Impostazione delle autorizzazioni per i lavori di importazione - AWS HealthLake

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Impostazione delle autorizzazioni per i lavori di importazione

Prima di importare i file in un data store, devi concedere l' HealthLake autorizzazione per accedere ai tuoi bucket di input e output in Amazon S3. Per concedere HealthLake l'accesso, devi creare un ruolo di IAM servizio HealthLake, aggiungere una policy di fiducia al ruolo per concedere le autorizzazioni per HealthLake assumere il ruolo e allegare una policy di autorizzazione al ruolo che gli conceda l'accesso ai tuoi bucket Amazon S3.

Quando crei un processo di importazione, specifichi l'Amazon Resource Name (ARN) di questo ruolo perDataAccessRoleArn. Per ulteriori informazioni sui IAM ruoli e sulle politiche di fiducia, consulta IAMRoles.

Dopo aver impostato l'autorizzazione, sei pronto per importare i file nel tuo data store con un processo di importazione. Per ulteriori informazioni, consulta Avvio di un processo di importazione in HealthLake.

Per configurare le autorizzazioni di importazione

  1. Se non l'hai già fatto, crea un bucket Amazon S3 di destinazione per i file di log di output. Il bucket Amazon S3 deve trovarsi nella stessa AWS regione del servizio e l'opzione Block Public Access deve essere attivata per tutte le opzioni. Per ulteriori informazioni, consulta Usare Amazon S3 per bloccare l'accesso pubblico. Per la crittografia deve essere utilizzata anche una KMS chiave di proprietà di Amazon o di proprietà del cliente. Per ulteriori informazioni sull'uso KMS delle chiavi, consulta Amazon Key Management Service.

  2. Crea un ruolo di servizio di accesso ai dati HealthLake e concedi al HealthLake servizio l'autorizzazione ad assumerlo con la seguente politica di fiducia. HealthLake lo usa per scrivere il bucket Amazon S3 di output. 

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": ["healthlake.amazonaws.com"]
        },
        "Action": "sts:AssumeRole",
        "Condition": {
            "StringEquals": {
                "aws:SourceAccount": "your-account-id"
            },
            "ArnEquals": {
                "aws:SourceArn": "arn:aws:healthlake:us-west-2:account:datastore/fhir/data store ID"
            }
        }
    }]
}

  3. Aggiungi una politica di autorizzazioni al ruolo di accesso ai dati che gli consenta di accedere al bucket Amazon S3. Sostituiscilo amzn-s3-demo-bucket con il nome del tuo bucket.

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Action": [
            "s3:ListBucket",
            "s3:GetBucketPublicAccessBlock",
            "s3:GetEncryptionConfiguration"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "s3:PutObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "kms:DescribeKey",
            "kms:GenerateDataKey*"
        ],
        "Resource": [
            "arn:aws:kms:us-east-1:012345678910:key/d330e7fc-b56c-4216-a250-f4c43ef46e83"
        ],
        "Effect": "Allow"
    }]
}