Delen via

Exportinstellingen configureren en een opslagaccount instellen

  • Artikel

De FHIR-service® ondersteunt de $export bewerking die is opgegeven door HL7 voor het exporteren van FHIR-gegevens van een FHIR-server. Bij de implementatie van de FHIR-service zorgt het aanroepen van het $export eindpunt ervoor dat de FHIR-service gegevens exporteert naar een vooraf geconfigureerd Azure-opslagaccount.

Zorg ervoor dat u de rol FHIR-gegevensexporteur krijgt voordat u export configureert. Zie verificatie en autorisatie voor FHIR-service voor meer informatie over toepassingsrollen.

Er zijn drie stappen voor het instellen van de $export bewerking voor de FHIR-service:

  • Schakel een beheerde identiteit in voor de FHIR-service.
  • Configureer een nieuw of bestaand Azure Data Lake Storage Gen2-account (ADLS Gen2) en geef toestemming voor de FHIR-service voor toegang tot het account.
  • Stel het ADLS Gen2-account in als de exportbestemming voor de FHIR-service.

Beheerde identiteit inschakelen voor de FHIR-service

De eerste stap bij het configureren van uw omgeving voor het exporteren van FHIR-gegevens is het inschakelen van een door het systeembrede beheerde identiteit voor de FHIR-service. Deze beheerde identiteit wordt gebruikt om de FHIR-service te verifiëren, waardoor toegang tot het ADLS Gen2-account wordt toegestaan tijdens een $export bewerking. Zie Over beheerde identiteiten voor Azure-resources voor meer informatie over beheerde identiteiten in Azure.

In deze stap bladert u naar uw FHIR-service in Azure Portal en selecteert u Identiteit. Stel de optie Status in op Aan en klik vervolgens op Opslaan. Wanneer de knoppen Ja en Nee worden weergegeven, selecteert u Ja om de beheerde identiteit voor de FHIR-service in te schakelen. Zodra de systeemidentiteit is ingeschakeld, ziet u een object-id-waarde (principal) voor uw FHIR-service.

Beheerde identiteit inschakelen

Machtiging verlenen in het opslagaccount voor toegang tot de FHIR-service

  1. Ga naar uw ADLS Gen2-account in Azure Portal. Volg deze instructies voor het maken van een Azure-opslagaccount en het uitvoeren van een upgrade naar ADLS Gen2 als u nog geen ACCOUNT VAN DE AZURE Gen2 hebt geïmplementeerd. Zorg ervoor dat u de optie hiërarchische naamruimte inschakelt op het tabblad Geavanceerd om een ADLS Gen2-account te maken.

  2. Selecteer toegangsbeheer (IAM) in uw ADLS Gen2-account.

  3. Selecteer Roltoewijzing toevoegen.> Als de optie Roltoewijzing toevoegen grijs wordt weergegeven, vraagt u de Azure-beheerder om hulp bij deze stap.

    Schermopname van de pagina Toegangsbeheer (IAM) met het menu Roltoewijzing toevoegen geopend.

  4. Selecteer op het tabblad Rol de rol Inzender voor opslagblobgegevens.

    Schermopname van de gebruikersinterface van de pagina Roltoewijzing toevoegen.

  5. Selecteer beheerde identiteit op het tabblad Leden en klik vervolgens op Leden selecteren.

  6. Selecteer uw Azure-abonnement.

  7. Selecteer door het systeem toegewezen beheerde identiteit en selecteer vervolgens de beheerde identiteit die u eerder hebt ingeschakeld voor uw FHIR-service.

  8. Klik op het tabblad Beoordelen en toewijzen op Controleren + toewijzen om de rol Inzender voor opslagblobgegevens toe te wijzen aan uw FHIR-service.

Zie ingebouwde Azure-rollen voor meer informatie over het toewijzen van rollen in Azure Portal.

U bent nu klaar om de FHIR-service te configureren door het ADLS Gen2-account in te stellen als het standaardopslagaccount voor export.

