Share via

Definir configurações de exportação e configurar uma conta de armazenamento

  • Artigo

O serviço FHIR suporta a $export operação especificada pelo HL7 para exportar dados FHIR de um servidor FHIR. Na implementação do serviço FHIR, chamar o $export ponto de extremidade faz com que o serviço FHIR exporte dados para uma conta de armazenamento do Azure pré-configurada.

Certifique-se de que lhe foi concedida a função de aplicação - 'FHIR Data exporter role' antes de configurar a exportação. Para entender mais sobre as funções do aplicativo, consulte Autenticação e autorização para o serviço FHIR.

Três passos na configuração da $export operação para o serviço FHIR-

  • Habilite uma identidade gerenciada para o serviço FHIR.
  • Configure uma conta nova ou existente do Azure Data Lake Storage Gen2 (ADLS Gen2) e dê permissão para o serviço FHIR acessar a conta.
  • Defina a conta ADLS Gen2 como o destino de exportação para o serviço FHIR.

Habilitar identidade gerenciada para o serviço FHIR

A primeira etapa na configuração do ambiente para exportação de dados FHIR é habilitar uma identidade gerenciada em todo o sistema para o serviço FHIR. Essa identidade gerenciada é usada para autenticar o serviço FHIR para permitir o acesso à conta ADLS Gen2 durante uma $export operação. Para obter mais informações sobre identidades gerenciadas no Azure, consulte Sobre identidades gerenciadas para recursos do Azure.

Nesta etapa, navegue até seu serviço FHIR no portal do Azure e selecione a folha Identidade . Defina a opção Status como Ativado e clique em Salvar. Quando os botões Sim e Não forem exibidos, selecione Sim para habilitar a identidade gerenciada para o serviço FHIR. Depois que a identidade do sistema for habilitada, você verá um valor de ID de objeto (principal) para seu serviço FHIR.

Enable Managed Identity

Dar permissão na conta de armazenamento para acesso ao serviço FHIR

  1. Aceda à sua conta ADLS Gen2 no portal do Azure. Se você ainda não tiver uma conta ADSL Gen2 implantada, siga estas instruções para criar uma conta de armazenamento do Azure e atualizar para ADLS Gen2. Certifique-se de ativar a opção de namespace hierárquico na guia Avançado para criar uma conta ADLS Gen2.

  2. Na sua conta ADLS Gen2, selecione Controle de acesso (IAM).

  3. Selecione Adicionar > atribuição de função. Se a opção Adicionar atribuição de função estiver acinzentada, peça ajuda ao administrador do Azure com esta etapa.

    Screenshot that shows Access control (IAM) page with Add role assignment menu open.

  4. Na guia Função, selecione a função Colaborador de Dados de Blob de Armazenamento.

    Screen shot showing user interface of Add role assignment page.

  5. Na guia Membros, selecione Identidade gerenciada e clique em Selecionar membros.

  6. Selecione a subscrição do Azure.

  7. Selecione Identidade gerenciada atribuída ao sistema e, em seguida, selecione a identidade gerenciada que você habilitou anteriormente para seu serviço FHIR.

  8. Na guia Revisar + atribuir, clique em Revisar + atribuir para atribuir a função de Colaborador de Dados de Blob de Armazenamento ao seu serviço FHIR.

Para obter mais informações sobre como atribuir funções no portal do Azure, consulte Funções internas do Azure.

Agora você está pronto para configurar o serviço FHIR definindo a conta ADLS Gen2 como a conta de armazenamento padrão para exportação.

Especificar a conta de armazenamento para exportação de serviço FHIR

A etapa final é especificar a conta ADLS Gen2 que o serviço FHIR usa ao exportar dados.

Nota

Na conta de armazenamento, se você não tiver atribuído a função de Colaborador de Dados de Blob de Armazenamento ao serviço FHIR, a $export operação falhará.

  1. Vá para as configurações do serviço FHIR.

  2. Selecione a folha Exportar .

  3. Selecione o nome da conta de armazenamento na lista. Se precisar pesquisar sua conta de armazenamento, use os filtros Nome, Grupo de recursos ou Região .

Screen shot showing user interface of FHIR Export Storage.

Depois de concluir esta etapa de configuração final, você estará pronto para exportar dados do serviço FHIR. Consulte Como exportar dados FHIR para obter detalhes sobre como executar $export operações com o serviço FHIR.

Nota

Apenas as contas de armazenamento na mesma subscrição que o serviço FHIR podem ser registadas como destino das $export operações.

Protegendo a operação do serviço $export FHIR

Para exportar com segurança do serviço FHIR para uma conta ADLS Gen2, há duas opções principais:

  • Permitir que o serviço FHIR acesse a conta de armazenamento como um Serviço Confiável da Microsoft.

  • Permitir que endereços IP específicos associados ao serviço FHIR acessem a conta de armazenamento. Esta opção permite duas configurações diferentes, dependendo se a conta de armazenamento está ou não na mesma região do Azure que o serviço FHIR.

Permitindo o serviço FHIR como um serviço confiável da Microsoft

Vá para sua conta ADLS Gen2 no portal do Azure e selecione a folha Rede . Selecione Ativado a partir de redes virtuais e endereços IP selecionados no separador Firewalls e redes virtuais.

