共用方式為

設定大容量匯入設定

  • 發行項

在本文件中,我們會在 FHIR 服務上逐步設定 $import 作業的設定。 若要了解 FHIR 服務所提供的匯入功能,請參閱 $import 作業

若要進行設定,您需要 -

  1. 在 FHIR 服務上啟用受控識別。
  2. 建立 Azure 儲存體帳戶或使用現有的儲存體帳戶,然後向 FHIR 服務授與該儲存體帳戶的存取權限。
  3. 在 FHIR 服務中設定匯入設定。

步驟 1:在 FHIR 服務上啟用受控識別

第一個步驟是在服務上啟用全系統的受控識別。 我們會使用受控識別向 FHIR 服務授與儲存體帳戶的存取權。 如需 Azure 中受控識別的詳細資訊,請參閱關於 Azure 資源受控識別 (部分機器翻譯)。

遵循步驟以在 FHIR 服務上啟用受控識別

  1. 在 Azure 入口網站中瀏覽至您的 FHIR 服務。
  2. 選取 [身分識別] 刀鋒視窗。
  3. 將 [狀態] 選項選取為 [開啟],然後選取 [儲存]
  4. 選取 [是] 以啟用 FHIR 服務的受控識別。

啟用系統的身分識別後,您會看到系統指派的 GUID 值。

Enable Managed Identity

步驟 2:向 FHIR 服務指派儲存體帳戶的存取權限

遵循下列步驟以指派儲存體帳戶的存取權限

  1. 瀏覽至儲存體帳戶中的 [存取控制 (IAM)]
  2. 選取 [新增角色指派]。 在此步驟中,如果 [新增角色指派] 選項呈現灰色,您必須要求 Azure 系統管理員指派此步驟的執行權限給您。 如需在 Azure 入口網站中指派角色的詳細資訊,請參閱 Azure 內建角色 (部分機器翻譯)。
  3. 在 FHIR 服務中新增儲存體 Blob 資料參與者 (部分機器翻譯) 角色。
  4. 選取 [儲存]。

Screen shot of the Add role assignment page.

現在您已準備就緒,可以選取用於匯入的儲存體帳戶了。

步驟 3:設定 FHIR 服務的匯入設定

注意

如果您尚未將儲存體的存取權限指派給 FHIR 服務,匯入作業 ($import) 將會失敗。

針對此步驟,您需要取得要求 URL 和 JSON 本文。 遵循下列指示

  1. 瀏覽至 FHIR 服務的 Azure 入口網站。
  2. 選取 [概觀]
  3. 選取 [JSON 檢視]
  4. 將 API 版本選取為 [2022-06-01] 或更新版本。

若要在 JSON 檢視中指定 Azure 儲存體帳戶,您必須使用 REST API (部分機器翻譯) 來更新 FHIR 服務。 Screenshot of Get JSON View

下列步驟會逐步解說如何設定初始和累加匯入模式的設定。 請為您的使用案例選擇合適的匯入模式。

步驟 3a:設定初始匯入模式的匯入設定。

對 JSON 進行下列變更:

  1. 將 importConfiguration 中的 enabled 設定為 true
  2. 使用目標儲存體帳戶名稱來更新 integrationDataStore。
  3. 將 importConfiguration 中的 initialImportMode 設定為 true
  4. 捨棄 provisioningState。

Screenshot of the importer configuration code example

完成最後這個步驟後,您就可以使用 $import 來執行「初始模式」匯入了。

步驟 3b:設定累加匯入模式的匯入設定。

對 JSON 進行下列變更:

  1. 將 importConfiguration 中的 enabled 設定為 true
  2. 使用目標儲存體帳戶名稱來更新 integrationDataStore。
  3. 將 importConfiguration 中的 initialImportMode 設定為 false
  4. 捨棄 provisioningState。

完成最後這個步驟後,您就可以使用 $import 來執行「累加模式」匯入了。

請注意,您也可以使用 [部署至 Azure] 按鈕來開啟會更新 $import 設定的自訂 Resource Manager 範本。

Deploy to Azure Button.

保護 FHIR 服務的 $import 作業

有兩個選項可讓您安全地將 FHIR 資料從 ADLS Gen2 帳戶匯入到 FHIR 服務:

  • 選項 1:將 FHIR 服務啟用為 Microsoft 信任的服務。
  • 選項 2:允許與 FHIR 服務相關聯的特定 IP 位址存取儲存體帳戶。 根據儲存體帳戶是否位於與 FHIR 服務相同的 Azure 區域中,此選項允許兩個不同的設定。

選項 1:將 FHIR 服務啟用為 Microsoft 信任的服務。

移至 Azure 入口網站中的 ADLS Gen2 帳戶,然後選取 [網路] 刀鋒視窗。 選取 [防火牆與虛擬網路] 索引標籤底下的 [從選取的虛擬網路和 IP 位址啟用]

Screenshot of Azure Storage Networking Settings.

