翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS HealthImagingの設定
AWS HealthImaging を使用する前に AWS 環境を設定する必要があります。以下のトピックは、次のセクションにある[チュートリアル](getting-started-tutorial.md)の前提条件です。
**Topics**
+ [にサインアップする AWS アカウント](#sign-up-for-aws)
+ [管理アクセスを持つユーザーを作成する](#create-an-admin)
+ [S3 バケットを作成する](#setting-up-create-s3-buckets)
+ [データストアの作成](#setting-up-create-data-store)
+ [HealthImafig のフルアクセス許可を持つ IAM ユーザーを作成する](#setting-up-create-iam-user)
+ [インポート用の IAM ロールの作成](#setting-up-create-iam-role-import)
+ [のインストール AWS CLI (オプション)](#setting-up-install-cli)
## にサインアップする AWS アカウント
がない場合は AWS アカウント、次の手順を実行して作成します。
**にサインアップするには AWS アカウント**
1. [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup) を開きます。
1. オンラインの手順に従います。
サインアップ手順の一環として、電話またはテキストメッセージを受け取り、電話キーパッドで検証コードを入力します。
にサインアップすると AWS アカウント、 *AWS アカウントのルートユーザー* が作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティベストプラクティスとして、ユーザーに管理アクセス権を割り当て、[ルートユーザーアクセスが必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)の実行にはルートユーザーのみを使用するようにしてください。
AWS サインアッププロセスが完了すると、 から確認メールが送信されます。[https://aws.amazon.com/](https://aws.amazon.com/) の **[マイアカウント]** をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。
## 管理アクセスを持つユーザーを作成する
にサインアップしたら AWS アカウント、日常的なタスクにルートユーザーを使用しないように AWS アカウントのルートユーザー、 を保護し AWS IAM アイデンティティセンター、 を有効にして管理ユーザーを作成します。
**を保護する AWS アカウントのルートユーザー**
1. **ルートユーザー**を選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者[AWS マネジメントコンソール](https://console.aws.amazon.com/)として にサインインします。次のページでパスワードを入力します。
ルートユーザーを使用してサインインする方法については、「*AWS サインイン ユーザーガイド*」の「[ルートユーザーとしてサインインする](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)」を参照してください。
1. ルートユーザーの多要素認証 (MFA) を有効にします。
手順については、*IAM* [ユーザーガイドの AWS アカウント 「ルートユーザー (コンソール) の仮想 MFA デバイス](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)を有効にする」を参照してください。
**管理アクセスを持つユーザーを作成する**
1. IAM アイデンティティセンターを有効にします。
手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[AWS IAM アイデンティティセンターの有効化](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)」を参照してください。
1. IAM アイデンティティセンターで、ユーザーに管理アクセスを付与します。
を ID ソース IAM アイデンティティセンターディレクトリ として使用する方法のチュートリアルについては、*AWS IAM アイデンティティセンター 「 ユーザーガイド*」の[「デフォルトを使用してユーザーアクセスを設定する IAM アイデンティティセンターディレクトリ](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)」を参照してください。
**管理アクセス権を持つユーザーとしてサインインする**
+ IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。
IAM Identity Center ユーザーを使用してサインインする方法については、*AWS サインイン 「 ユーザーガイド*[」の AWS 「 アクセスポータルにサインイン](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)する」を参照してください。
**追加のユーザーにアクセス権を割り当てる**
1. IAM アイデンティティセンターで、最小特権のアクセス許可を適用するというベストプラクティスに従ったアクセス許可セットを作成します。
手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)」を参照してください。
1. グループにユーザーを割り当て、そのグループにシングルサインオンアクセス権を割り当てます。
手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[グループを追加する](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)」を参照してください。