Screenshot of Azure Storage Networking Settings.

Selecione Microsoft.HealthcareApis/workspaces na lista suspensa Tipo de recurso e, em seguida, selecione seu espaço de trabalho na lista suspensa Nome da instância .

Na seção Exceções, marque a caixa Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento. Certifique-se de clicar em Salvar para manter as configurações.

Allow trusted Microsoft services to access this storage account.

Em seguida, execute o seguinte comando do PowerShell para instalar o Az.Storage módulo PowerShell em seu ambiente local. Isso permite que você configure sua(s) conta(s) de armazenamento do Azure usando o PowerShell.

Install-Module Az.Storage -Repository PsGallery -AllowClobber -Force

Agora, use o comando PowerShell abaixo para definir a instância de serviço FHIR selecionada como um recurso confiável para a conta de armazenamento. Certifique-se de que todos os parâmetros listados estejam definidos em seu ambiente do PowerShell.

Você precisará executar o Add-AzStorageAccountNetworkRule comando como administrador em seu ambiente local. Para obter mais informações, veja Configurar firewalls e redes virtuais do Armazenamento do Microsoft Azure.

$subscription="xxx"
$tenantId = "xxx"
$resourceGroupName = "xxx"
$storageaccountName = "xxx"
$workspacename="xxx"
$fhirname="xxx"
$resourceId = "/subscriptions/$subscription/resourceGroups/$resourceGroupName/providers/Microsoft.HealthcareApis/workspaces/$workspacename/fhirservices/$fhirname"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $storageaccountName -TenantId $tenantId -ResourceId $resourceId

Depois de executar esse comando, na seção Firewall , em Instâncias de recursos, você verá 2 selecionadas na lista suspensa Nome da instância . Estes são os nomes da instância do espaço de trabalho e da instância do serviço FHIR que você registrou como Recursos Confiáveis da Microsoft.

Screenshot of Azure Storage Networking Settings with resource type and instance names.

Agora você está pronto para exportar dados FHIR com segurança para a conta de armazenamento.

A conta de armazenamento está em redes selecionadas e não é acessível publicamente. Para acessar os arquivos com segurança, você pode habilitar pontos de extremidade privados para a conta de armazenamento.

Permitir que endereços IP específicos acessem a conta de armazenamento do Azure de outras regiões do Azure

  1. No portal do Azure, vá para a conta do Azure Data Lake Storage Gen2.

  2. No menu à esquerda, selecione Rede.

  3. Selecione Ativado a partir de redes virtuais e endereços IP selecionados.

  4. Na seção Firewall, na caixa Intervalo de endereços, especifique o endereço IP. Adicione intervalos de IP para permitir o acesso a partir da Internet ou das suas redes locais. Você pode encontrar o endereço IP na tabela a seguir para a região do Azure onde o serviço FHIR é provisionado.

    Região do Azure Endereço IP público
    Leste da Austrália 20.53.44.80
    Canadá Central 20.48.192.84
    E.U.A. Central 52.182.208.31
    E.U.A. Leste 20.62.128.148
    E.U.A. Leste 2 20.49.102.228
    E.U.A. Leste 2 - EUAP 20.39.26.254
    Norte da Alemanha 51.116.51.33
    Alemanha Centro-Oeste 51.116.146.216
    Leste do Japão 20.191.160.26
    Coreia do Sul Central 20.41.69.51
    E.U.A. Centro-Norte 20.49.114.188
    Europa do Norte 52.146.131.52
    Norte da África do Sul 102.133.220.197
    E.U.A. Centro-Sul 13.73.254.220
    Sudeste Asiático 23.98.108.42
    Norte da Suíça 51.107.60.95
    Sul do Reino Unido 51.104.30.170
    Oeste do Reino Unido 51.137.164.94
    E.U.A. Centro-Oeste 52.150.156.44
    Europa Ocidental 20.61.98.66
    E.U.A. Oeste 2 40.64.135.77

Permitir que endereços IP específicos acessem a conta de armazenamento do Azure na mesma região

O processo de configuração para endereços IP na mesma região é exatamente como o procedimento anterior, exceto que você usa um intervalo de endereços IP específico no formato CIDR (Roteamento entre Domínios sem Classe) em vez disso (ou seja, 100.64.0.0/10). Você deve especificar o intervalo de endereços IP (100.64.0.0 a 100.127.255.255) porque um endereço IP para o serviço FHIR é alocado cada vez que você faz uma solicitação de operação.

Nota

É possível usar um endereço IP privado dentro do intervalo de 10.0.2.0/24, mas não há garantia de que a operação terá sucesso em tal caso. Você pode tentar novamente se a solicitação de operação falhar, mas até usar um endereço IP dentro do intervalo de 100.64.0.0/10, a solicitação não terá êxito.

Esse comportamento de rede para intervalos de endereços IP é por design. A alternativa é configurar a conta de armazenamento em uma região diferente.

Próximos passos

Neste artigo, você aprendeu sobre as três etapas na configuração do seu ambiente para permitir a exportação de dados do seu serviço FHIR para uma conta de armazenamento do Azure. Para obter mais informações sobre os recursos de exportação em massa no serviço FHIR, consulte

Como exportar dados FHIR

FHIR® é uma marca registada da HL7 e é utilizada com a permissão da HL7.