Condividi tramite

Configurare le impostazioni di esportazione e configurare un account di archiviazione

  • Articolo

Il servizio FHIR supporta l'operazione specificata da HL7 per l'esportazione $exportdei dati FHIR da un server FHIR. Nell'implementazione del servizio FHIR, la chiamata all'endpoint $export fa sì che il servizio FHIR esesporti i dati in un account di archiviazione di Azure preconfigurato.

Assicurarsi di essere concessi con il ruolo applicazione "Ruolo di esportazione dei dati FHIR" prima di configurare l'esportazione. Per altre informazioni sui ruoli applicazione, vedere Autenticazione e autorizzazione per il servizio FHIR.

Tre passaggi per configurare l'operazione $export per il servizio FHIR:

  • Abilitare un'identità gestita per il servizio FHIR.
  • Configurare un account Azure Data Lake Storage Gen2 (ADLS Gen2) nuovo o esistente e concedere al servizio FHIR l'autorizzazione per accedere all'account.
  • Impostare l'account ADLS Gen2 come destinazione di esportazione per il servizio FHIR.

Abilitare l'identità gestita per il servizio FHIR

Il primo passaggio per configurare l'ambiente per l'esportazione dei dati FHIR consiste nell'abilitare un'identità gestita a livello di sistema per il servizio FHIR. Questa identità gestita viene usata per autenticare il servizio FHIR per consentire l'accesso all'account ADLS Gen2 durante un'operazione $export . Per altre informazioni sulle identità gestite in Azure, vedere Informazioni sulle identità gestite per le risorse di Azure.

In questo passaggio passare al servizio FHIR nel portale di Azure e selezionare il pannello Identità. Impostare l'opzione Stato su Sì e quindi fare clic su Salva. Quando vengono visualizzati i pulsanti Sì e No, selezionare Sì per abilitare l'identità gestita per il servizio FHIR. Dopo aver abilitato l'identità di sistema, verrà visualizzato un valore ID Oggetto (entità) per il servizio FHIR.

Abilitare l'identità gestita

Concedere l'autorizzazione nell'account di archiviazione per l'accesso al servizio FHIR

  1. Passare all'account ADLS Gen2 nel portale di Azure. Se non è già stato distribuito un account DI AZURE GEN2, seguire queste istruzioni per la creazione di un account di archiviazione di Azure e l'aggiornamento ad ADLS Gen2. Assicurarsi di abilitare l'opzione spazio dei nomi gerarchico nella scheda Avanzate per creare un account ADLS Gen2.

  2. Nell'account ADLS Gen2 selezionare Controllo di accesso (IAM).

  3. Selezionare Aggiungi assegnazione > di ruolo. Se l'opzione Aggiungi assegnazione di ruolo è disattivata, chiedere all'amministratore di Azure di assistenza per questo passaggio.

    Screenshot che mostra la pagina Controllo di accesso (IAM) con il menu Aggiungi assegnazione di ruolo aperto.

  4. Nella scheda Ruolo selezionare il ruolo Collaboratore dati BLOB di archiviazione.

    Screenshot che mostra l'interfaccia utente della pagina Aggiungi assegnazione di ruolo.

  5. Nella scheda Membri selezionare Identità gestita e quindi fare clic su Seleziona membri.

  6. Seleziona la tua sottoscrizione di Azure.

  7. Selezionare Identità gestita assegnata dal sistema e quindi selezionare l'identità gestita abilitata in precedenza per il servizio FHIR.

  8. Nella scheda Rivedi e assegna fare clic su Rivedi e assegna per assegnare il ruolo Collaboratore ai dati dei BLOB di archiviazione al servizio FHIR.

Per altre informazioni sull'assegnazione dei ruoli nella portale di Azure, vedere Ruoli predefiniti di Azure.

A questo momento è possibile configurare il servizio FHIR impostando l'account ADLS Gen2 come account di archiviazione predefinito per l'esportazione.

