Partager via

Configurer les paramètres d’exportation et configurer un compte de stockage

  • Article

Le service FHIR prend en charge l’opération $exportspécifiée par HL7 pour l’exportation de données FHIR à partir d’un serveur FHIR. Dans l’implémentation du service FHIR, l’appel du $export point de terminaison entraîne l’exportation des données par le service FHIR dans un compte de stockage Azure préconfiguré.

Vérifiez que vous disposez du rôle d’application : « Rôle d’exportateur de données FHIR » avant de configurer l’exportation. Pour en savoir plus sur les rôles d’application, consultez Authentification et autorisation pour le service FHIR.

Trois étapes de configuration de l’opération $export pour le service FHIR :

  • Activez une identité managée pour le service FHIR.
  • Configurez un compte Azure Data Lake Storage Gen2 (ADLS Gen2) nouveau ou existant et accordez l’autorisation au service FHIR d’accéder au compte.
  • Définissez le compte ADLS Gen2 comme destination d’exportation pour le service FHIR.

Activer l’identité managée pour le service FHIR

La première étape de la configuration de votre environnement pour l’exportation de données FHIR consiste à activer une identité managée à l’échelle du système pour le service FHIR. Cette identité managée est utilisée pour authentifier le service FHIR pour autoriser l’accès au compte ADLS Gen2 pendant une $export opération. Pour plus d’informations sur les identités managées dans Azure, consultez À propos des identités managées pour les ressources Azure.

Dans cette étape, accédez à votre service FHIR dans le Portail Azure et sélectionnez le panneau Identité. Définissez l’option État sur Activé, puis cliquez sur Enregistrer. Lorsque les boutons Oui et Non s’affichent, sélectionnez Oui pour activer l’identité managée pour le service FHIR. Une fois l’identité système activée, vous verrez une valeur d’ID d’objet (principal) pour votre service FHIR.

Activer une identité managée

Accorder l’autorisation dans le compte de stockage pour l’accès au service FHIR

  1. Accédez à votre compte ADLS Gen2 dans le Portail Azure. Si vous n’avez pas encore déployé de compte ADSL Gen2, suivez ces instructions pour créer un compte de stockage Azure et effectuer une mise à niveau vers ADLS Gen2. Veillez à activer l’option d’espace de noms hiérarchique sous l’onglet Avancé pour créer un compte ADLS Gen2.

  2. Dans votre compte ADLS Gen2, sélectionnez Contrôle d’accès (IAM) .

  3. Sélectionner Ajouter> Ajouter une attribution de rôle. Si l’option Ajouter une attribution de rôle est grisée, demandez à votre administrateur Azure d’obtenir de l’aide pour cette étape.

    Capture d’écran présentant la page Contrôle d’accès (IAM) sur laquelle le menu Ajouter une attribution de rôle est ouvert.

  4. Sous l’onglet Rôle , sélectionnez le rôle Contributeur aux données Blob de stockage.

    Capture d’écran montrant l’interface utilisateur de la page Ajouter une attribution de rôle.

  5. Sous l’onglet Membres , sélectionnez Identité managée, puis cliquez sur Sélectionner des membres.

  6. Sélectionnez votre abonnement Azure.

  7. Sélectionnez l’identité managée affectée par le système, puis sélectionnez l’identité managée que vous avez activée précédemment pour votre service FHIR.

  8. Sous l’onglet Révision + affectation , cliquez sur Vérifier + affecter le rôle Contributeur aux données blob de stockage à votre service FHIR.

Pour plus d’informations sur l’attribution de rôles dans le Portail Azure, consultez rôles intégrés Azure.

Vous êtes maintenant prêt à configurer le service FHIR en définissant le compte ADLS Gen2 comme compte de stockage par défaut pour l’exportation.

Spécifier le compte de stockage pour l’exportation du service FHIR

La dernière étape consiste à spécifier le compte ADLS Gen2 que le service FHIR utilise lors de l’exportation de données.

Remarque

Dans le compte de stockage, si vous n’avez pas affecté le rôle Contributeur aux données blob du stockage au service FHIR, l’opération $export échoue.

  1. Accédez à vos paramètres de service FHIR.

  2. Sélectionnez le panneau Exporter .

  3. Sélectionnez le nom du compte de stockage dans la liste. Si vous devez rechercher votre compte de stockage, utilisez les filtres Nom, Groupe de ressources ou Région .

Capture d’écran montrant l’interface utilisateur du stockage d’exportation FHIR.

Une fois que vous avez terminé cette dernière étape de configuration, vous êtes prêt à exporter des données à partir du service FHIR. Découvrez comment exporter des données FHIR pour plus d’informations sur l’exécution d’opérations $export avec le service FHIR.

Remarque

Seuls les comptes de stockage dans le même abonnement que le service FHIR sont autorisés à être inscrits comme destination pour $export les opérations.

Sécurisation de l’opération de service $export FHIR

Pour exporter en toute sécurité du service FHIR vers un compte ADLS Gen2, il existe deux options principales :

  • Autoriser le service FHIR à accéder au compte de stockage en tant que service approuvé Microsoft.

  • Autoriser des adresses IP spécifiques associées au service FHIR à accéder au compte de stockage. Cette option autorise deux configurations différentes selon que le compte de stockage se trouve dans la même région Azure que le service FHIR.

Autorisation du service FHIR en tant que service approuvé Microsoft

Accédez à votre compte ADLS Gen2 dans le Portail Azure et sélectionnez le panneau Mise en réseau. Sélectionnez Activé dans les réseaux virtuels et adresses IP sélectionnés sous l’onglet Pare-feu et réseaux virtuels.