## S3 バケットを作成する
DICOM P10 データを AWS HealthImaging にインポートするには、2 つの Amazon S3 バケットを使用することをお勧めします。Amazon S3 入力バケットにはインポートする DICOM P10 データが保存され、HealthImaging はこのバケットからデータを読み取ります。Amazon S3 出力バケットにはインポートジョブの処理結果が保存され、HealthImaging はこのバケットに書き込みます。これを視覚的に示した [インポートジョブを理解する](understanding-import-jobs.md) の図を参照してください。
**注記**
AWS Identity and Access Management (IAM) ポリシーにより、Amazon S3 バケット名は一意である必要があります。詳細については、「Amazon Simple Storage Service ユーザーガイド」の「[バケットの名前付け](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html)」を参照してください。
このガイドでは、[インポート用 IAM ロール](#setting-up-create-iam-role-import)に次の Amazon S3 入出力バケットを指定します。
+ 入力バケット: `arn:aws:s3:::{{amzn-s3-demo-source-bucket}}`
+ 出力バケット: `arn:aws:s3:::{{amzn-s3-demo-logging-bucket}}`
詳細については、「Amazon S3 ユーザーガイド」の「[バケットの作成](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)」を参照してください。
## データストアの作成
医療画像データをインポートすると、AWS HealthImaging [データストア](getting-started-concepts.md#concept-data-store)に変換済み DICOM P10 ファイルの結果が格納されます。これらは[画像セット](getting-started-concepts.md#concept-image-set)と呼ばれます。これを視覚的に示した [インポートジョブを理解する](understanding-import-jobs.md) の図を参照してください。
**ヒント**
`datastoreID` はデータストアを作成すると生成されます。[trust relationship](#anchor-trust-relationship) が完了すると、このセクションの後半で説明するインポートで `datastoreID` を使用する必要があります。
データストアを作成するには[データストアの作成](create-data-store.md)を参照してください。
## HealthImafig のフルアクセス許可を持つ IAM ユーザーを作成する
**ベストプラクティス**
インポート、データアクセス、データ管理などのさまざまなニーズに合わせて、個別の IAM ユーザーを作成することをお勧めします。これはAWS Well-Architected フレームワークの[最小特権アクセスの付与](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html)と整合します。
次のセクションの[チュートリアル](getting-started-tutorial.md)では、1 人の IAM ユーザーを使用します。
**IAM ユーザーを作成するには**
1. [「IAM ユーザーガイド」の AWS 「アカウントで IAM ユーザーを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html)」の手順に従います。 **わかりやすくするため、ユーザー `ahiadmin` (または同様のもの) などの命名法を検討してください。
1. `AWSHealthImagingFullAccess` 管理ポリシーを IAM ユーザーに適用します。詳細については、「[AWS マネージドポリシー: AWSHealthImagingFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSHealthImagingFullAccess)」を参照してください。
**注記**
IAM の権限は絞り込むことができます。詳細については、「[AWS AWS HealthImaging の マネージドポリシー](security-iam-awsmanpol.md)」を参照してください。
## インポート用の IAM ロールの作成
**注記**
次の手順は、DICOM データをインポートするための Amazon S3 バケットへの読み取りおよび書き込みアクセスを許可する AWS Identity and Access Management (IAM) ロールを参照します。このロールは次のセクションの[チュートリアル](getting-started-tutorial.md)で必須ですが、[AWS AWS HealthImaging の マネージドポリシー](security-iam-awsmanpol.md) を使ってユーザー、グループ、ロールに IAM アクセス権限を追加することをお勧めします。その方が自分でポリシーを作成するより簡単です。
IAM ロール は、特定の許可があり、アカウントで作成できるもう 1 つの IAM アイデンティティです。インポートジョブを開始するには、`StartDICOMImportJob` アクションを呼び出す IAM ロールを、DICOM P10 データの読み取りとインポートジョブの処理結果の保存に使用する Amazon S3 バケットへのアクセスを許可するユーザーポリシーにアタッチする必要があります。AWS HealthImaging がロールを引き受けられるように、信頼関係 (ポリシー) も割り当てる必要があります。
