Konfigurowanie ustawień eksportu i konfigurowanie konta magazynu

  • Artykuł

Usługa FHIR obsługuje operację $exportokreśloną przez HL7 na potrzeby eksportowania danych FHIR z serwera FHIR. W implementacji usługi FHIR wywoływanie $export punktu końcowego powoduje, że usługa FHIR eksportuje dane do wstępnie skonfigurowanego konta usługi Azure Storage.

Upewnij się, że masz przypisaną rolę aplikacji — "Rola podmiotu przekazującego dane FHIR" przed skonfigurowaniem eksportu. Aby dowiedzieć się więcej na temat ról aplikacji, zobacz Uwierzytelnianie i autoryzacja dla usługi FHIR.

Trzy kroki konfigurowania $export operacji dla usługi FHIR—

  • Włącz tożsamość zarządzaną dla usługi FHIR.
  • Skonfiguruj nowe lub istniejące konto usługi Azure Data Lake Storage Gen2 (ADLS Gen2) i przyznaj usłudze FHIR uprawnienia dostępu do konta.
  • Ustaw konto usługi ADLS Gen2 jako miejsce docelowe eksportu dla usługi FHIR.

Włączanie tożsamości zarządzanej dla usługi FHIR

Pierwszym krokiem konfigurowania środowiska eksportu danych FHIR jest włączenie tożsamości zarządzanej dla całej systemu dla usługi FHIR. Ta tożsamość zarządzana służy do uwierzytelniania usługi FHIR w celu umożliwienia dostępu do konta usługi ADLS Gen2 podczas $export operacji. Aby uzyskać więcej informacji na temat tożsamości zarządzanych na platformie Azure, zobacz About managed identities for Azure resources (Informacje o tożsamościach zarządzanych dla zasobów platformy Azure).

W tym kroku przejdź do usługi FHIR w witrynie Azure Portal i wybierz blok Tożsamość . Ustaw opcję Stan na Wł., a następnie kliknij przycisk Zapisz. Po wyświetleniu przycisków Tak i Nie wybierz pozycję Tak , aby włączyć tożsamość zarządzaną dla usługi FHIR. Po włączeniu tożsamości systemowej zobaczysz wartość identyfikatora obiektu (jednostki) dla usługi FHIR.

Enable Managed Identity

Przyznawanie uprawnień na koncie magazynu na potrzeby dostępu do usługi FHIR

  1. Przejdź do konta usługi ADLS Gen2 w witrynie Azure Portal. Jeśli nie masz jeszcze wdrożonego konta usługi ADSL Gen2, postępuj zgodnie z tymi instrukcjami dotyczącymi tworzenia konta usługi Azure Storage i uaktualniania do usługi ADLS Gen2. Pamiętaj, aby włączyć opcję hierarchicznej przestrzeni nazw na karcie Zaawansowane , aby utworzyć konto usługi ADLS Gen2.

  2. Na koncie usługi ADLS Gen2 wybierz pozycję Kontrola dostępu (IAM).

  3. Wybierz pozycję Dodaj > przypisanie roli. Jeśli opcja Dodaj przypisanie roli jest wyszarana, poproś administratora platformy Azure o pomoc w tym kroku.

    Screenshot that shows Access control (IAM) page with Add role assignment menu open.

  4. Na karcie Rola wybierz rolę Współautor danych obiektu blob usługi Storage.

    Screen shot showing user interface of Add role assignment page.

  5. Na karcie Członkowie wybierz pozycję Tożsamość zarządzana, a następnie kliknij pozycję Wybierz członków.

  6. Wybierz subskrypcję platformy Azure.

  7. Wybierz pozycję Tożsamość zarządzana przypisana przez system, a następnie wybierz tożsamość zarządzaną włączoną wcześniej dla usługi FHIR.

  8. Na karcie Przeglądanie i przypisywanie kliknij pozycję Przejrzyj i przypisz, aby przypisać rolę Współautor danych obiektu blob usługi Storage do usługi FHIR.

Aby uzyskać więcej informacji na temat przypisywania ról w witrynie Azure Portal, zobacz Role wbudowane platformy Azure.