Specificare l'account di archiviazione per l'esportazione del servizio FHIR

Il passaggio finale consiste nel specificare l'account ADLS Gen2 usato dal servizio FHIR per l'esportazione dei dati.

Nota

Nell'account di archiviazione, se non è stato assegnato il ruolo Collaboratore dati BLOB di archiviazione al servizio FHIR, l'operazione $export avrà esito negativo.

  1. Passare alle impostazioni del servizio FHIR.

  2. Selezionare il pannello Esporta .

  3. Selezionare il nome dell'account di archiviazione dall'elenco. Se è necessario cercare l'account di archiviazione, usare i filtri Nome, Gruppo di risorse o Area .

Screenshot che mostra l'interfaccia utente di FHIR Export Storage.

Dopo aver completato questo passaggio di configurazione finale, si è pronti per esportare i dati dal servizio FHIR. Per informazioni dettagliate sull'esecuzione $export di operazioni con il servizio FHIR, vedere Come esportare i dati FHIR.

Nota

Solo gli account di archiviazione nella stessa sottoscrizione del servizio FHIR possono essere registrati come destinazione per $export le operazioni.

Protezione dell'operazione del servizio $export FHIR

Per l'esportazione sicura dal servizio FHIR a un account ADLS Gen2, sono disponibili due opzioni principali:

  • Consentire al servizio FHIR di accedere all'account di archiviazione come servizio attendibile Microsoft.

  • Consentire a specifici indirizzi IP associati al servizio FHIR di accedere all'account di archiviazione. Questa opzione consente due configurazioni diverse a seconda che l'account di archiviazione si trova nella stessa area di Azure del servizio FHIR.

Consentire il servizio FHIR come servizio Attendibile Microsoft

Passare all'account ADLS Gen2 nel portale di Azure e selezionare il pannello Rete. Selezionare Abilitato nelle reti virtuali selezionate e negli indirizzi IP nella scheda Firewall e reti virtuali.

Screenshot di Archiviazione di Azure Impostazioni di rete.

Selezionare Microsoft.HealthcareApis/workspaces dall'elenco a discesa Tipo di risorsa e quindi selezionare l'area di lavoro dall'elenco a discesa Nome istanza.

Nella sezione Eccezioni selezionare la casella Consenti ai servizi di Azure nell'elenco servizi attendibili di accedere a questo account di archiviazione. Assicurarsi di fare clic su Salva per conservare le impostazioni.

Consentire agli servizi Microsoft attendibili di accedere a questo account di archiviazione.

Eseguire quindi il comando di PowerShell seguente per installare il Az.Storage modulo PowerShell nell'ambiente locale. In questo modo è possibile configurare gli account di archiviazione di Azure usando PowerShell.

Install-Module Az.Storage -Repository PsGallery -AllowClobber -Force

Usare ora il comando di PowerShell seguente per impostare l'istanza del servizio FHIR selezionata come risorsa attendibile per l'account di archiviazione. Assicurarsi che tutti i parametri elencati siano definiti nell'ambiente PowerShell.

È necessario eseguire il Add-AzStorageAccountNetworkRule comando come amministratore nell'ambiente locale. Per altre informazioni, vedere Configurare i firewall e le reti virtuali di Archiviazione di Azure.

$subscription="xxx"
$tenantId = "xxx"
$resourceGroupName = "xxx"
$storageaccountName = "xxx"
$workspacename="xxx"
$fhirname="xxx"
$resourceId = "/subscriptions/$subscription/resourceGroups/$resourceGroupName/providers/Microsoft.HealthcareApis/workspaces/$workspacename/fhirservices/$fhirname"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $storageaccountName -TenantId $tenantId -ResourceId $resourceId

Dopo aver eseguito questo comando, nella sezione Firewall in Istanze di risorse verrà visualizzato 2 selezionato nell'elenco a discesa Nome istanza. Questi sono i nomi dell'istanza dell'area di lavoro e dell'istanza del servizio FHIR registrati come Risorse attendibili Microsoft.

