Definición de la configuración de exportación y de la configuración de una cuenta de almacenamiento
El servicio FHIR admite la $export operación especificada por HL7 para exportar datos de FHIR desde un servidor FHIR. En la implementación del servicio FHIR, la llamada al $export punto de conexión hace que el servicio FHIR exporte datos a una cuenta de Almacenamiento de Azure preconfigurada.
Asegúrese de que se le concede el rol de aplicación "Rol de exportador de datos FHIR" antes de configurar la exportación. Para obtener más información sobre los roles de aplicación, consulte Autenticación y autorización para el servicio FHIR.
Tres pasos para configurar la $export operación para el servicio FHIR:
- Habilite una identidad administrada para el servicio FHIR.
- Configure una cuenta nueva o existente de Azure Data Lake Storage Gen2 (ADLS Gen2) y conceda permiso para que el servicio FHIR acceda a la cuenta.
- Establezca la cuenta de ADLS Gen2 como destino de exportación para el servicio FHIR.
Habilitación de la identidad administrada para el servicio FHIR
El primer paso para configurar el entorno para la exportación de datos de FHIR es habilitar una identidad administrada en todo el sistema para el servicio FHIR. Esta identidad administrada se usa para autenticar el servicio FHIR para permitir el acceso a la cuenta de ADLS Gen2 durante una $export operación. Para más información sobre las identidades administradas en Azure, consulte ¿Qué son las identidades administradas para recursos de Azure?
En este paso, vaya al servicio FHIR en Azure Portal y seleccione la hoja Identidad . Establezca la opción Estado en Activado y, a continuación, haga clic en Guardar. Cuando se muestren los botones Sí y No , seleccione Sí para habilitar la identidad administrada para el servicio FHIR. Una vez habilitada la identidad del sistema, verá un valor de id. de objeto (entidad de seguridad) para el servicio FHIR.
Conceder permiso en la cuenta de almacenamiento para el acceso al servicio FHIR
Vaya a la cuenta de ADLS Gen2 en Azure Portal. Si aún no tiene implementada una cuenta de ADSL Gen2, siga estas instrucciones para crear una cuenta de Almacenamiento de Azure y actualizar a ADLS Gen2. Asegúrese de habilitar la opción espacio de nombres jerárquico en la pestaña Avanzadas para crear una cuenta de ADLS Gen2.
En la cuenta de ADLS Gen2, seleccione Control de acceso (IAM) .
Seleccione Agregar > Agregar asignación de roles. Si la opción Agregar asignación de roles está atenuada, pida al administrador de Azure ayuda con este paso.
En la pestaña Rol , seleccione el rol Colaborador de datos de Storage Blob.
En la pestaña Miembros , seleccione Identidad administrada y, a continuación, haga clic en Seleccionar miembros.
Seleccione su suscripción a Azure.
Seleccione Identidad administrada asignada por el sistema y, a continuación, seleccione la identidad administrada que ha habilitado anteriormente para el servicio FHIR.
En la pestaña Revisar y asignar , haga clic en Revisar y asignar para asignar el rol Colaborador de datos de Storage Blob al servicio FHIR.
Para más información sobre la asignación de roles en Azure Portal, consulte Roles integrados de Azure.
Ahora está listo para configurar el servicio FHIR estableciendo la cuenta de ADLS Gen2 como la cuenta de almacenamiento predeterminada para la exportación.
Especificar la cuenta de almacenamiento para la exportación del servicio FHIR
El último paso es especificar la cuenta de ADLS Gen2 que usa el servicio FHIR al exportar datos.
Nota:
En la cuenta de almacenamiento, si no ha asignado el rol Colaborador de datos de Storage Blob al servicio FHIR, se producirá un error en la $export operación.
Vaya a la configuración del servicio FHIR.
Seleccione la hoja Exportar .
Seleccione el nombre de la cuenta de almacenamiento de la lista. Si necesita buscar la cuenta de almacenamiento, use los filtros Nombre, Grupo de recursos o Región .
Una vez completado este paso de configuración final, estará listo para exportar datos desde el servicio FHIR. Consulte Cómo exportar datos de FHIR para obtener más información sobre cómo realizar $export operaciones con el servicio FHIR.
Nota:
Solo se permiten registrar cuentas de almacenamiento en la misma suscripción que el servicio FHIR que el destino de $export las operaciones.
Protección de la operación del servicio $export FHIR
Para exportar de forma segura desde el servicio FHIR a una cuenta de ADLS Gen2, hay dos opciones principales:
Permitir que el servicio FHIR acceda a la cuenta de almacenamiento como servicio de confianza de Microsoft.
Permitir que direcciones IP específicas asociadas al servicio FHIR accedan a la cuenta de almacenamiento. Esta opción permite dos configuraciones diferentes en función de si la cuenta de almacenamiento está en la misma región de Azure que el servicio FHIR.
Permitir el servicio FHIR como servicio de confianza de Microsoft
Vaya a la cuenta de ADLS Gen2 en Azure Portal y seleccione la hoja Redes . Seleccione Habilitado en redes virtuales seleccionadas y direcciones IP en la pestaña Firewalls y redes virtuales.
