Настройка параметров экспорта и настройка учетной записи хранения

  • Статья

Служба FHIR поддерживает $export операцию , указанную HL7 для экспорта данных FHIR с сервера FHIR. В реализации службы FHIR вызов $export конечной точки приводит к экспорту данных службы FHIR в предварительно настроенную учетную запись хранения Azure.

Перед настройкой экспорта убедитесь, что вы предоставляете роль приложения — "Роль экспортера данных FHIR". Дополнительные сведения о ролях приложений см. в статье "Проверка подлинности и авторизация для службы FHIR".

Три шага при настройке $export операции для службы FHIR.

  • Включите управляемое удостоверение для службы FHIR.
  • Настройте новую или существующую учетную запись Azure Data Lake Storage 2-го поколения (ADLS 2-го поколения) и предоставьте службе FHIR разрешение на доступ к учетной записи.
  • Задайте учетную запись ADLS 2-го поколения в качестве назначения экспорта для службы FHIR.

Включение управляемого удостоверения для службы FHIR

Первым шагом в настройке среды для экспорта данных FHIR является включение управляемого удостоверения на уровне системы для службы FHIR. Это управляемое удостоверение используется для проверки подлинности службы FHIR, чтобы разрешить доступ к учетной записи ADLS 2-го $export поколения во время операции. Дополнительные сведения об управляемых удостоверениях в Azure см. в разделе "Сведения об управляемых удостоверениях для ресурсов Azure".

На этом шаге перейдите к службе FHIR в портал Azure и выберите колонку "Удостоверение". Установите для параметра "Состояние" значение "Вкл." и нажмите кнопку "Сохранить". Когда отображаются кнопки "Да" и "Нет", выберите "Да", чтобы включить управляемое удостоверение для службы FHIR. После включения системного удостоверения вы увидите значение идентификатора объекта (субъекта) для службы FHIR.

Enable Managed Identity

Предоставление разрешений в учетной записи хранения для доступа к службе FHIR

  1. Перейдите к учетной записи ADLS 2-го поколения в портал Azure. Если у вас еще нет развернутой учетной записи ADSL 2-го поколения, выполните следующие инструкции по созданию учетной записи хранения Azure и обновлению до ADLS 2-го поколения. Обязательно включите параметр иерархического пространства имен на вкладке "Дополнительно ", чтобы создать учетную запись ADLS 2-го поколения.

  2. В учетной записи ADLS 2-го поколения выберите элемент управления доступом (IAM).

  3. Выберите "Добавить" > "Добавить назначение ролей". Если параметр "Добавить назначение ролей" неактивен, обратитесь к администратору Azure за помощью к этому шагу.

    Screenshot that shows Access control (IAM) page with Add role assignment menu open.

  4. На вкладке "Роль" выберите роль участника данных BLOB-объектов служба хранилища.

    Screen shot showing user interface of Add role assignment page.

  5. На вкладке "Участники" выберите управляемое удостоверение и нажмите кнопку "Выбрать участников".

  6. Выберите свою подписку Azure.

  7. Выберите управляемое удостоверение, назначаемое системой, и выберите управляемое удостоверение, которое вы включили ранее для службы FHIR.

  8. На вкладке "Рецензирование и назначение" нажмите кнопку "Рецензирование", чтобы назначитьроль участника данных blob-объектов служба хранилища службе FHIR.

Дополнительные сведения о назначении ролей в портал Azure см. в статье о встроенных ролях Azure.

Теперь вы готовы настроить службу FHIR, задав учетную запись ADLS 2-го поколения в качестве учетной записи хранения по умолчанию для экспорта.

Указание учетной записи хранения для экспорта службы FHIR

Последний шаг — указать учетную запись ADLS 2-го поколения, которую служба FHIR использует при экспорте данных.

Примечание.

В учетной записи хранения, если вы не назначили роль участника данных BLOB-объектов служба хранилища службе FHIR, $export операция завершится ошибкой.

  1. Перейдите к параметрам службы FHIR.

  2. Выберите колонку "Экспорт ".

  3. Выберите имя учетной записи хранения из списка. Если вам нужно искать учетную запись хранения, используйте фильтры "Имя", "Группа ресурсов" или "Регион ".

Screen shot showing user interface of FHIR Export Storage.

Завершив этот заключительный шаг конфигурации, вы готовы экспортировать данные из службы FHIR. Узнайте , как экспортировать данные FHIR для получения сведений о выполнении $export операций со службой FHIR.

Примечание.

Только учетные записи хранения в той же подписке, что и служба FHIR, могут быть зарегистрированы в качестве назначения для $export операций.

Защита операции службы $export FHIR

Для безопасного экспорта из службы FHIR в учетную запись ADLS 2-го поколения существует два основных варианта:

  • Разрешение службе FHIR получить доступ к учетной записи хранения в качестве доверенной службы Майкрософт.

  • Разрешение определенным IP-адресам, связанным со службой FHIR, для доступа к учетной записи хранения. Этот параметр разрешает две разные конфигурации в зависимости от того, находится ли учетная запись хранения в одном регионе Azure со службой FHIR.

Разрешение службы FHIR в качестве доверенной службы Майкрософт

Перейдите к учетной записи ADLS 2-го поколения в портал Azure и выберите колонку "Сеть". Выберите "Включено" из выбранных виртуальных сетей и IP-адресов на вкладке "Брандмауэры" и "Виртуальные сети ".

