passaggio 1 come amministratore del data lake in Lake Formation.

Per aggiungere un IAM utente o un ruolo come amministratore del data lake

  1. Apri la console AWS Lake Formation: https://console.aws.amazon.com/lakeformation/

    Nota

    Se è la prima volta che visiti Lake Formation, viene visualizzata una finestra di dialogo Welcome to Lake Formation che ti chiede di definire un amministratore di Lake Formation.

    Immagine di una finestra di dialogo che chiede di definire un amministratore di Lake Formation

  2. Assegna al nuovo utente o ruolo l'amministratore del data AWS lake di Lake Formation.

    • Opzione 1: se hai ricevuto la finestra di dialogo Welcome to Lake Formation.

      1. Scegli Aggiungi altri AWS utenti o ruoli.

      2. Scegli la freccia rivolta verso il basso (▼).

      3. Scegli l' HealthLake amministratore di cui vorresti che diventasse anche amministratore di Lake Formation.

      4. Scegli Avvia.

    • Opzione 2: utilizzare il pannello di navigazione (☰).

      1. Scegli il pannello di navigazione (☰).

      2. In Autorizzazioni, scegli Ruoli e attività amministrative.

      3. Nella sezione Amministratori di Data lake, seleziona Scegli amministratori.

      4. Nella finestra di dialogo Gestisci gli amministratori del data lake, scegli la freccia rivolta verso il basso (▼).

      5. Successivamente, seleziona o cerca gli HealthLake amministratori, gli utenti o i ruoli che desideri siano anche amministratori di Lake Formation.

      6. Seleziona Salva.

  3. Modifica le impostazioni di sicurezza predefinite che devono essere gestite da Lake Formation. Le risorse del HealthLake data store non devono essere gestite da Lake FormationIAM. Per aggiornare, consulta Modifica del modello di autorizzazione predefinito nella AWS Lake Formation Developer Guide.