從 [資源類型] 下拉式清單中選取 [Microsoft.HealthcareApis/workspaces],然後從 [執行個體名稱] 下拉式清單中選取您的工作區。

在 [例外狀況] 區段底下,選取 [允許受信任服務清單上的 Azure 服務存取此儲存體帳戶] 方塊。 請務必按一下 [儲存] 以保留設定。

Screenshot showing Allow trusted Microsoft services to access this storage account.

接下來,執行下列 PowerShell 命令,在本機環境中安裝 Az.Storage PowerShell 模組。 這可讓您使用 PowerShell 來設定 Azure 儲存體帳戶。

Install-Module Az.Storage -Repository PsGallery -AllowClobber -Force

現在,使用下列 PowerShell 命令,將選取的 FHIR 服務執行個體設定為該儲存體帳戶的受信任資源。 請務必在您的 PowerShell 環境中定義所有列出的參數。

請注意,您必須以管理員身分在本機環境中執行 Add-AzStorageAccountNetworkRule 命令。 如需詳細資訊,請參閱設定 Azure 儲存體防火牆和虛擬網路

$subscription="xxx"
$tenantId = "xxx"
$resourceGroupName = "xxx"
$storageaccountName = "xxx"
$workspacename="xxx"
$fhirname="xxx"
$resourceId = "/subscriptions/$subscription/resourceGroups/$resourceGroupName/providers/Microsoft.HealthcareApis/workspaces/$workspacename/fhirservices/$fhirname"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $storageaccountName -TenantId $tenantId -ResourceId $resourceId

執行上述命令之後,在 [資源執行個體] 底下的 [防火牆] 區段中,您會在 [執行個體名稱] 下拉式清單中看到 [已選取 2 個]。 這兩個名稱是您註冊為 Microsoft 受信任資源的工作區執行個體和 FHIR 服務執行個體的名稱。

Screenshot of Azure Storage Networking Settings with resource type and instance names.

您現在已準備好從儲存體帳戶安全地匯入 FHIR 資料了。 儲存體帳戶位於選取的網路上,且無法公開存取。 若要安全地存取檔案,您可以啟用儲存體帳戶的私人端點

選項 2:

允許來自其他 Azure 區域的特定 IP 位址存取 Azure 儲存體帳戶

在 Azure 入口網站中,移至 ADLS Gen2 帳戶,然後選取 [網路] 刀鋒視窗。

選取 [從選取的虛擬網路和 IP 位址啟用]。 在 [防火牆] 區段下,於 [位址範圍] 方塊中指定 IP 位址。 新增 IP 範圍以允許來自網際網路或內部部署網路的存取。 您可以在下表中找到 FHIR 服務佈建所在 Azure 區域的 IP 位址。

Azure 區域 公用 IP 位址
澳大利亞東部 20.53.44.80
加拿大中部 20.48.192.84
美國中部 52.182.208.31
美國東部 20.62.128.148
美國東部 2 20.49.102.228
美國東部 2 EUAP 20.39.26.254
德國北部 51.116.51.33
德國中西部 51.116.146.216
日本東部 20.191.160.26
南韓中部 20.41.69.51
美國中北部 20.49.114.188
北歐 52.146.131.52
南非北部 102.133.220.197
美國中南部 13.73.254.220
東南亞 23.98.108.42
瑞士北部 51.107.60.95
英國南部 51.104.30.170
英國西部 51.137.164.94
美國中西部 52.150.156.44
西歐 20.61.98.66
美國西部 2 40.64.135.77

允許特定 IP 位址存取相同區域中的 Azure 儲存體帳戶

相同區域中 IP 位址的設定程序與上面相同,但會改用無類別網域間路由 (CIDR) 格式的特定 IP 位址範圍 (也就是 100.64.0.0/10)。 之所以必須指定 IP 位址範圍 (100.64.0.0 – 100.127.255.255),是因為每次發出作業要求時,都會為 FHIR 服務配置 IP 位址。

注意

可能會使用 10.0.2.0/24 範圍內的私人 IP 位址,但無法保證在這類情況下作業會成功。 如果作業要求失敗,您可以重試,但在使用 100.64.0.0/10 範圍內的 IP 位址之前,要求都不會成功。 IP 位址範圍的這個網路行為是設計好的。 替代方法是設定不同區域中的儲存體帳戶。

下一步

在本文中,您已了解 FHIR 服務如何支援 $import 作業,並讓您可以將資料從儲存體帳戶匯入到 FHIR 服務。 您也已經了解在 FHIR 服務中設定匯入設定時所使用的三個步驟。 如需如何將資料轉換成 FHIR、匯出設定以設定儲存體帳戶,以及將資料移至 Azure Synapse 的詳細資訊,請參閱

使用 $import

FHIR® 是 HL7 (英文) 的註冊商標,可與 HL7 的權限搭配使用。