View a markdown version of this page

Configurar AWS HealthLake - AWS HealthLake
Inscreva-se para um Conta da AWSConfigurar um usuário ou uma função do IAMAdicionar um usuário ou uma função de administrador do Data LakeCrie buckets do S3Criar um datastoreConfigurar permissões de importaçãoConfigurar permissões de exportaçãoInstale o   AWS CLI

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar AWS HealthLake

Neste capítulo, você usa o Console de gerenciamento da AWS para configurar as permissões necessárias para começar a usar AWS HealthLake e criar um armazenamento de dados. Para configurar permissões para criar um armazenamento de dados, você cria um usuário ou uma função do IAM que é administrador e HealthLake administrador do data lake. Você torna esse usuário um administrador de data lake no AWS Lake Formation. O administrador do data lake concede ao Lake Formation acesso aos recursos necessários para usar o Amazon Athena para consultar um armazenamento de dados. Depois de criar um armazenamento de HealthLake dados, você pode configurar permissões para importar e exportar arquivos.

Inscreva-se para um Conta da AWS

Para começar AWS, você precisa de um Conta da AWS. Para obter informações sobre como criar um Conta da AWS, consulte Introdução a um Conta da AWS no Guia de AWS Gerenciamento de contas referência.

Configurar um usuário ou uma função do IAM para usar HealthLake (administrador do IAM)

Persona: administrador do IAM

Um usuário que pode criar usuários e funções do IAM e adicionar administradores de data lake.

Essas etapas neste tópico devem ser executadas por um administrador do IAM.

Para conectar seu armazenamento de HealthLake dados ao Athena, você precisa criar um usuário ou uma função do IAM que seja administrador e administrador do data lake. HealthLake Esse novo usuário ou função concede acesso aos recursos encontrados em um armazenamento de dados por meio do AWS Lake Formation e tem a política AmazonHealthLakeFullAccess AWS gerenciada adicionada ao usuário ou função.

Importante

Um usuário ou função do IAM que seja administrador de data lake não pode criar novos administradores de data lake. Para adicionar mais administrador de data lake, você deve usar um usuário ou uma função do IAM que tenha recebido AdministratorAccess acesso.

Para criar um administrador

  1. Adicione a política AWS gerenciada AmazonHealthlakeFullAccess do IAM a um usuário ou função na sua organização.

    Se você não estiver familiarizado com a criação de um usuário do IAM, consulte Criação de um usuário do IAM e Visão geral das políticas AWS do IAM no Guia do usuário do IAM.

  2. Conceda ao usuário ou à função do IAM acesso ao AWS Lake Formation.

    • Adicione a seguinte política AWS gerenciada do IAM a um usuário ou função na sua organização: AWSLakeFormationDataAdmin

      nota

      A AWSLakeFormationDataAdmin política concede acesso a todos os recursos AWS do Lake Formation. Recomendamos que você sempre use as permissões mínimas necessárias para realizar sua tarefa. Para obter mais informações, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.

  3. Adicione a seguinte política embutida ao usuário ou à função. Para obter mais informações, consulte Políticas em linha no Guia do usuário do IAM.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-source-bucket/*",
                "arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ram:GetResourceShareInvitations",
                "ram:AcceptResourceShareInvitation",
                "glue:CreateDatabase",
                "glue:DeleteDatabase"
            ],
            "Resource": "*"
        }
    ]
}

Para obter mais informações sobre a AWSLakeFormationDataAdmin política, consulte Lake Formation Personas e Referência de permissões do IAM no Guia do desenvolvedor do AWS Lake Formation.

Adicionar um usuário ou função como administrador do Data Lake em Lake Formation (administrador do IAM)

nota

Essa etapa é necessária se você estiver integrando. Índice e consulta SQL

Em seguida, o administrador do IAM deve adicionar o usuário ou a função criada na etapa anterior como administrador do data lake no Lake Formation.

Para adicionar um usuário ou uma função do IAM como administrador do data lake

  1. Abra o console do AWS Lake Formation: https://console.aws.amazon.com/lakeformation/

    nota

    Se esta é a primeira vez que você visita Lake Formation, uma caixa de diálogo Welcome to Lake Formation é exibida solicitando que você defina um administrador do Lake Formation.

    Imagem de uma caixa de diálogo solicitando que você defina um administrador de formação de lago

  2. Atribua ao novo usuário ou função um administrador de data lake do AWS Lake Formation.

    • Opção 1: Se você recebeu a caixa de diálogo Welcome to Lake Formation.

      1. Escolha Adicionar outros AWS usuários ou funções.

      2. Escolha a seta para baixo (▼).

      3. Escolha o HealthLake administrador que você gostaria que também fosse administrador do Lake Formation.

      4. Escolha Começar.

    • Opção 2: Use o painel de navegação (☰).

      1. Escolha o painel de navegação (☰).

      2. Em Permissões, escolha Funções e tarefas administrativas.

      3. Na seção Administradores do Data Lake, selecione Escolher administradores.

      4. Na caixa de diálogo Gerenciar administradores do data lake, escolha a seta para baixo (▼).

      5. Em seguida, selecione ou pesquise os HealthLake administradores, usuários ou funções que você também deseja que sejam administradores do Lake Formation.

