Sdílet prostřednictvím

Konfigurace nastavení exportu a nastavení účtu úložiště

  • Článek

Služba FHIR podporuje $export operaci určenou HL7 pro export dat FHIR ze serveru FHIR. Při implementaci služby FHIR způsobí volání koncového $export bodu, že služba FHIR exportuje data do předem nakonfigurovaného účtu úložiště Azure.

Před konfigurací exportu se ujistěte, že máte udělenou roli žádosti – "Role vývozce údajů FHIR". Další informace o rolích aplikací najdete v tématu Ověřování a autorizace pro službu FHIR.

Tři kroky při nastavování $export operace pro službu FHIR

  • Povolení spravované identity pro službu FHIR
  • Nakonfigurujte nový nebo existující účet Azure Data Lake Storage Gen2 (ADLS Gen2) a udělte oprávnění pro službu FHIR pro přístup k účtu.
  • Nastavte účet ADLS Gen2 jako cíl exportu pro službu FHIR.

Povolení spravované identity pro službu FHIR

Prvním krokem při konfiguraci prostředí pro export dat FHIR je povolení spravované identity pro službu FHIR v celém systému. Tato spravovaná identita slouží k ověření služby FHIR, která umožňuje přístup k účtu ADLS Gen2 během $export operace. Další informace o spravovaných identitách v Azure najdete v tématu o spravovaných identitách pro prostředky Azure.

V tomto kroku přejděte na webu Azure Portal ke službě FHIR a vyberte okno Identita . Nastavte možnost Stav na Zapnuto a klepněte na tlačítko Uložit. Když se zobrazí tlačítka Ano a Ne , výběrem možnosti Ano povolíte spravovanou identitu pro službu FHIR. Jakmile je identita systému povolená, zobrazí se hodnota ID objektu (instančního objektu) pro vaši službu FHIR.

Enable Managed Identity

Udělení oprávnění v účtu úložiště pro přístup ke službě FHIR

  1. Na webu Azure Portal přejděte ke svému účtu ADLS Gen2 . Pokud ještě nemáte nasazený účet ADSL Gen2, postupujte podle těchto pokynů k vytvoření účtu úložiště Azure a upgradu na ADLS Gen2. Nezapomeňte povolit možnost hierarchického oboru názvů na kartě Upřesnit a vytvořit účet ADLS Gen2.

  2. V účtu ADLS Gen2 vyberte Řízení přístupu (IAM).

  3. Vyberte Přidat > přiřazení role. Pokud je možnost Přidat přiřazení role neaktivní, požádejte správce Azure o pomoc s tímto krokem.

    Screenshot that shows Access control (IAM) page with Add role assignment menu open.

  4. Na kartě Role vyberte roli Přispěvatel dat objektů blob úložiště.

    Screen shot showing user interface of Add role assignment page.

  5. Na kartě Členové vyberte Spravovaná identita a potom klikněte na vybrat členy.

  6. Vyberte své předplatné Azure.

  7. Vyberte spravovanou identitu přiřazenou systémem a pak vyberte spravovanou identitu, kterou jste povolili dříve pro službu FHIR.

  8. Na kartě Revize a přiřazení klikněte na Zkontrolovat a přiřadit, abyste službě FHIR přiřadiliroli Přispěvatel dat objektů blob služby Storage.

Další informace o přiřazování rolí na webu Azure Portal najdete v tématu Předdefinované role Azure.

Teď jste připraveni nakonfigurovat službu FHIR nastavením účtu ADLS Gen2 jako výchozího účtu úložiště pro export.

Zadání účtu úložiště pro export služby FHIR

Posledním krokem je určení účtu ADLS Gen2, který služba FHIR používá při exportu dat.

Poznámka:

Pokud jste v účtu úložiště nepřiřadili roli Přispěvatel dat objektů blob služby Storage službě FHIR, $export operace selže.

  1. Přejděte do nastavení služby FHIR.

  2. Vyberte okno Exportovat.

  3. V seznamu vyberte název účtu úložiště. Pokud potřebujete vyhledat účet úložiště, použijte filtry Název, Skupina prostředků nebo Oblast .

Screen shot showing user interface of FHIR Export Storage.

Po dokončení tohoto posledního kroku konfigurace jste připraveni exportovat data ze služby FHIR. Podrobnosti o provádění $export operací se službou FHIR najdete v tématu Postup exportu dat FHIR.

Poznámka:

Jako cíl pro $export operace se můžou zaregistrovat jenom účty úložiště ve stejném předplatném jako služba FHIR.

Zabezpečení operace služby $export FHIR

Pro bezpečný export ze služby FHIR do účtu ADLS Gen2 existují dvě hlavní možnosti:

  • Povolení přístupu služby FHIR k účtu úložiště jako důvěryhodné službě Microsoftu.

  • Povolení přístupu ke konkrétním IP adresům přidruženým ke službě FHIR pro přístup k účtu úložiště Tato možnost umožňuje dvě různé konfigurace v závislosti na tom, jestli je účet úložiště ve stejné oblasti Azure jako služba FHIR.

Povolení služby FHIR jako důvěryhodné služby Microsoftu

Na webu Azure Portal přejděte ke svému účtu ADLS Gen2 a vyberte okno Sítě . Na kartě Brány firewall a virtuální sítě vyberte Možnost Povoleno z vybraných virtuálních sítí a IP adres.