Teraz możesz przystąpić do konfigurowania usługi FHIR, ustawiając konto usługi ADLS Gen2 jako domyślne konto magazynu na potrzeby eksportu.

Określanie konta magazynu dla eksportu usługi FHIR

Ostatnim krokiem jest określenie konta usługi ADLS Gen2 używanego przez usługę FHIR podczas eksportowania danych.

Uwaga

Jeśli na koncie magazynu nie przypisano roli Współautor danych obiektu blob usługi Storage do usługi FHIR, $export operacja zakończy się niepowodzeniem.

  1. Przejdź do ustawień usługi FHIR.

  2. Wybierz blok Eksportuj.

  3. Wybierz nazwę konta magazynu z listy. Jeśli musisz wyszukać konto magazynu, użyj filtrów Nazwa, Grupa zasobów lub Region .

Screen shot showing user interface of FHIR Export Storage.

Po zakończeniu tego ostatniego kroku konfiguracji możesz wyeksportować dane z usługi FHIR. Aby uzyskać szczegółowe informacje na temat wykonywania $export operacji za pomocą usługi FHIR, zobacz Jak wyeksportować dane FHIR.

Uwaga

Tylko konta magazynu w tej samej subskrypcji co usługa FHIR mogą być zarejestrowane jako miejsce docelowe dla $export operacji.

Zabezpieczanie operacji usługi $export FHIR

W przypadku bezpiecznego eksportowania z usługi FHIR do konta usługi ADLS Gen2 dostępne są dwie główne opcje:

  • Zezwalanie usłudze FHIR na dostęp do konta magazynu jako zaufanej usługi firmy Microsoft.

  • Zezwalanie określonym adresom IP skojarzonym z usługą FHIR na dostęp do konta magazynu. Ta opcja zezwala na dwie różne konfiguracje w zależności od tego, czy konto magazynu znajduje się w tym samym regionie świadczenia usługi Azure, co usługa FHIR.

Zezwalanie na usługę FHIR jako zaufaną usługę firmy Microsoft

Przejdź do konta usługi ADLS Gen2 w witrynie Azure Portal i wybierz blok Sieć . Wybierz pozycję Włączone z wybranych sieci wirtualnych i adresów IP na karcie Zapory i sieci wirtualne.

Screenshot of Azure Storage Networking Settings.

Wybierz pozycję Microsoft.HealthcareApis/workspaces z listy rozwijanej Typ zasobu, a następnie wybierz obszar roboczy z listy rozwijanej Nazwa wystąpienia.

W sekcji Wyjątki wybierz pole Zezwalaj usługom platformy Azure na liście zaufanych usług na dostęp do tego konta magazynu. Pamiętaj, aby kliknąć przycisk Zapisz , aby zachować ustawienia.

Allow trusted Microsoft services to access this storage account.

Następnie uruchom następujące polecenie programu PowerShell, aby zainstalować Az.Storage moduł programu PowerShell w środowisku lokalnym. Umożliwia to skonfigurowanie kont usługi Azure Storage przy użyciu programu PowerShell.

Install-Module Az.Storage -Repository PsGallery -AllowClobber -Force

Teraz użyj poniższego polecenia programu PowerShell, aby ustawić wybrane wystąpienie usługi FHIR jako zaufany zasób dla konta magazynu. Upewnij się, że wszystkie wymienione parametry są zdefiniowane w środowisku programu PowerShell.

Musisz uruchomić Add-AzStorageAccountNetworkRule polecenie jako administrator w środowisku lokalnym. Aby uzyskać więcej informacji, zobacz Konfigurowanie zapór i sieci wirtualnych usługi Azure Storage.

$subscription="xxx"
$tenantId = "xxx"
$resourceGroupName = "xxx"
$storageaccountName = "xxx"
$workspacename="xxx"
$fhirname="xxx"
$resourceId = "/subscriptions/$subscription/resourceGroups/$resourceGroupName/providers/Microsoft.HealthcareApis/workspaces/$workspacename/fhirservices/$fhirname"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $storageaccountName -TenantId $tenantId -ResourceId $resourceId

Po uruchomieniu tego polecenia w sekcji Zapora w obszarze Wystąpienia zasobów zobaczysz 2 wybrane na liście rozwijanej Nazwa wystąpienia. Są to nazwy wystąpienia obszaru roboczego i wystąpienia usługi FHIR zarejestrowanego jako zaufane zasoby firmy Microsoft.