      6. Escolha Salvar.

  3. Altere as configurações de segurança padrão a serem gerenciadas pelo Lake Formation. Os recursos do armazenamento de HealthLake dados precisam ser gerenciados pelo Lake Formation, não pelo IAM. Para atualizar, consulte Alterar o modelo de permissão padrão no AWS Lake Formation Developer Guide.

Crie buckets do S3

Para importar dados do FHIR R4 AWS HealthLake, dois buckets Amazon S3 são recomendados. O bucket de entrada do Amazon S3 contém os dados FHIR a serem importados e lidos desse bucket HealthLake . O bucket de saída do Amazon S3 armazena os resultados de processamento do trabalho de importação e HealthLake grava (registros) nesse bucket.

nota

Devido à política AWS Identity and Access Management (IAM), seus nomes de bucket do Amazon S3 devem ser exclusivos. Para obter mais informações, consulte as Regras para nomear buckets no Guia do usuário do Amazon Simple Storage Service.

Para fins deste guia, especificamos os seguintes buckets de entrada e saída do Amazon S3 ao configurar as permissões de importação posteriormente nesta seção.

  • Bucket de entrada: arn:aws:s3:::amzn-s3-demo-source-bucket

  • Bucket de saída: arn:aws:s3:::amzn-s3-demo-logging-bucket

Para obter informações adicionais, consulte Criar um bucket no Guia do usuário do Amazon S3.

Criar um datastore

Um armazenamento HealthLake de dados é um repositório de dados do FHIR R4 que reside em uma única região. AWS Uma AWS conta pode ter zero ou muitos armazenamentos de dados. HealthLake suporta duas estratégias de autorização de armazenamento de dados.

Importante

Antes de criar um armazenamento de HealthLake dados, revise as políticas de controle de serviços (SCPs) em sua AWS organização que podem restringir a criação ou o gerenciamento de HealthLake recursos. Os SCPs podem impedir a criação bem-sucedida de armazenamentos de HealthLake dados, mesmo que suas permissões do IAM estejam configuradas corretamente.

A datastoreID é gerado quando você cria um armazenamento HealthLake de dados. Você deve usar o datastoreID ao configurar as permissões de importação posteriormente nesta seção.

Para criar um armazenamento HealthLake de dados, consulteCriando um armazenamento HealthLake de dados.

Configurando permissões para trabalhos de importação

Antes de importar arquivos para um armazenamento de dados, você deve conceder HealthLake permissão para acessar seus buckets de entrada e saída no Amazon S3. Para conceder HealthLake acesso, você cria uma função de serviço do IAM para HealthLake, adiciona uma política de confiança à função para conceder permissões de HealthLake assumir função e anexa uma política de permissões à função que concede acesso aos seus buckets do Amazon S3.

Ao criar um trabalho de importação, você especifica o Amazon Resource Name (ARN) dessa função para o. DataAccessRoleArn Para obter mais informações sobre funções e políticas de confiança do IAM, consulte Funções do IAM.

Depois de configurar a permissão, você estará pronto para importar arquivos para o seu armazenamento de dados com uma tarefa de importação. Para obter mais informações, consulte Iniciando um trabalho de importação de FHIR.

Para configurar permissões de importação

  1. Caso ainda não tenha feito isso, crie um bucket Amazon S3 de destino para os arquivos de log de saída. O bucket do Amazon S3 deve estar na mesma AWS região do serviço, e o Block Public Access deve estar ativado para todas as opções. Para saber mais, consulte Como usar o Amazon S3 para bloquear o acesso público. Uma chave KMS Amazon-owned ou de propriedade do cliente também deve ser usada para criptografia. Para saber mais sobre o uso de chaves KMS, consulte Amazon Key Management Service.

  2. Crie uma função de serviço de acesso a dados HealthLake e dê permissão ao HealthLake serviço para assumi-la com a seguinte política de confiança. HealthLake usa isso para gravar o bucket de saída do Amazon S3.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "healthlake.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "accountID"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:healthlake:us-west-2:111122223333:datastore/fhir/datastoreID"
                }
            }
        }
    ]
}

  3. Adicione uma política de permissões à função de acesso a dados que permita que ela acesse o bucket do Amazon S3. amzn-s3-demo-bucketSubstitua pelo nome do seu bucket.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [{
        "Action": [
            "s3:ListBucket",
            "s3:GetBucketPublicAccessBlock",
            "s3:GetEncryptionConfiguration"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "s3:PutObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "kms:DescribeKey",
            "kms:GenerateDataKey*"
        ],
        "Resource": [
            "arn:aws:kms:us-east-1:012345678910:key/d330e7fc-b56c-4216-a250-f4c43ef46e83"
        ],
        "Effect": "Allow"
    }]
}

Configurando permissões para trabalhos de exportação

Antes de exportar arquivos de um armazenamento de dados, você deve conceder HealthLake permissão para acessar seu bucket de saída no Amazon S3. Para conceder HealthLake acesso, você cria uma função de serviço do IAM paraHealthLake, adiciona uma política de confiança à função para conceder permissões de HealthLake assumir função e anexa uma política de permissões à função que concede acesso ao seu bucket do Amazon S3.

