Aracılığıyla paylaş

Dışarı aktarma ayarlarını yapılandırma ve depolama hesabı ayarlama

  • Makale

FHIR hizmeti, FHIR verilerini bir FHIR® sunucusundan $export dışarı aktarmak için HL7 tarafından belirtilen işlemi destekler. FHIR hizmet uygulamasında uç noktanın çağrılması $export , FHIR hizmetinin verileri önceden yapılandırılmış bir Azure depolama hesabına dışarı aktarmasına neden olur.

Dışarı aktarmayı yapılandırmadan önce size 'FHIR Veri verme rolü' uygulama rolü verildiğinden emin olun. Uygulama rolleri hakkında daha fazla bilgi edinmek için bkz . FHIR hizmeti için kimlik doğrulaması ve yetkilendirme.

FHIR hizmeti için işlemi ayarlamanın $export üç adımı vardır:

  • FHIR hizmeti için yönetilen kimliği etkinleştirin.
  • Yeni veya mevcut bir Azure Data Lake Storage 2. Nesil (ADLS 2. Nesil) hesabı yapılandırın ve FHIR hizmetinin hesaba erişmesine izin verin.
  • ADLS 2. Nesil hesabını FHIR hizmetinin dışarı aktarma hedefi olarak ayarlayın.

FHIR hizmeti için yönetilen kimliği etkinleştirme

Ortamınızı FHIR veri dışarı aktarma için yapılandırmanın ilk adımı, FHIR hizmeti için sistem genelinde yönetilen kimliği etkinleştirmektir. Bu yönetilen kimlik, bir $export işlem sırasında ADLS 2. Nesil hesabına erişime izin veren FHIR hizmetinin kimliğini doğrulamak için kullanılır. Azure'da yönetilen kimlikler hakkında daha fazla bilgi için bkz . Azure kaynakları için yönetilen kimlikler hakkında.

Bu adımda Azure portalında FHIR hizmetinize göz atın ve Kimlik'i seçin. Durum seçeneğini Açık olarak ayarlayın ve Kaydet'e tıklayın. Evet ve Hayır düğmeleri görüntülendiğinde, FHIR hizmetinin yönetilen kimliğini etkinleştirmek için Evet'i seçin. Sistem kimliği etkinleştirildikten sonra, FHIR hizmetiniz için bir Nesne (asıl) kimlik değeri görürsünüz.

Yönetilen Kimliği Etkinleştirme

FHIR hizmet erişimi için depolama hesabında izin verme

  1. Azure portalında ADLS 2. Nesil hesabınıza gidin. Dağıtılmış bir ADSL 2. Nesil hesabınız yoksa, Azure depolama hesabı oluşturma ve ADLS 2. Nesil'e yükseltme yönergelerini izleyin. AdLS 2. Nesil hesabı oluşturmak için Gelişmiş sekmesindeki hiyerarşik ad alanı seçeneğini etkinleştirdiğinizden emin olun.

  2. ADLS 2. Nesil hesabınızda Erişim denetimi (IAM) öğesini seçin.

  3. Rol ataması ekle'yi > seçin. Rol ataması ekle seçeneği gri görünüyorsa, Azure yöneticinizden bu adımla ilgili yardım isteyin.

    Rol ataması ekle menüsünün açık olduğu Erişim denetimi (IAM) sayfasını gösteren ekran görüntüsü.

  4. Rol sekmesinde Depolama Blob Verileri Katkıda Bulunanı rolünü seçin.

    Rol ataması ekle sayfasının kullanıcı arabirimini gösteren ekran görüntüsü.

  5. Üyeler sekmesinde Yönetilen kimlik'i seçin ve ardından Üye seç'e tıklayın.

  6. Azure aboneliği seçin.

  7. Sistem tarafından atanan yönetilen kimlik'i seçin ve ardından daha önce FHIR hizmetiniz için etkinleştirdiğiniz yönetilen kimliği seçin.

  8. Gözden Geçir + ata sekmesinde Gözden Geçir + ata'ya tıklayarak FHIR hizmetinize Depolama Blob Verileri Katkıda Bulunanı rolünü atayın.

Azure portalında rol atama hakkında daha fazla bilgi için bkz . Azure yerleşik rolleri.

