Udostępnij za pośrednictwem

Konfigurowanie ustawień eksportu i konfigurowanie konta magazynu

  • Artykuł

Usługa FHIR® obsługuje operację $export określoną przez HL7 na potrzeby eksportowania danych FHIR z serwera FHIR. W implementacji usługi FHIR wywoływanie $export punktu końcowego powoduje, że usługa FHIR eksportuje dane do wstępnie skonfigurowanego konta usługi Azure Storage.

Przed skonfigurowaniem eksportu upewnij się, że masz przypisaną rolę aplikacji "Rola podmiotu przekazującego dane FHIR". Aby dowiedzieć się więcej na temat ról aplikacji, zobacz Uwierzytelnianie i autoryzacja dla usługi FHIR.

Istnieją trzy kroki konfigurowania $export operacji dla usługi FHIR—

  • Włącz tożsamość zarządzaną dla usługi FHIR.
  • Skonfiguruj nowe lub istniejące konto usługi Azure Data Lake Storage Gen2 (ADLS Gen2) i przyznaj usłudze FHIR uprawnienia dostępu do konta.
  • Ustaw konto usługi ADLS Gen2 jako miejsce docelowe eksportu dla usługi FHIR.

Włączanie tożsamości zarządzanej dla usługi FHIR

Pierwszym krokiem konfigurowania środowiska eksportu danych FHIR jest włączenie tożsamości zarządzanej dla całej systemu dla usługi FHIR. Ta tożsamość zarządzana służy do uwierzytelniania usługi FHIR, umożliwiając dostęp do konta usługi ADLS Gen2 podczas $export operacji. Aby uzyskać więcej informacji na temat tożsamości zarządzanych na platformie Azure, zobacz About managed identities for Azure resources (Informacje o tożsamościach zarządzanych dla zasobów platformy Azure).

W tym kroku przejdź do usługi FHIR w witrynie Azure Portal i wybierz pozycję Tożsamość. Ustaw opcję Stan na Wł., a następnie kliknij przycisk Zapisz. Po wyświetleniu przycisków Tak i Nie wybierz pozycję Tak , aby włączyć tożsamość zarządzaną dla usługi FHIR. Po włączeniu tożsamości systemowej zobaczysz wartość identyfikatora obiektu (jednostki) dla usługi FHIR.

Włączanie tożsamości zarządzanej

Przyznawanie uprawnień na koncie magazynu na potrzeby dostępu do usługi FHIR

  1. Przejdź do konta usługi ADLS Gen2 w witrynie Azure Portal. Jeśli nie masz jeszcze wdrożonego konta usługi ADSL Gen2, postępuj zgodnie z tymi instrukcjami dotyczącymi tworzenia konta usługi Azure Storage i uaktualniania do usługi ADLS Gen2. Pamiętaj, aby włączyć opcję hierarchicznej przestrzeni nazw na karcie Zaawansowane , aby utworzyć konto usługi ADLS Gen2.

  2. Na koncie usługi ADLS Gen2 wybierz pozycję Kontrola dostępu (IAM).

  3. Wybierz pozycję Dodaj > przypisanie roli. Jeśli opcja Dodaj przypisanie roli jest wyszarana, poproś administratora platformy Azure o pomoc w tym kroku.

    Zrzut ekranu przedstawiający stronę Kontrola dostępu (IAM) z otwartym menu Dodaj przypisanie roli.

  4. Na karcie Rola wybierz rolę Współautor danych obiektu blob usługi Storage.

    Zrzut ekranu przedstawiający interfejs użytkownika strony Dodawanie przypisania roli.

  5. Na karcie Członkowie wybierz pozycję Tożsamość zarządzana, a następnie kliknij pozycję Wybierz członków.

  6. Wybierz subskrypcję platformy Azure.

  7. Wybierz tożsamość zarządzaną przypisaną przez system, a następnie wybierz tożsamość zarządzaną, która została wcześniej włączona dla usługi FHIR.

  8. Na karcie Przeglądanie i przypisywanie kliknij pozycję Przejrzyj i przypisz, aby przypisać rolę Współautor danych obiektu blob usługi Storage do usługi FHIR.

Aby uzyskać więcej informacji na temat przypisywania ról w witrynie Azure Portal, zobacz Role wbudowane platformy Azure.

Teraz możesz przystąpić do konfigurowania usługi FHIR, ustawiając konto usługi ADLS Gen2 jako domyślne konto magazynu na potrzeby eksportu.

Określanie konta magazynu dla eksportu usługi FHIR

Ostatnim krokiem jest określenie konta usługi ADLS Gen2 używanego przez usługę FHIR podczas eksportowania danych.

Uwaga

Jeśli na koncie magazynu nie przypisano roli Współautor danych obiektu blob usługi Storage do usługi FHIR, $export operacja zakończy się niepowodzeniem.

