내보내기 설정 구성 및 스토리지 계정 설정

  • 아티클

FHIR 서비스는 FHIR 서버에서 FHIR 데이터를 내보내기 위해 HL7에서 지정한 작업을 지원 $export 합니다. FHIR 서비스 구현에서 엔드포인트를 $export 호출하면 FHIR 서비스가 미리 구성된 Azure Storage 계정으로 데이터를 내보냅니다.

내보내기를 구성하기 전에 애플리케이션 역할인 'FHIR 데이터 내보내기 역할'이 부여되었는지 확인합니다. 애플리케이션 역할에 대한 자세한 내용은 FHIR 서비스에 대한 인증 및 권한 부여를 참조하세요.

FHIR 서비스에 대한 작업을 설정하는 $export 세 단계-

  • FHIR 서비스에 대한 관리 ID를 사용하도록 설정합니다.
  • 새 또는 기존 Azure Data Lake Storage Gen2(ADLS Gen2) 계정을 구성하고 FHIR 서비스에서 계정에 액세스할 수 있는 권한을 부여합니다.
  • ADLS Gen2 계정을 FHIR 서비스의 내보내기 대상으로 설정합니다.

FHIR 서비스에 대한 관리 ID 사용

FHIR 데이터 내보내기를 위한 환경을 구성하는 첫 번째 단계는 FHIR 서비스에 대해 시스템 차원의 관리 ID를 사용하도록 설정하는 것입니다. 이 관리 ID는 작업 중에 $export ADLS Gen2 계정에 대한 액세스를 허용하도록 FHIR 서비스를 인증하는 데 사용됩니다. Azure에서 관리 ID에 대한 자세한 내용은 Azure 리소스의 관리 ID 정보를 참조하세요.

이 단계에서는 Azure Portal에서 FHIR 서비스로 이동하고 ID 블레이드를 선택합니다. 상태 옵션을 켜기로 설정한 다음 저장을 클릭합니다. 아니요 단추가 표시되면 예를 선택하여 FHIR 서비스에 대한 관리 ID를 사용하도록 설정합니다. 시스템 ID를 사용하도록 설정하면 FHIR 서비스에 대한 개체(보안 주체) ID 값이 표시됩니다.

Enable Managed Identity

스토리지 계정에서 FHIR 서비스 액세스 권한 부여

  1. Azure Portal에서 ADLS Gen2 계정으로 이동합니다. ADSL Gen2 계정이 아직 배포되지 않은 경우 Azure Storage 계정을 만들고 ADLS Gen2로 업그레이드하기 위한 다음 지침을 따르세요. 고급 탭에서 계층 구조 네임스페이스 옵션을 사용하도록 설정하여 ADLS Gen2 계정을 만들어야 합니다.

  2. ADLS Gen2 계정에서 액세스 제어(IAM)를 선택합니다.

  3. 추가 > 역할 할당 추가를 선택합니다. 역할 할당 추가 옵션이 회색으로 표시되면 Azure 관리자에게 이 단계에 대한 도움을 요청합니다.

    Screenshot that shows Access control (IAM) page with Add role assignment menu open.

  4. 역할 탭에서 Storage Blob 데이터 기여자 역할을 선택합니다.

    Screen shot showing user interface of Add role assignment page.

  5. 구성원 탭에서 관리 ID를 선택한 다음 구성원 선택을 클릭합니다.

  6. Azure 구독을 선택합니다.

  7. 시스템 할당 관리 ID를 선택한 다음, 이전에 FHIR 서비스에 사용하도록 설정한 관리 ID를 선택합니다.

  8. 검토 + 할당 탭에서 검토 + 할당을 클릭하여 Storage Blob 데이터 기여자 역할을 FHIR 서비스에 할당 합니다.

Azure Portal에서 역할을 할당하는 방법에 대한 자세한 내용은 Azure 기본 제공 역할을 참조하세요.

이제 ADLS Gen2 계정을 내보내기 위한 기본 스토리지 계정으로 설정하여 FHIR 서비스를 구성할 준비가 되었습니다.