Artık ADLS 2. Nesil hesabını dışarı aktarma için varsayılan depolama hesabı olarak ayarlayarak FHIR hizmetini yapılandırmaya hazırsınız.

FHIR hizmeti dışarı aktarma için depolama hesabını belirtin

Son adım, FHIR hizmetinin verileri dışarı aktarırken kullandığı ADLS 2. Nesil hesabını belirtmektir.

Not

Depolama hesabında, FHIR hizmetine Depolama Blob Verileri Katkıda Bulunanı rolünü atamadıysanız işlem $export başarısız olur.

  1. FHIR hizmet ayarlarınıza gidin.

  2. Dışa aktar'ı seçin.

  3. Listeden depolama hesabının adını seçin. Depolama hesabınızı aramanız gerekiyorsa Ad, Kaynak grubu veya Bölge filtrelerini kullanın.

FHIR Dışarı Aktarma Depolama'nın kullanıcı arabirimini gösteren ekran görüntüsü.

Bu yapılandırma adımını tamamladıktan sonra FHIR hizmetinden verileri dışarı aktarmaya hazırsınız demektir. FHIR hizmetiyle işlem gerçekleştirme hakkında ayrıntılı bilgi için bkz . FHIR verilerini dışarı aktarma $export .

Not

Yalnızca FHIR hizmetiyle aynı abonelikteki depolama hesaplarının işlemler için $export hedef olarak kaydedilmesine izin verilir.

FHIR hizmeti $export işleminin güvenliğini sağlama

FHIR hizmetinden bir ADLS 2. Nesil hesabına güvenli bir şekilde dışarı aktarmak için iki seçenek vardır:

  • FHIR hizmetinin depolama hesabına Microsoft Güvenilen Hizmet olarak erişmesine izin verme.

  • FHIR hizmetiyle ilişkili belirli IP adreslerinin depolama hesabına erişmesine izin verme. Bu seçenek, depolama hesabının FHIR hizmetiyle aynı Azure bölgesinde olup olmadığına bağlı olarak iki farklı yapılandırmaya izin verir.

Microsoft Güvenilen Hizmet olarak FHIR hizmetine izin verme

Azure portalında ADLS 2. Nesil hesabınıza gidin ve Ağ'ı seçin. Güvenlik duvarları ve sanal ağlar sekmesinde seçili sanal ağlar ve IP adresleri arasından Etkin'i seçin.

Azure Depolama Ağ Ayarları'nın ekran görüntüsü.

Kaynak türü açılan listesinden Microsoft.HealthcareApis/workspaces öğesini seçin ve ardından Örnek adı açılan listesinden çalışma alanınızı seçin.

Özel Durumlar bölümünde, güvenilen hizmetler listesindeki Azure hizmetlerinin bu depolama hesabına erişmesine izin ver kutusunu seçin. Ayarları korumak için Kaydet'e tıkladığından emin olun.

Güvenilen Microsoft hizmetleri bu depolama hesabına erişmesine izin verin.

Ardından aşağıdaki PowerShell komutunu çalıştırarak PowerShell modülünü Az.Storage yerel ortamınıza yükleyin. Bu, PowerShell kullanarak Azure depolama hesaplarınızı yapılandırmanıza olanak tanır.

Install-Module Az.Storage -Repository PsGallery -AllowClobber -Force

Şimdi, seçili FHIR hizmet örneğini depolama hesabı için güvenilir bir kaynak olarak ayarlamak için aşağıdaki PowerShell komutunu kullanın. Listelenen tüm parametrelerin PowerShell ortamınızda tanımlandığından emin olun.

Komutunu yerel ortamınızda yönetici olarak çalıştırmanız Add-AzStorageAccountNetworkRule gerekir. Daha fazla bilgi için bkz. Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma.

$subscription="xxx"
$tenantId = "xxx"
$resourceGroupName = "xxx"
$storageaccountName = "xxx"
$workspacename="xxx"
$fhirname="xxx"
$resourceId = "/subscriptions/$subscription/resourceGroups/$resourceGroupName/providers/Microsoft.HealthcareApis/workspaces/$workspacename/fhirservices/$fhirname"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $storageaccountName -TenantId $tenantId -ResourceId $resourceId

Bu komutu çalıştırdıktan sonra, Kaynak örnekleri altındaki Güvenlik Duvarı bölümünde Örnek adı açılan listesinde 2 öğesinin seçili olduğunu görürsünüz. Bunlar, Microsoft Güvenilen Kaynaklar olarak kaydettiğiniz çalışma alanı örneğinin ve FHIR hizmet örneğinin adlarıdır.

