Esercitazione: Configurare Archiviazione di Azure per de-identificare i documenti
Il servizio di de-identificazione di Servizi dati di integrità di Azure può de-identificare i documenti in Archiviazione di Azure tramite un processo asincrono. Se si dispone di molti documenti da de-identificare, l'uso di un processo è un'opzione valida. I processi forniscono anche surrogati coerenti, vale a dire che i valori surrogati nell'output de-identificato corrisponderanno in tutti i documenti. Per altre informazioni sulla de-identificazione, inclusa la surrogazione coerente, vedere Che cos'è il servizio di de-identificazione?
Quando si sceglie di archiviare i documenti in Archiviazione BLOB di Azure, vengono addebitati i costi in base ai prezzi Archiviazione di Azure. Questo costo non è incluso nei prezzi del servizio di de-identificazione. Esplorare Archiviazione BLOB di Azure prezzi.
In questa esercitazione:
- Creare un account di archiviazione e un contenitore
- Caricare un documento di esempio
- Concedere l'accesso al servizio di de-identificazione
- Configurare l'isolamento di rete
Prerequisiti
- Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
- Servizio di de-identificazione con identità gestita assegnata dal sistema. Distribuire il servizio di de-identificazione.
Aprire l'interfaccia della riga di comando di Azure
Installare l'interfaccia della riga di comando di Azure e aprire il terminale preferito. In questa esercitazione si usa PowerShell.
Creare un account di archiviazione e un contenitore
- Impostare il contesto sostituendo il nome della sottoscrizione contenente il servizio di de-identificazione per il
<subscription_name>segnaposto:az account set --subscription "<subscription_name>" - Salvare una variabile per il gruppo di risorse sostituendo il gruppo di risorse contenente il servizio di de-identificazione per il
<resource_group>segnaposto:$ResourceGroup = "<resource_group>" - Creare un account di archiviazione, specificando un valore per il
<storage_account_name>segnaposto:$StorageAccountName = "<storage_account_name>" $StorageAccountId = $(az storage account create --name $StorageAccountName --resource-group $ResourceGroup --sku Standard_LRS --kind StorageV2 --min-tls-version TLS1_2 --allow-blob-public-access false --query id --output tsv) - Assegnare a se stessi un ruolo per eseguire operazioni sui dati nell'account di archiviazione:
$UserId = $(az ad signed-in-user show --query id -o tsv) az role assignment create --role "Storage Blob Data Contributor" --assignee $UserId --scope $StorageAccountId - Creare un contenitore per contenere il documento di esempio:
az storage container create --account-name $StorageAccountName --name deidtest --auth-mode login
Caricare un documento di esempio
Successivamente, si carica un documento che contiene PHI sintetico:
$DocumentContent = "The patient came in for a visit on 10/12/2023 and was seen again November 4th at Contoso Hospital."
az storage blob upload --data $DocumentContent --account-name $StorageAccountName --container-name deidtest --name deidsample.txt --auth-mode login
Concedere al servizio di de-identificazione l'accesso all'account di archiviazione
In questo passaggio si concede all'identità gestita assegnata dal servizio di de-identificazione l'accesso basato sul ruolo dell'identità gestita assegnata dal sistema al contenitore. Si concede il ruolo Collaboratore ai dati dei BLOB di archiviazione perché il servizio di de-identificazione leggerà il documento originale e scriverà documenti di output non identificati. Sostituire il nome del servizio di de-identificazione per il <deid_service_name> segnaposto:
$DeidServicePrincipalId=$(az resource show -n <deid_service_name> -g $ResourceGroup --resource-type microsoft.healthdataaiservices/deidservices --query identity.principalId --output tsv)
az role assignment create --assignee $DeidServicePrincipalId --role "Storage Blob Data Contributor" --scope $StorageAccountId
Configurare l'isolamento di rete nell'account di archiviazione
Aggiornare quindi l'account di archiviazione per disabilitare l'accesso alla rete pubblica e consentire l'accesso solo da servizi di Azure attendibili, ad esempio il servizio di de-identificazione. Dopo aver eseguito questo comando, non sarà possibile visualizzare il contenuto del contenitore di archiviazione senza impostare un'eccezione di rete. Per altre informazioni, vedere Configurare firewall e reti virtuali Archiviazione di Azure.
az storage account update --name $StorageAccountName --public-network-access Disabled --bypass AzureServices
Pulire le risorse
Dopo aver completato l'account di archiviazione, è possibile eliminare l'account di archiviazione e le assegnazioni di ruolo:
az role assignment delete --assignee $DeidServicePrincipalId --role "Storage Blob Data Contributor" --scope $StorageAccountId
az role assignment delete --assignee $UserId --role "Storage Blob Data Contributor" --scope $StorageAccountId
az storage account delete --ids $StorageAccountId --yes