FHIR 서비스 내보내기를 위한 스토리지 계정 지정

마지막 단계는 데이터를 내보낼 때 FHIR 서비스에서 사용하는 ADLS Gen2 계정을 지정하는 것입니다.

참고 항목

스토리지 계정에서 스토리지 Blob 데이터 기여자 역할을 FHIR 서비스에 $export 할당하지 않은 경우 작업이 실패합니다.

  1. FHIR 서비스 설정으로 이동합니다.

  2. 내보내기 블레이드를 선택합니다.

  3. 목록에서 스토리지 계정의 이름을 선택합니다. 스토리지 계정을 검색해야 하는 경우 이름, 리소스 그룹 또는 지역 필터를 사용합니다.

Screen shot showing user interface of FHIR Export Storage.

이 최종 구성 단계를 완료하면 FHIR 서비스에서 데이터를 내보낼 준비가 된 것입니다. FHIR 서비스를 사용하여 작업을 수행하는 $export 방법에 대한 자세한 내용은 FHIR 데이터를 내보내는 방법을 참조하세요.

참고 항목

FHIR 서비스와 동일한 구독의 스토리지 계정만 작업의 대상으로 $export 등록할 수 있습니다.

FHIR 서비스 $export 작업 보안

FHIR 서비스에서 ADLS Gen2 계정으로 안전하게 내보내는 경우 두 가지 기본 옵션이 있습니다.

  • FHIR 서비스가 Microsoft 신뢰할 수 있는 서비스로 스토리지 계정에 액세스할 수 있도록 허용합니다.

  • FHIR 서비스와 연결된 특정 IP 주소가 스토리지 계정에 액세스할 수 있도록 허용합니다. 이 옵션은 스토리지 계정이 FHIR 서비스와 동일한 Azure 지역에 있는지 여부에 따라 두 가지 구성을 허용합니다.

Microsoft 신뢰할 수 있는 서비스로 FHIR 서비스 허용

Azure Portal에서 ADLS Gen2 계정으로 이동하여 네트워킹 블레이드를 선택합니다. 방화벽 및 가상 네트워크 탭에서 선택한 가상 네트워크 및 IP 주소에서 사용을 선택합니다.

Screenshot of Azure Storage Networking Settings.

리소스 종류 드롭다운 목록에서 Microsoft.HealthcareApis/workspaces를 선택한 다음, 인스턴스 이름 드롭다운 목록에서 작업 영역을 선택합니다.

예외에서 신뢰할 수 있는 서비스 목록의 Azure 서비스가 이 스토리지 계정에 액세스하도록 허용 확인란을 선택합니다. 설정을 유지하려면 저장을 클릭해야 합니다.

Allow trusted Microsoft services to access this storage account.

그런 후 다음 PowerShell 명령을 실행하여 로컬 환경에 Az.Storage PowerShell 모듈을 설치합니다. 이를 통해 PowerShell을 사용하여 Azure Storage 계정을 구성할 수 있습니다.

Install-Module Az.Storage -Repository PsGallery -AllowClobber -Force

이제 아래 PowerShell 명령을 사용하여 선택한 FHIR 서비스 인스턴스를 스토리지 계정에 대한 신뢰할 수 있는 리소스로 설정합니다. 나열된 모든 매개 변수가 PowerShell 환경에 정의되어 있는지 확인합니다.

로컬 환경에서 관리자 권한으로 명령을 실행 Add-AzStorageAccountNetworkRule 해야 합니다. 자세한 내용은 Azure Storage 방화벽 및 가상 네트워크 구성을 참조하세요.

$subscription="xxx"
$tenantId = "xxx"
$resourceGroupName = "xxx"
$storageaccountName = "xxx"
$workspacename="xxx"
$fhirname="xxx"
$resourceId = "/subscriptions/$subscription/resourceGroups/$resourceGroupName/providers/Microsoft.HealthcareApis/workspaces/$workspacename/fhirservices/$fhirname"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $storageaccountName -TenantId $tenantId -ResourceId $resourceId

이 명령을 실행한 후 리소스 인스턴스 아래의 방화벽 섹션에서 인스턴스 이름 드롭다운 목록에서 2가 선택된 것을 볼 수 있습니다. 다음은 Microsoft 신뢰할 수 있는 리소스로 등록한 작업 영역 인스턴스 및 FHIR 서비스 인스턴스의 이름입니다.

