Kurz: Konfigurace služby Azure Storage pro zrušení identifikace dokumentů

Deidentifikaci dokumentů ve službě Azure Health Data Services může deidentifikovat dokumenty ve službě Azure Storage prostřednictvím asynchronní úlohy. Pokud máte mnoho dokumentů, které chcete deidentifikovat, je použití úlohy dobrou volbou. Úlohy také poskytují konzistentní náhradu, což znamená, že náhradní hodnoty v deidentifikovaném výstupu se budou shodovat ve všech dokumentech. Další informace o deidentifikaci, včetně konzistentních náhradních služeb, najdete v tématu Co je de-identifikační služba?

Když se rozhodnete ukládat dokumenty ve službě Azure Blob Storage, budou se vám účtovat poplatky na základě cen služby Azure Storage. Tyto náklady nejsou zahrnuté v cenách deidentifikací služeb. Prozkoumejte ceny služby Azure Blob Storage.

V tomto kurzu se naučíte:

• Vytvoření účtu úložiště a kontejneru
• Nahrání ukázkového dokumentu
• Udělení přístupu k deidentifikační službě
• Konfigurace izolace sítě

Požadavky

• Účet Azure s aktivním předplatným. Vytvoření účtu zdarma
• Deidentifikovat službu se spravovanou identitou přiřazenou systémem. Nasaďte deidentifikovat službu.

Otevření Azure CLI

Nainstalujte Azure CLI a otevřete svůj terminál podle svého výběru. V tomto kurzu používáme PowerShell.

Vytvoření účtu úložiště a kontejneru

1. Nastavte kontext a nahraďte název předplatného obsahující vaši deidentifikací zástupného symbolu <subscription_name> :

   az account set --subscription "<subscription_name>"
   

2. Uložte proměnnou pro skupinu prostředků a nahraďte skupinu prostředků obsahující deidentifikací zástupného symbolu <resource_group> :

   $ResourceGroup = "<resource_group>"
   

3. Vytvořte účet úložiště a zadejte hodnotu zástupného symbolu <storage_account_name> :

   $StorageAccountName = "<storage_account_name>"
   $StorageAccountId = $(az storage account create --name $StorageAccountName --resource-group $ResourceGroup --sku Standard_LRS --kind StorageV2 --min-tls-version TLS1_2 --allow-blob-public-access false --query id --output tsv)
   

4. Přiřaďte si roli k provádění operací s daty v účtu úložiště:

   $UserId = $(az ad signed-in-user show --query id -o tsv)
   az role assignment create --role "Storage Blob Data Contributor" --assignee $UserId --scope $StorageAccountId
   

5. Vytvořte kontejner pro uložení ukázkového dokumentu:

   az storage container create --account-name $StorageAccountName --name deidtest --auth-mode login
   

Nahrání ukázkového dokumentu

Dále nahrajete dokument, který obsahuje syntetickou phI:

$DocumentContent = "The patient came in for a visit on 10/12/2023 and was seen again November 4th at Contoso Hospital."
az storage blob upload --data $DocumentContent --account-name $StorageAccountName --container-name deidtest --name deidsample.txt --auth-mode login

Udělení přístupu k účtu úložiště deidentifikační službě

V tomto kroku udělíte k kontejneru přístup na základě role spravované identity přiřazené systémem službě de-identification. Roli Přispěvatel dat v objektu blob služby Storage udělíte, protože služba deidentifikací bude číst původní dokument i zapisovat deidentifikované výstupní dokumenty. Zástupný symbol nahraďte názvem vaší deidentifikací <deid_service_name> :

$DeidServicePrincipalId=$(az resource show -n <deid_service_name> -g $ResourceGroup --resource-type microsoft.healthdataaiservices/deidservices --query identity.principalId --output tsv)
az role assignment create --assignee $DeidServicePrincipalId --role "Storage Blob Data Contributor" --scope $StorageAccountId

Konfigurace izolace sítě v účtu úložiště

Dále aktualizujete účet úložiště tak, aby zakázal přístup k veřejné síti a povolili přístup jenom z důvěryhodných služeb Azure, jako je deidentifikovaná služba. Po spuštění tohoto příkazu nebudete moci zobrazit obsah kontejneru úložiště bez nastavení výjimky sítě. Další informace najdete v tématu Konfigurace bran firewall služby Azure Storage a virtuálních sítí.

az storage account update --name $StorageAccountName --public-network-access Disabled --bypass AzureServices

Vyčištění prostředků

Jakmile s účtem úložiště skončíte, můžete odstranit přiřazení účtu úložiště a rolí:

az role assignment delete --assignee $DeidServicePrincipalId --role "Storage Blob Data Contributor" --scope $StorageAccountId
az role assignment delete --assignee $UserId --role "Storage Blob Data Contributor" --scope $StorageAccountId
az storage account delete --ids $StorageAccountId --yes

Další krok

Rychlý start: Klientská knihovna pro deidentifikaci služby Azure Health pro .NET