Kaynak türü ve örnek adlarıyla Azure Depolama Ağ Ayarları'nın ekran görüntüsü.

Artık FHIR verilerini depolama hesabına güvenli bir şekilde dışarı aktarmaya hazırsınız.

Depolama hesabı seçili ağlardadır ve genel olarak erişilebilir değildir. Dosyalara güvenli bir şekilde erişmek için depolama hesabı için özel uç noktaları etkinleştirebilirsiniz.

Belirli IP adreslerinin diğer Azure bölgelerinden Azure depolama hesabına erişmesine izin ver

  1. Azure portalında Azure Data Lake Storage 2. Nesil hesabına gidin.

  2. Soldaki menüde Ağ'ı seçin.

  3. Seçili sanal ağlardan ve IP adreslerinden Etkin'i seçin.

  4. Güvenlik Duvarı bölümündeki Adres aralığı kutusunda IP adresini belirtin. İnternet'ten veya şirket içi ağlarınızdan erişime izin vermek için IP aralıkları ekleyin. IP adresini FHIR hizmetinin sağlandığı Azure bölgesi için aşağıdaki tabloda bulabilirsiniz.

    Azure bölgesi Genel IP adresi
    Doğu Avustralya 20.53.44.80
    Orta Kanada 20.48.192.84
    Orta ABD 52.182.208.31
    Doğu ABD 20.62.128.148
    Doğu ABD 2 20.49.102.228
    Doğu ABD 2 EUAP 20.39.26.254
    Almanya Kuzey 51.116.51.33
    Orta Batı Almanya 51.116.146.216
    Doğu Japonya 20.191.160.26
    Güney Kore - Orta 20.41.69.51
    Orta Kuzey ABD 20.49.114.188
    Kuzey Avrupa 52.146.131.52
    Güney Afrika Kuzey 102.133.220.197
    Orta Güney ABD 13.73.254.220
    Güneydoğu Asya 23.98.108.42
    Kuzey İsviçre 51.107.60.95
    Güney Birleşik Krallık 51.104.30.170
    Batı Birleşik Krallık 51.137.164.94
    Batı Orta ABD 52.150.156.44
    West Europe 20.61.98.66
    Batı ABD 2 40.64.135.77

Belirli IP adreslerinin aynı bölgedeki Azure depolama hesabına erişmesine izin ver

Aynı bölgedeki IP adresleri için yapılandırma işlemi önceki yordama benzer, ancak bunun yerine Sınıfsız Etki Alanları Arası Yönlendirme (CIDR) biçiminde (100.64.0.0/10) belirli bir IP adresi aralığı kullanmanız gerekir. her işlem isteğinde olduğunuzda FHIR hizmeti için bir IP adresi ayrıldığından IP adres aralığını (100.64.0.0 ile 100.127.255.255) belirtmeniz gerekir.

Not

10.0.2.0/24 aralığında özel bir IP adresi kullanmak mümkündür, ancak bu durumda işlemin başarılı olacağı garanti edilmez. İşlem isteği başarısız olursa yeniden deneyebilirsiniz, ancak 100.64.0.0/10 aralığında bir IP adresi kullanana kadar istek başarılı olmaz.

IP adresi aralıkları için bu ağ davranışı tasarım gereğidir. Alternatif olarak depolama hesabını farklı bir bölgede yapılandırabilirsiniz.

Sonraki adımlar

Bu makalede, ortamınızı FHIR hizmetinizden bir Azure depolama hesabına veri dışarı aktarmaya izin verecek şekilde yapılandırmanın üç adımı hakkında bilgi edindiniz. FHIR hizmetindeki Toplu Dışarı Aktarma özellikleri hakkında daha fazla bilgi için aşağıdakilere bakın.

FHIR verilerini dışarı aktarma

Not

FHIR®, HL7'nin tescilli ticari markasıdır ve HL7'nin izniyle kullanılır.