Screenshot of Azure Storage Networking Settings with resource type and instance names.

이제 FHIR 데이터를 스토리지 계정으로 안전하게 내보낼 준비가 되었습니다.

스토리지 계정은 선택한 네트워크에 있으며 공개적으로 액세스할 수 없습니다. 파일에 안전하게 액세스하려면 스토리지 계정에 대해 프라이빗 엔드포인트를 사용하도록 설정할 수 있습니다.

특정 IP 주소가 다른 Azure 지역에서 Azure Storage 계정에 액세스하도록 허용

  1. Azure Portal에서 Azure Data Lake Storage Gen2 계정으로 이동합니다.

  2. 왼쪽 메뉴에서 네트워킹을 선택합니다.

  3. 선택한 가상 네트워크 및 IP 주소에서 사용을 선택합니다.

  4. 방화벽 섹션의 주소 범위 상자에서 IP 주소를 지정합니다. 인터넷 또는 온-프레미스 네트워크에서의 액세스를 허용하기 위한 IP 범위를 추가합니다. FHIR 서비스가 프로비전되는 Azure 지역의 다음 표에서 IP 주소를 찾을 수 있습니다.

    Azure 지역 공용 IP 주소
    오스트레일리아 동부 20.53.44.80
    캐나다 중부 20.48.192.84
    미국 중부 52.182.208.31
    미국 동부 20.62.128.148
    미국 동부 2 20.49.102.228
    미국 동부 2 EUAP 20.39.26.254
    독일 북부 51.116.51.33
    독일 중서부 51.116.146.216
    일본 동부 20.191.160.26
    한국 중부 20.41.69.51
    미국 중북부 20.49.114.188
    북유럽 52.146.131.52
    남아프리카 공화국 북부 102.133.220.197
    미국 중남부 13.73.254.220
    동남 아시아 23.98.108.42
    스위스 북부 51.107.60.95
    영국 남부 51.104.30.170
    영국 서부 51.137.164.94
    미국 중서부 52.150.156.44
    서유럽 20.61.98.66
    미국 서부 2 40.64.135.77

특정 IP 주소가 동일한 지역의 Azure Storage 계정에 액세스하도록 허용

동일한 지역의 IP 주소에 대한 구성 프로세스는 클래스리스 INTER-Do기본 라우팅(CIDR) 형식의 특정 IP 주소 범위(즉, 100.64.0.0/10)를 사용한다는 점을 제외하고 이전 절차와 같습니다. 작업 요청을 할 때마다 FHIR 서비스의 IP 주소가 할당되므로 IP 주소 범위(100.64.0.0~100.127.255.255)를 지정해야 합니다.

참고 항목

10.0.2.0/24 범위 내에서 개인 IP 주소를 사용할 수 있지만 이러한 경우 작업이 성공할 것이라는 보장은 없습니다. 작업 요청이 실패하는 경우 다시 시도할 수 있지만 100.64.0.0/10 범위 내에서 IP 주소를 사용할 때까지는 요청이 성공하지 않습니다.

IP 주소 범위에 대한 이 네트워크 동작은 기본적으로 설계되었습니다. 또는 다른 지역에서 스토리지 계정을 구성할 수도 있습니다.

다음 단계

이 문서에서는 FHIR 서비스에서 Azure Storage 계정으로 데이터를 내보낼 수 있도록 환경을 구성하는 세 가지 단계에 대해 알아보았습니다. FHIR 서비스의 대량 내보내기 기능에 대한 자세한 내용은

FHIR 데이터를 내보내는 방법

FHIR®은 HL7의 등록 상표이며, HL7의 사용 허가 하에 사용됩니다.