Se você já criou uma função para HealthLake, você pode reutilizá-la e conceder a ela as permissões adicionais para seu bucket de exportação do Amazon S3 listado neste tópico. Para saber mais sobre as políticas de confiança e os perfis do IAM, consulte Políticas e permissões do IAM.

Importante

HealthLake oferece suporte às solicitações de exportação do SDK nativo e à operação FHIR R4. $export Ações do IAM separadas devem ser fornecidas dependendo da API de exportação que você decidir usar. Isso permite que você allow gerencie deny as permissões separadamente. Se você quiser restringir as exportações da API REST do HealthLake SDK e do FHIR, aplique as permissões de negação às ações separadas do IAM. As alterações de permissão do usuário do IAM não são necessárias se você der aos usuários acesso total HealthLake a.

Utilizar AWS CLI and AWS SDKs:

As seguintes HealthLake ações nativas estão disponíveis para exportar dados de um armazenamento de dados usando os AWS SDKs AWS CLI e:

  • StartFHIRExportJob

  • DescribeFHIRExportJob

  • ListFHIRExportJobs

Usando APIs FHIR:

As seguintes ações do IAM estão disponíveis para exportar dados de um armazenamento de HealthLake dados e para cancelar (excluir) um trabalho de exportação usando a operação FHIR: $export

POST:

  • StartFHIRExportJobWithPost

GET:

  • StartFHIRExportJobWithGet

  • DescribeFHIRExportJobWithGet

  • GetExportedFile

DELETE:

  • CancelFHIRExportJobWithDelete

O usuário ou função que configura as permissões deve ter permissão para criar funções, criar políticas e anexar políticas às funções. A política do IAM a seguir concede essas permissões.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Action": [
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "healthlake.amazonaws.com"
                }
            }
        }
    ]
}
Para configurar permissões de exportação

  1. Caso ainda não tenha feito isso, crie um bucket Amazon S3 de destino para os dados que você exportará do seu armazenamento de dados. O bucket do Amazon S3 deve estar na mesma região da AWS do serviço, e o Block Public Access deve estar ativado para todas as opções. Para saber mais, consulte Como usar o Amazon S3 para bloquear o acesso público. Uma chave KMS Amazon-owned ou de propriedade do cliente também deve ser usada para criptografia. Para saber mais sobre o uso de chaves KMS, consulte Amazon Key Management Service.

  2. Se você ainda não o fez, crie uma função de serviço de acesso a dados HealthLake e dê permissão ao HealthLake serviço para assumi-la com a seguinte política de confiança. HealthLakeusa isso para gravar o bucket de saída do Amazon S3. Se você já criou umConfigurando permissões para trabalhos de importação, pode reutilizá-lo e conceder permissões para seu bucket do Amazon S3 na próxima etapa.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "healthlake.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "accountID"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:healthlake:us-west-2:111122223333:datastore/fhir/data store ID"
                }
            }
        }
    ]
}

  3. Adicione uma política de permissões à função de acesso a dados que permita que ela acesse seu bucket de saída do Amazon S3. amzn-s3-demo-bucketSubstitua pelo nome do seu bucket.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [{
        "Action": [
            "s3:ListBucket",
            "s3:GetBucketPublicAccessBlock",
            "s3:GetEncryptionConfiguration"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "s3:PutObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "kms:DescribeKey",
            "kms:GenerateDataKey*"
        ],
        "Resource": [
            "arn:aws:kms:us-east-1:012345678910:key/d330e7fc-b56c-4216-a250-f4c43ef46e83"
        ],
        "Effect": "Allow"
    }]
}

Instale o   AWS CLI

O AWS CLI é necessário para descrever e listar as propriedades da tarefa de HealthLake importação e exportação. Você também pode solicitar essas informações usando HealthLake SDKs.

Para configurar o AWS CLI

  1. Faça download e configure a AWS CLI. Para obter instruções, consulte os seguintes tópicos no Guia do usuário do AWS Command Line Interface .

  2. No AWS CLI config arquivo, adicione um perfil nomeado para o administrador. Você usa esse perfil ao executar os AWS CLI comandos. De acordo com o princípio de segurança do privilégio mínimo, recomendamos que você crie um perfil do IAM separado com privilégios específicos para as tarefas que estão sendo executadas. Para obter mais informações sobre perfis nomeados, consulte Configurações de arquivos de configuração e credenciais no Guia do usuário da AWS Command Line Interface .

    [default]
aws_access_key_id = default access key ID
aws_secret_access_key = default secret access key
region = region

  3. Verifique a configuração usando o comando help.

    aws healthlake help

    Se o AWS CLI estiver configurado corretamente, você verá uma breve descrição AWS HealthLake e uma lista dos comandos disponíveis.