Screenshot of Azure Storage Networking Settings.

Выберите Microsoft.HealthcareApis/workspaces из раскрывающегося списка типов ресурсов и выберите рабочую область в раскрывающемся списке имени экземпляра.

В разделе "Исключения" выберите поле Разрешить службам Azure в списке доверенных служб доступ к этой учетной записи хранения. Не забудьте нажать кнопку "Сохранить ", чтобы сохранить параметры.

Allow trusted Microsoft services to access this storage account.

Затем выполните следующую команду PowerShell, чтобы установить Az.Storage модуль PowerShell в локальной среде. Это позволяет настроить учетные записи хранения Azure с помощью PowerShell.

Install-Module Az.Storage -Repository PsGallery -AllowClobber -Force

Теперь используйте приведенную ниже команду PowerShell, чтобы задать выбранный экземпляр службы FHIR в качестве доверенного ресурса для учетной записи хранения. Убедитесь, что все перечисленные параметры определены в среде PowerShell.

Вам потребуется выполнить Add-AzStorageAccountNetworkRule команду от имени администратора в локальной среде. Дополнительные сведения см. в статье Настройка брандмауэров службы хранилища Azure и виртуальных сетей.

$subscription="xxx"
$tenantId = "xxx"
$resourceGroupName = "xxx"
$storageaccountName = "xxx"
$workspacename="xxx"
$fhirname="xxx"
$resourceId = "/subscriptions/$subscription/resourceGroups/$resourceGroupName/providers/Microsoft.HealthcareApis/workspaces/$workspacename/fhirservices/$fhirname"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $storageaccountName -TenantId $tenantId -ResourceId $resourceId

После выполнения этой команды в разделе "Брандмауэр" в разделе "Экземпляры ресурсов" вы увидите 2, выбранное в раскрывающемся списке имени экземпляра. Это имена экземпляра рабочей области и экземпляра службы FHIR, зарегистрированного в качестве доверенных ресурсов Майкрософт.

Screenshot of Azure Storage Networking Settings with resource type and instance names.

Теперь вы готовы безопасно экспортировать данные FHIR в учетную запись хранения.

Учетная запись хранения находится в выбранных сетях и не является общедоступной. Чтобы безопасно получить доступ к файлам, можно включить частные конечные точки для учетной записи хранения.

Разрешить доступ к учетной записи хранения Azure с помощью определенных IP-адресов из других регионов Azure

  1. В портал Azure перейдите к учетной записи Azure Data Lake Storage 2-го поколения.

  2. В меню слева выберите "Сеть".

  3. Выберите "Включено" из выбранных виртуальных сетей и IP-адресов.

  4. В разделе "Брандмауэр" в поле диапазона адресов укажите IP-адрес. Добавьте диапазоны IP-адресов, чтобы разрешить доступ из Интернета или локальных сетей. IP-адрес можно найти в следующей таблице для региона Azure, где подготовлена служба FHIR.

    Регион Azure Общедоступный IP-адрес
    Восточная Австралия 20.53.44.80
    Центральная Канада 20.48.192.84
    Центральная часть США 52.182.208.31
    Восточная часть США 20.62.128.148
    Восточная часть США 2 20.49.102.228
    Восточная часть США 2 (EUAP) 20.39.26.254
    Северная Германия 51.116.51.33
    Центрально-Западная Германия 51.116.146.216
    Восточная Япония 20.191.160.26
    Республика Корея, центральный регион 20.41.69.51
    Центрально-северная часть США 20.49.114.188
    Северная Европа 52.146.131.52
    Северная часть ЮАР 102.133.220.197
    Центрально-южная часть США 13.73.254.220
    Юго-Восточная Азия 23.98.108.42
    Северная Швейцария 51.107.60.95
    южная часть Соединенного Королевства 51.104.30.170
    западная часть Соединенного Королевства 51.137.164.94
    Центрально-западная часть США 52.150.156.44
    Западная Европа 20.61.98.66
    западная часть США 2 40.64.135.77

Разрешить доступ к учетной записи хранения Azure в одном регионе с определенными IP-адресами.

Процесс конфигурации ДЛЯ IP-адресов в том же регионе похож на предыдущую процедуру, за исключением того, что вы используете определенный диапазон IP-адресов в формате маршрутизации без классов (CIDR) (то есть 100.64.0.0/10). Необходимо указать диапазон IP-адресов (100.64.0.0 до 100.127.255.2555), так как IP-адрес службы FHIR выделяется каждый раз при выполнении запроса на операцию.

Примечание.

Частный IP-адрес можно использовать в диапазоне от 10.0.2.0/24, но в таком случае операция не будет выполнена. Вы можете повторить попытку, если запрос операции завершится ошибкой, но пока не будет использоваться IP-адрес в диапазоне от 100.64.0.0/10, запрос не будет выполнен.

Это поведение сети для диапазонов IP-адресов по проектированию. Альтернативой является настройка учетной записи хранения в другом регионе.

Следующие шаги

В этой статье вы узнали о трех шагах настройки среды, чтобы разрешить экспорт данных из службы FHIR в учетную запись хранения Azure. Дополнительные сведения о возможностях массового экспорта в службе FHIR см. в разделе

Экспорт данных FHIR

FHIR® является зарегистрированным товарным знаком HL7 и используется с разрешением HL7 .