Screenshot of Azure Storage Networking Settings.

V rozevíracím seznamu Typ prostředku vyberte Microsoft.HealthcareApis/workspaces a pak v rozevíracím seznamu Název instance vyberte svůj pracovní prostor.

V části Výjimky zaškrtněte políčko Povolit službám Azure v seznamu důvěryhodných služeb přístup k tomuto účtu úložiště. Chcete-li zachovat nastavení, klikněte na tlačítko Uložit .

Allow trusted Microsoft services to access this storage account.

Potom spuštěním následujícího příkazu PowerShellu Az.Storage nainstalujte modul PowerShellu do místního prostředí. To vám umožní nakonfigurovat účty úložiště Azure pomocí PowerShellu.

Install-Module Az.Storage -Repository PsGallery -AllowClobber -Force

Teď pomocí následujícího příkazu PowerShellu nastavte vybranou instanci služby FHIR jako důvěryhodný prostředek pro účet úložiště. Ujistěte se, že jsou v prostředí PowerShellu definované všechny uvedené parametry.

Tento příkaz budete muset spustit Add-AzStorageAccountNetworkRule jako správce ve vašem místním prostředí. Další informace najdete v tématu Konfigurace virtuálních sítí a bran firewall Azure Storage.

$subscription="xxx"
$tenantId = "xxx"
$resourceGroupName = "xxx"
$storageaccountName = "xxx"
$workspacename="xxx"
$fhirname="xxx"
$resourceId = "/subscriptions/$subscription/resourceGroups/$resourceGroupName/providers/Microsoft.HealthcareApis/workspaces/$workspacename/fhirservices/$fhirname"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $storageaccountName -TenantId $tenantId -ResourceId $resourceId

Po spuštění tohoto příkazu se v části Brána firewall pod instancemi prostředků zobrazí v rozevíracím seznamu Název instance 2. Toto jsou názvy instance pracovního prostoru a instance služby FHIR, které jste zaregistrovali jako důvěryhodné prostředky Microsoftu.

Screenshot of Azure Storage Networking Settings with resource type and instance names.

Teď jste připraveni bezpečně exportovat data FHIR do účtu úložiště.

Účet úložiště je ve vybraných sítích a není veřejně přístupný. Pokud chcete k souborům bezpečně přistupovat, můžete pro účet úložiště povolit privátní koncové body .

Povolit konkrétním IP adresům přístup k účtu úložiště Azure z jiných oblastí Azure

  1. Na webu Azure Portal přejděte do účtu Azure Data Lake Storage Gen2.

  2. V nabídce vlevo vyberte Sítě.

  3. Vyberte Povoleno z vybraných virtuálních sítí a IP adres.

  4. V části Brána firewall v poli Rozsah adres zadejte IP adresu. Přidejte rozsahy IP adres pro povolení přístupu z internetu nebo z místních sítí. IP adresu najdete v následující tabulce pro oblast Azure, ve které je služba FHIR zřízená.

    Oblast Azure Veřejná IP adresa
    Austrálie – východ 20.53.44.80
    Střední Kanada 20.48.192.84
    USA – střed 52.182.208.31
    USA – východ 20.62.128.148
    USA – východ 2 20.49.102.228
    USA – východ 2 (EUAP) 20.39.26.254
    Německo – sever 51.116.51.33
    Německo – středozápad 51.116.146.216
    Japonsko – východ 20.191.160.26
    Jižní Korea – střed 20.41.69.51
    Severní střed USA 20.49.114.188
    Severní Evropa 52.146.131.52
    Jižní Afrika – sever 102.133.220.197
    Středojižní USA 13.73.254.220
    Southeast Asia 23.98.108.42
    Švýcarsko – sever 51.107.60.95
    Velká Británie – jih 51.104.30.170
    Velká Británie – západ 51.137.164.94
    Středozápad USA 52.150.156.44
    Západní Evropa 20.61.98.66
    Západní USA 2 40.64.135.77

Povolit konkrétním IP adresě přístup k účtu úložiště Azure ve stejné oblasti

Proces konfigurace PRO IP adresy ve stejné oblasti je stejný jako předchozí postup s tím rozdílem, že místo toho použijete konkrétní rozsah IP adres ve formátu CIDR (Classless Inter-Domain Routing) (tj. 100.64.0.0/10). Musíte zadat rozsah IP adres (100.64.0.0 až 100.127.255.255), protože IP adresa pro službu FHIR je přidělena při každém provedení žádosti o operaci.

Poznámka:

Privátní IP adresu je možné použít v rozsahu 10.0.2.0/24, ale neexistuje žádná záruka, že operace bude v takovém případě úspěšná. Pokud požadavek operace selže, můžete to zkusit znovu, ale dokud nepoužijete IP adresu v rozsahu 100.64.0.0/10, požadavek nebude úspěšný.

Toto chování sítě pro rozsahy IP adres je záměrně. Alternativou je konfigurace účtu úložiště v jiné oblasti.

Další kroky

V tomto článku jste se seznámili se třemi kroky při konfiguraci prostředí, abyste umožnili export dat ze služby FHIR do účtu úložiště Azure. Další informace o možnostech hromadného exportu ve službě FHIR najdete v tématu

Export dat FHIR

FHIR® je registrovaná ochranná známka HL7 a používá se s povolením HL7.