Screenshot of Azure Storage Networking Settings with resource type and instance names.

Teraz możesz bezpiecznie wyeksportować dane FHIR do konta magazynu.

Konto magazynu znajduje się w wybranych sieciach i nie jest publicznie dostępne. Aby bezpiecznie uzyskać dostęp do plików, możesz włączyć prywatne punkty końcowe dla konta magazynu.

Zezwalaj określonym adresom IP na dostęp do konta usługi Azure Storage z innych regionów świadczenia usługi Azure

  1. W witrynie Azure Portal przejdź do konta usługi Azure Data Lake Storage Gen2.

  2. W menu po lewej stronie wybierz pozycję Sieć.

  3. Wybierz pozycję Włączone z wybranych sieci wirtualnych i adresów IP.

  4. W sekcji Zapora w polu Zakres adresów określ adres IP. Dodaj zakresy adresów IP, aby zezwolić na dostęp z Internetu lub sieci lokalnych. Adres IP można znaleźć w poniższej tabeli dla regionu świadczenia usługi Azure, w którym aprowizowana jest usługa FHIR.

    Region platformy Azure Publiczny adres IP
    Australia Wschodnia 20.53.44.80
    Kanada Środkowa 20.48.192.84
    Środkowe stany USA 52.182.208.31
    Wschodnie stany USA 20.62.128.148
    Wschodnie stany USA 2 20.49.102.228
    Wschodnie stany USA 2 — EUAP 20.39.26.254
    Niemcy Północne 51.116.51.33
    Niemcy Środkowo-Zachodnie 51.116.146.216
    Japonia Wschodnia 20.191.160.26
    Korea Środkowa 20.41.69.51
    Północno-środkowe stany USA 20.49.114.188
    Europa Północna 52.146.131.52
    Północna Republika Południowej Afryki 102.133.220.197
    South Central US 13.73.254.220
    Southeast Asia 23.98.108.42
    Szwajcaria Północna 51.107.60.95
    Południowe Zjednoczone Królestwo 51.104.30.170
    Zachodnie Zjednoczone Królestwo 51.137.164.94
    Zachodnio-środkowe stany USA 52.150.156.44
    West Europe 20.61.98.66
    Zachodnie stany USA 2 40.64.135.77

Zezwalaj określonym adresom IP na dostęp do konta usługi Azure Storage w tym samym regionie

Proces konfiguracji adresów IP w tym samym regionie jest podobny do poprzedniej procedury, z tą różnicą, że używasz określonego zakresu adresów IP w formacie CiDR (Classless Inter-Domain Routing) (tj. 100.64.0.0/10). Należy określić zakres adresów IP (100.64.0.0 do 100.127.255.255), ponieważ adres IP usługi FHIR jest przydzielany za każdym razem, gdy wysyłasz żądanie operacji.

Uwaga

Można użyć prywatnego adresu IP w zakresie 10.0.2.0/24, ale nie ma gwarancji, że operacja powiedzie się w takim przypadku. Jeśli żądanie operacji zakończy się niepowodzeniem, możesz ponowić próbę, ale dopóki nie użyjesz adresu IP w zakresie 100.64.0.0/10, żądanie nie powiedzie się.

To zachowanie sieci dla zakresów adresów IP jest projektowane. Alternatywą jest skonfigurowanie konta magazynu w innym regionie.

Następne kroki

W tym artykule przedstawiono trzy kroki konfigurowania środowiska w celu umożliwienia eksportowania danych z usługi FHIR do konta usługi Azure Storage. Aby uzyskać więcej informacji na temat możliwości eksportu zbiorczego w usłudze FHIR, zobacz

Jak wyeksportować dane FHIR

FHIR® jest zastrzeżonym znakiem towarowym HL7 i jest używany z uprawnieniem HL7.