Seleccione Microsoft.HealthcareApis/workspaces en la lista desplegable Tipo de recurso y, a continuación, seleccione el área de trabajo en la lista desplegable Nombre de instancia.
En la sección Excepciones , seleccione el cuadro Permitir que los servicios de Azure en la lista de servicios de confianza accedan a esta cuenta de almacenamiento. Asegúrese de hacer clic en Guardar para conservar la configuración.
A continuación, ejecute el siguiente comando de PowerShell para instalar el Az.Storage módulo de PowerShell en el entorno local. Esto le permite configurar las cuentas de Azure Storage mediante PowerShell.
Install-Module Az.Storage -Repository PsGallery -AllowClobber -Force
Ahora, use el comando de PowerShell siguiente para establecer la instancia de servicio FHIR seleccionada como un recurso de confianza para la cuenta de almacenamiento. Asegúrese de que todos los parámetros enumerados están definidos en el entorno de PowerShell.
Deberá ejecutar el Add-AzStorageAccountNetworkRule comando como administrador en el entorno local. Para más información, vea Configuración de Firewalls y redes virtuales de Azure Storage.
$subscription="xxx"
$tenantId = "xxx"
$resourceGroupName = "xxx"
$storageaccountName = "xxx"
$workspacename="xxx"
$fhirname="xxx"
$resourceId = "/subscriptions/$subscription/resourceGroups/$resourceGroupName/providers/Microsoft.HealthcareApis/workspaces/$workspacename/fhirservices/$fhirname"
Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $storageaccountName -TenantId $tenantId -ResourceId $resourceId
Después de ejecutar este comando, en la sección Firewall en Instancias de recursos verá 2 seleccionado en la lista desplegable Nombre de instancia. Estos son los nombres de la instancia del área de trabajo y la instancia de servicio FHIR que registró como recursos de confianza de Microsoft.
Ya está listo para exportar de forma segura los datos de FHIR a la cuenta de almacenamiento.
La cuenta de almacenamiento está en redes seleccionadas y no es accesible públicamente. Para acceder de forma segura a los archivos, puede habilitar puntos de conexión privados para la cuenta de almacenamiento.
Permitir que direcciones IP específicas accedan a la cuenta de Almacenamiento de Azure desde otras regiones de Azure
En Azure Portal, vaya a la cuenta de Azure Data Lake Storage Gen2.
En el menú de la izquierda, seleccione Redes.
Seleccione Habilitado desde redes virtuales y direcciones IP seleccionadas.
En la sección Firewall , en el cuadro Intervalo de direcciones, especifique la dirección IP. Agregue intervalos IP para permitir el acceso desde Internet o redes locales. Puede encontrar la dirección IP en la tabla siguiente para la región de Azure donde se aprovisiona el servicio FHIR.
Región de Azure Dirección IP pública Este de Australia 20.53.44.80 Centro de Canadá 20.48.192.84 Centro de EE. UU. 52.182.208.31 Este de EE. UU. 20.62.128.148 Este de EE. UU. 2 20.49.102.228 EUAP de Este de EE. UU. 2 20.39.26.254 Norte de Alemania 51.116.51.33 Centro-oeste de Alemania 51.116.146.216 Japón Oriental 20.191.160.26 Centro de Corea del Sur 20.41.69.51 Centro-Norte de EE. UU 20.49.114.188 Norte de Europa 52.146.131.52 Norte de Sudáfrica 102.133.220.197 Centro-sur de EE. UU. 13.73.254.220 Sudeste de Asia 23.98.108.42 Norte de Suiza 51.107.60.95 Sur de Reino Unido 2 51.104.30.170 Oeste de Reino Unido 51.137.164.94 Centro-Oeste de EE. UU. 52.150.156.44 Oeste de Europa 20.61.98.66 Oeste de EE. UU. 2 40.64.135.77
Permitir que direcciones IP específicas accedan a la cuenta de almacenamiento de Azure en la misma región
El proceso de configuración de las direcciones IP de la misma región es igual que el procedimiento anterior, salvo que se usa un intervalo de direcciones IP específico en formato de enrutamiento entre dominios sin clases (CIDR) en su lugar (es decir, 100.64.0.0/10). Debe especificar el intervalo de direcciones IP (100.64.0.0 a 100.127.255.255) porque se asigna una dirección IP para el servicio FHIR cada vez que realice una solicitud de operación.
Nota:
Es posible usar una dirección IP privada dentro del intervalo de 10.0.2.0/24, pero no hay ninguna garantía de que la operación se realice correctamente en tal caso. Puede reintentar si se produce un error en la solicitud de operación, pero hasta que use una dirección IP dentro del intervalo de 100.64.0.0/10, la solicitud no se realizará correctamente.
Este comportamiento de red para los intervalos de direcciones IP es por diseño. La alternativa es configurar la cuenta de almacenamiento en una región diferente.
Pasos siguientes
En este artículo, ha obtenido información sobre los tres pasos para configurar el entorno para permitir la exportación de datos desde el servicio FHIR a una cuenta de Azure Storage. Para obtener más información sobre las funcionalidades de exportación masiva en el servicio FHIR, consulte
FHIR® es una marca registrada de HL7 y se usa con su permiso.