Capture d’écran de Stockage Azure paramètres de mise en réseau.

Sélectionnez Microsoft.HealthcareApis/workspaces dans la liste déroulante Type de ressource, puis sélectionnez votre espace de travail dans la liste déroulante Nom de l’instance.

Dans la section Exceptions , sélectionnez la zone Autoriser les services Azure dans la liste des services approuvés pour accéder à ce compte de stockage. Veillez à cliquer sur Enregistrer pour conserver les paramètres.

Autoriser les services Microsoft approuvées à accéder à ce compte de stockage.

Exécutez ensuite la commande PowerShell suivante pour installer le Az.Storage module PowerShell dans votre environnement local. Cela vous permet de configurer votre ou vos comptes de stockage Azure à l’aide de PowerShell.

Install-Module Az.Storage -Repository PsGallery -AllowClobber -Force

Utilisez maintenant la commande PowerShell ci-dessous pour définir l’instance de service FHIR sélectionnée en tant que ressource approuvée pour le compte de stockage. Vérifiez que tous les paramètres répertoriés sont définis dans votre environnement PowerShell.

Vous devez exécuter la Add-AzStorageAccountNetworkRule commande en tant qu’administrateur dans votre environnement local. Pour plus d’informations, consultez Configurer Pare-feu et réseaux virtuels dans Stockage Azure.

$subscription="xxx"
$tenantId = "xxx"
$resourceGroupName = "xxx"
$storageaccountName = "xxx"
$workspacename="xxx"
$fhirname="xxx"
$resourceId = "/subscriptions/$subscription/resourceGroups/$resourceGroupName/providers/Microsoft.HealthcareApis/workspaces/$workspacename/fhirservices/$fhirname"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $storageaccountName -TenantId $tenantId -ResourceId $resourceId

Après avoir exécuté cette commande, dans la section Pare-feu sous Instances de ressources, vous verrez 2 sélectionnés dans la liste déroulante Nom de l’instance. Il s’agit des noms de l’instance d’espace de travail et de l’instance de service FHIR que vous avez inscrites en tant que ressources approuvées Microsoft.

Capture d’écran de Stockage Azure Paramètres réseau avec le type de ressource et les noms d’instance.

Vous êtes maintenant prêt à exporter en toute sécurité les données FHIR vers le compte de stockage.

Le compte de stockage se trouve sur les réseaux sélectionnés et n’est pas accessible publiquement. Pour accéder en toute sécurité aux fichiers, vous pouvez activer des points de terminaison privés pour le compte de stockage.

Autoriser des adresses IP spécifiques à accéder au compte de stockage Azure à partir d’autres régions Azure

  1. Dans le Portail Azure, accédez au compte Azure Data Lake Storage Gen2.

  2. Dans le menu de gauche, sélectionnez Mise en réseau.

  3. Sélectionnez Activé à partir de réseaux virtuels et d’adresses IP sélectionnés.

  4. Dans la section Pare-feu , dans la zone Plage d’adresses , spécifiez l’adresse IP. Ajoutez des plages d'adresses IP pour autoriser l'accès à partir d'Internet ou de vos réseaux locaux. Vous trouverez l’adresse IP dans le tableau suivant pour la région Azure où le service FHIR est approvisionné.

    Région Azure Adresse IP publique
    Australie Est 20.53.44.80
    Centre du Canada 20.48.192.84
    USA Centre 52.182.208.31
    USA Est 20.62.128.148
    USA Est 2 20.49.102.228
    USA Est 2 (EUAP) 20.39.26.254
    Allemagne Nord 51.116.51.33
    Allemagne Centre-Ouest 51.116.146.216
    Japon Est 20.191.160.26
    Centre de la Corée 20.41.69.51
    Centre-Nord des États-Unis 20.49.114.188
    Europe Nord 52.146.131.52
    Afrique du Sud Nord 102.133.220.197
    États-Unis - partie centrale méridionale 13.73.254.220
    Asie Sud-Est 23.98.108.42
    Suisse Nord 51.107.60.95
    Sud du Royaume-Uni 51.104.30.170
    Ouest du Royaume-Uni 51.137.164.94
    Centre-USA Ouest 52.150.156.44
    Europe Ouest 20.61.98.66
    USA Ouest 2 40.64.135.77

Autoriser des adresses IP spécifiques à accéder au compte de stockage Azure dans la même région

Le processus de configuration des adresses IP dans la même région est tout comme la procédure précédente, sauf que vous utilisez une plage d’adresses IP spécifique au format CIDR (Classless Inter-Domain Routing) à la place (autrement dit, 100.64.0.0/10). Vous devez spécifier la plage d’adresses IP (100.64.0.0 à 100.127.255.255), car une adresse IP pour le service FHIR est allouée chaque fois que vous effectuez une demande d’opération.

Remarque

Il est possible d’utiliser une adresse IP privée dans la plage de 10.0.2.0/24, mais il n’existe aucune garantie que l’opération réussit dans ce cas. Vous pouvez réessayer si la demande d’opération échoue, mais jusqu’à ce que vous utilisiez une adresse IP dans la plage de 100.64.0.0/10, la requête ne réussit pas.

Ce comportement réseau pour les plages d’adresses IP est par conception. Une autre solution consiste à configurer le compte de stockage dans une autre région.

Étapes suivantes

Dans cet article, vous avez découvert les trois étapes de configuration de votre environnement pour autoriser l’exportation de données de votre service FHIR vers un compte de stockage Azure. Pour plus d’informations sur les fonctionnalités d’exportation en bloc dans le service FHIR, consultez

Comment exporter des données FHIR

FHIR® est une marque déposée de HL7 utilisé avec l’autorisation de HL7.