Geef het opslagaccount op voor het exporteren van de FHIR-service

De laatste stap is het opgeven van het ADLS Gen2-account dat de FHIR-service gebruikt bij het exporteren van gegevens.

Notitie

Als u in het opslagaccount de rol Inzender voor opslagblobgegevens niet hebt toegewezen aan de FHIR-service, mislukt de $export bewerking.

  1. Ga naar de FHIR-service-instellingen.

  2. Selecteer Exporteren.

  3. Selecteer de naam van het opslagaccount in de lijst. Als u wilt zoeken naar uw opslagaccount, gebruikt u de filters Naam, Resourcegroep of Regio .

Schermopname van de gebruikersinterface van FHIR Export Storage.

Nadat u deze configuratiestap hebt voltooid, kunt u gegevens exporteren uit de FHIR-service. Zie FHIR-gegevens exporteren voor meer informatie over het uitvoeren van bewerkingen $export met de FHIR-service.

Notitie

Alleen opslagaccounts in hetzelfde abonnement als de FHIR-service mogen worden geregistreerd als de bestemming voor $export bewerkingen.

De FHIR-servicebewerking $export beveiligen

Voor veilig exporteren van de FHIR-service naar een ADLS Gen2-account zijn er twee opties:

  • De FHIR-service toegang geven tot het opslagaccount als een vertrouwde Microsoft-service.

  • Specifieke IP-adressen die zijn gekoppeld aan de FHIR-service toegang geven tot het opslagaccount. Deze optie staat twee verschillende configuraties toe, afhankelijk van of het opslagaccount zich in dezelfde Azure-regio bevindt als de FHIR-service.

FHIR-service toestaan als een vertrouwde Microsoft-service

Ga naar uw ADLS Gen2-account in Azure Portal en selecteer Netwerken. Selecteer Ingeschakeld in geselecteerde virtuele netwerken en IP-adressen op het tabblad Firewalls en virtuele netwerken .

Schermopname van Azure Storage-netwerkinstellingen.

Selecteer Microsoft.HealthcareApis/workspaces in de vervolgkeuzelijst Resourcetype en selecteer vervolgens uw werkruimte in de vervolgkeuzelijst Exemplaarnaam .

Selecteer in de sectie Uitzonderingen het vakje Azure-services toestaan in de lijst met vertrouwde services voor toegang tot dit opslagaccount. Klik op Opslaan om de instellingen te behouden.

Vertrouwde Microsoft-services toegang geven tot dit opslagaccount.

Voer vervolgens de volgende PowerShell-opdracht uit om de Az.Storage PowerShell-module in uw lokale omgeving te installeren. Hiermee kunt u uw Azure-opslagaccounts configureren met behulp van PowerShell.

Install-Module Az.Storage -Repository PsGallery -AllowClobber -Force

Gebruik nu de volgende PowerShell-opdracht om het geselecteerde FHIR-service-exemplaar in te stellen als een vertrouwde resource voor het opslagaccount. Zorg ervoor dat alle vermelde parameters zijn gedefinieerd in uw PowerShell-omgeving.

U moet de Add-AzStorageAccountNetworkRule opdracht uitvoeren als beheerder in uw lokale omgeving. Raadpleeg Firewalls en virtuele netwerken voor Azure Storage configureren voor meer informatie.

$subscription="xxx"
$tenantId = "xxx"
$resourceGroupName = "xxx"
$storageaccountName = "xxx"
$workspacename="xxx"
$fhirname="xxx"
$resourceId = "/subscriptions/$subscription/resourceGroups/$resourceGroupName/providers/Microsoft.HealthcareApis/workspaces/$workspacename/fhirservices/$fhirname"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $storageaccountName -TenantId $tenantId -ResourceId $resourceId

Nadat u deze opdracht hebt uitgevoerd, ziet u in de sectie Firewall onder Resource-exemplaren 2 geselecteerd in de vervolgkeuzelijst Exemplaarnaam. Dit zijn de namen van het werkruimte-exemplaar en het FHIR-service-exemplaar dat u hebt geregistreerd als Vertrouwde bronnen van Microsoft.