Screenshot di Archiviazione di Azure Impostazioni di rete con il tipo di risorsa e i nomi delle istanze.

È ora possibile esportare in modo sicuro i dati FHIR nell'account di archiviazione.

L'account di archiviazione si trova nelle reti selezionate e non è accessibile pubblicamente. Per accedere in modo sicuro ai file, è possibile abilitare gli endpoint privati per l'account di archiviazione.

Consentire a indirizzi IP specifici di accedere all'account di archiviazione di Azure da altre aree di Azure

  1. Nella portale di Azure passare all'account Azure Data Lake Storage Gen2.

  2. Nel menu a sinistra selezionare Rete.

  3. Selezionare Abilitato da reti virtuali e indirizzi IP selezionati.

  4. Nella sezione Firewall specificare l'indirizzo IP nella casella Intervallo di indirizzi. Aggiungere gli intervalli IP per consentire l'accesso da Internet o dalle reti locali. È possibile trovare l'indirizzo IP nella tabella seguente per l'area di Azure in cui viene effettuato il provisioning del servizio FHIR.

    Area di Azure Indirizzo IP pubblico
    Australia orientale 20.53.44.80
    Canada centrale 20.48.192.84
    Stati Uniti centrali 52.182.208.31
    Stati Uniti orientali 20.62.128.148
    Stati Uniti orientali 2 20.49.102.228
    Stati Uniti orientali 2 (EUAP) 20.39.26.254
    Germania settentrionale 51.116.51.33
    Germania centro-occidentale 51.116.146.216
    Giappone orientale 20.191.160.26
    Corea centrale 20.41.69.51
    Stati Uniti centro-settentrionali 20.49.114.188
    Europa settentrionale 52.146.131.52
    Sudafrica settentrionale 102.133.220.197
    Stati Uniti centro-meridionali 13.73.254.220
    Asia sud-orientale 23.98.108.42
    Svizzera settentrionale 51.107.60.95
    Regno Unito meridionale 51.104.30.170
    Regno Unito occidentale 51.137.164.94
    Stati Uniti centro-occidentali 52.150.156.44
    Europa occidentale 20.61.98.66
    West US 2 40.64.135.77

Consentire a indirizzi IP specifici di accedere all'account di archiviazione di Azure nella stessa area

Il processo di configurazione per gli indirizzi IP nella stessa area è simile alla procedura precedente, ad eccezione del fatto che si usa un intervallo di indirizzi IP specifico nel formato CIDR (Classless Inter-Domain Routing), ovvero 100.64.0.0/10. È necessario specificare l'intervallo di indirizzi IP (da 100.64.0.0 a 100.127.255.255) perché un indirizzo IP per il servizio FHIR viene allocato ogni volta che si effettua una richiesta di operazione.

Nota

È possibile usare un indirizzo IP privato compreso nell'intervallo di 10.0.2.0/24, ma non esiste alcuna garanzia che l'operazione abbia esito positivo in questo caso. È possibile riprovare se la richiesta di operazione ha esito negativo, ma fino a quando non si usa un indirizzo IP compreso nell'intervallo di 100.64.0.0/10, la richiesta non avrà esito positivo.

Questo comportamento di rete per gli intervalli di indirizzi IP è progettato. L'alternativa consiste nel configurare l'account di archiviazione in un'area diversa.

Passaggi successivi

In questo articolo sono stati illustrati i tre passaggi della configurazione dell'ambiente per consentire l'esportazione dei dati dal servizio FHIR a un account di archiviazione di Azure. Per altre informazioni sulle funzionalità di esportazione bulk nel servizio FHIR, vedere

Come esportare i dati FHIR

FHIR® è un marchio registrato di HL7 e viene usato con l'autorizzazione di HL7.