**インポート用に IAM ロールを作成する**
1. [IAM コンソール](https://console.aws.amazon.com/iam)を使用して、`ImportJobDataAccessRole` の名称を持つ IAM ロールを作成します。このロールは、次のセクションの[チュートリアル](getting-started-tutorial.md)で使用します。詳細については、「IAM ユーザーガイド」の「[IAM ロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)」を参照してください。
**ヒント**
このガイドでは、[インポートジョブの開始](start-dicom-import-job.md) のコード例は `ImportJobDataAccessRole` IAM ロールを参考にしています。
1. この IAM ロールに次の IAM アクセス許可ポリシーをアタッチします。このアクセス許可ポリシーは Amazon S3 入出力バケットへのアクセス権を付与します。次の IAM アクセス権限ポリシーをこの IAM ロール `ImportJobDataAccessRole` にアタッチします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{amzn-s3-demo-source-bucket}}",
"arn:aws:s3:::{{amzn-s3-demo-logging-bucket}}"
],
"Effect": "Allow"
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{amzn-s3-demo-source-bucket}}/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::{{amzn-s3-demo-logging-bucket}}/*"
],
"Effect": "Allow"
}
]
}
```
------
1. `ImportJobDataAccessRole` IAM ロールに以下の信頼関係を追加します。信頼ポリシーでは、[データストアの作成](#setting-up-create-data-store) セクションの完了時に生成された `datastoreId` が必要です。このトピックに続く[チュートリアル](getting-started-tutorial.md)では、1 つの AWS HealthImaging データストアの使用を想定していますが、データストア固有の Amazon S3 バケット、IAM ロール、信頼ポリシーがあります。
**注記**
この信頼ポリシーの `Condition`ブロックは、特定の AWS HealthImaging データストアにのみアクセスできるようにすることで、混乱した代理問題を防ぐのに役立ちます。このセキュリティ対策の詳細については、[HealthImaging でのサービス間の混乱した代理の防止](https://docs.aws.amazon.com/healthimaging/latest/devguide/cross-service-confused-deputy-prevention.html)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "medical-imaging.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
AWS HealthImaging で IAM ポリシーを作成・使用する詳しい方法については、[AWS HealthImaging のアイデンティティとアクセス管理](security-iam.md) を参照してください。
IAM ロールの詳細については、「IAM ユーザーガイド」の「[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)」を参照してください。IAM ポリシーの詳細については、「IAM ユーザーガイド」の「[IAM の許可とポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)」を参照してください。
## のインストール AWS CLI (オプション)
AWS Command Line Interfaceを使用している場合は、以下の手順が必要です。 AWS マネジメントコンソール AWS SDKs を使用している場合は、次の手順をスキップできます。
**を設定するには AWS CLI**
1. AWS CLIをダウンロードして設定します。手順については、AWS Command Line Interface ユーザーガイド の次のトピックを参照してください。
+ [の最新バージョンのインストールまたは更新 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)
+ [の開始方法 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)
1. AWS CLI `config` ファイルで、管理者の名前付きプロファイルを追加します。 AWS CLI コマンドを実行するときは、このプロファイルを使用します。最小特権というセキュリティ原則のもと、実行中のタスクに固有の権限を持つ IAM ロールを別途作成することをお勧めします。名前付きプロファイルの詳細については、「AWS Command Line Interface ユーザーガイド」の「[設定ファイルと認証情報ファイルの設定](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html)」を参照してください。
```
[default]
aws_access_key_id = {{default access key ID}}
aws_secret_access_key = {{default secret access key}}
region = {{region}}
```
1. 次の `help` コマンドを使用して設定を確認します。
```
aws medical-imaging help
```
が正しく設定されている場合 AWS CLI は、AWS HealthImaging の簡単な説明と使用可能なコマンドのリストが表示されます。