Schermopname van Azure Storage-netwerkinstellingen met resourcetype en exemplaarnamen.

U bent nu klaar om FHIR-gegevens veilig te exporteren naar het opslagaccount.

Het opslagaccount bevindt zich in geselecteerde netwerken en is niet openbaar toegankelijk. Als u de bestanden veilig wilt openen, kunt u privé-eindpunten inschakelen voor het opslagaccount.

Specifieke IP-adressen toegang geven tot het Azure-opslagaccount vanuit andere Azure-regio's

  1. Ga in Azure Portal naar het Azure Data Lake Storage Gen2-account.

  2. Selecteer Netwerken in het linkermenu.

  3. Selecteer Ingeschakeld in geselecteerde virtuele netwerken en IP-adressen.

  4. Geef in de sectie Firewall in het vak Adresbereik het IP-adres op. Voeg IP-bereiken toe om toegang vanaf internet of uw on-premises netwerken toe te staan. U vindt het IP-adres in de volgende tabel voor de Azure-regio waar de FHIR-service is ingericht.

    Azure-regio Openbaar IP-adres
    Australië - oost 20.53.44.80
    Canada - midden 20.48.192.84
    Central US 52.182.208.31
    VS - oost 20.62.128.148
    VS - oost 2 20.49.102.228
    VS - oost 2 EUAP 20.39.26.254
    Duitsland - noord 51.116.51.33
    Duitsland - west-centraal 51.116.146.216
    Japan East 20.191.160.26
    Korea - centraal 20.41.69.51
    VS - noord-centraal 20.49.114.188
    Europa - noord 52.146.131.52
    Zuid-Afrika - noord 102.133.220.197
    VS - zuid-centraal 13.73.254.220
    Azië - zuidoost 23.98.108.42
    Zwitserland - noord 51.107.60.95
    Verenigd Koninkrijk Zuid 51.104.30.170
    Verenigd Koninkrijk West 51.137.164.94
    VS - west-centraal 52.150.156.44
    Europa -west 20.61.98.66
    VS - west 2 40.64.135.77

Specifieke IP-adressen toegang geven tot het Azure-opslagaccount in dezelfde regio

Het configuratieproces voor IP-adressen in dezelfde regio is net als de vorige procedure, behalve dat u in plaats daarvan een specifiek IP-adresbereik gebruikt in CIDR-indeling (Classless Inter-Domain Routing) (dat wil gezegd 100.64.0.0/10). U moet het IP-adresbereik (100.64.0.0 tot 100.127.255.255) opgeven omdat telkens wanneer u een bewerkingsaanvraag indient, een IP-adres voor de FHIR-service wordt toegewezen.

Notitie

Het is mogelijk om een privé-IP-adres te gebruiken binnen het bereik van 10.0.2.0/24, maar er is geen garantie dat de bewerking in een dergelijk geval slaagt. U kunt het opnieuw proberen als de bewerkingsaanvraag mislukt, maar totdat u een IP-adres binnen het bereik van 100.64.0.0.0/10 gebruikt, slaagt de aanvraag niet.

Dit netwerkgedrag voor IP-adresbereiken is standaard. Het alternatief is om het opslagaccount in een andere regio te configureren.

Volgende stappen

In dit artikel hebt u geleerd over de drie stappen voor het configureren van uw omgeving om het exporteren van gegevens uit uw FHIR-service naar een Azure-opslagaccount toe te staan. Zie het volgende voor meer informatie over mogelijkheden voor bulkexport in de FHIR-service.

FHIR-gegevens exporteren

Notitie

FHIR® is een geregistreerd handelsmerk van HL7 en wordt gebruikt met de machtiging HL7.