  1. Przejdź do ustawień usługi FHIR.

  2. Wybierz Eksportuj.

  3. Wybierz nazwę konta magazynu z listy. Jeśli musisz wyszukać konto magazynu, użyj filtrów Nazwa, Grupa zasobów lub Region .

Zrzut ekranu przedstawiający interfejs użytkownika usługi FHIR Export Storage.

Po ukończeniu tego kroku konfiguracji możesz wyeksportować dane z usługi FHIR. Aby uzyskać szczegółowe informacje na temat wykonywania $export operacji za pomocą usługi FHIR, zobacz Jak wyeksportować dane FHIR.

Uwaga

Tylko konta magazynu w tej samej subskrypcji co usługa FHIR mogą być zarejestrowane jako miejsce docelowe dla $export operacji.

Zabezpieczanie operacji usługi $export FHIR

W przypadku bezpiecznego eksportowania z usługi FHIR do konta usługi ADLS Gen2 dostępne są dwie opcje:

  • Zezwalanie usłudze FHIR na dostęp do konta magazynu jako zaufanej usługi firmy Microsoft.

  • Zezwalanie określonym adresom IP skojarzonym z usługą FHIR na dostęp do konta magazynu. Ta opcja zezwala na dwie różne konfiguracje w zależności od tego, czy konto magazynu znajduje się w tym samym regionie świadczenia usługi Azure, co usługa FHIR.

Zezwalanie na usługę FHIR jako zaufaną usługę firmy Microsoft

Przejdź do konta usługi ADLS Gen2 w witrynie Azure Portal i wybierz pozycję Sieć. Wybierz pozycję Włączone z wybranych sieci wirtualnych i adresów IP na karcie Zapory i sieci wirtualne.

Zrzut ekranu przedstawiający ustawienia sieci usługi Azure Storage.

Wybierz pozycję Microsoft.HealthcareApis/workspaces z listy rozwijanej Typ zasobu, a następnie wybierz obszar roboczy z listy rozwijanej Nazwa wystąpienia.

W sekcji Wyjątki wybierz pole Zezwalaj usługom platformy Azure na liście zaufanych usług na dostęp do tego konta magazynu. Pamiętaj, aby kliknąć przycisk Zapisz , aby zachować ustawienia.

Zezwalaj zaufanym usługi firmy Microsoft na dostęp do tego konta magazynu.

Następnie uruchom następujące polecenie programu PowerShell, aby zainstalować Az.Storage moduł programu PowerShell w środowisku lokalnym. Dzięki temu można skonfigurować konta usługi Azure Storage przy użyciu programu PowerShell.

Install-Module Az.Storage -Repository PsGallery -AllowClobber -Force

Teraz użyj następującego polecenia programu PowerShell, aby ustawić wybrane wystąpienie usługi FHIR jako zaufany zasób dla konta magazynu. Upewnij się, że wszystkie wymienione parametry są zdefiniowane w środowisku programu PowerShell.

Musisz uruchomić Add-AzStorageAccountNetworkRule polecenie jako administrator w środowisku lokalnym. Aby uzyskać więcej informacji, zobacz Konfigurowanie zapór i sieci wirtualnych usługi Azure Storage.

$subscription="xxx"
$tenantId = "xxx"
$resourceGroupName = "xxx"
$storageaccountName = "xxx"
$workspacename="xxx"
$fhirname="xxx"
$resourceId = "/subscriptions/$subscription/resourceGroups/$resourceGroupName/providers/Microsoft.HealthcareApis/workspaces/$workspacename/fhirservices/$fhirname"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $storageaccountName -TenantId $tenantId -ResourceId $resourceId

Po uruchomieniu tego polecenia w sekcji Zapora w obszarze Wystąpienia zasobów zobaczysz 2 wybrane na liście rozwijanej Nazwa wystąpienia. Są to nazwy wystąpienia obszaru roboczego i wystąpienia usługi FHIR zarejestrowanego jako zaufane zasoby firmy Microsoft.

Zrzut ekranu przedstawiający ustawienia sieci usługi Azure Storage z nazwami typów zasobów i wystąpień.

Teraz możesz bezpiecznie wyeksportować dane FHIR do konta magazynu.

Konto magazynu znajduje się w wybranych sieciach i nie jest publicznie dostępne. Aby bezpiecznie uzyskać dostęp do plików, możesz włączyć prywatne punkty końcowe dla konta magazynu.

Zezwalaj określonym adresom IP na dostęp do konta usługi Azure Storage z innych regionów świadczenia usługi Azure

  1. W witrynie Azure Portal przejdź do konta usługi Azure Data Lake Storage Gen2.

  2. W menu po lewej stronie wybierz pozycję Sieć.

  3. Wybierz pozycję Włączone z wybranych sieci wirtualnych i adresów IP.

  4. W sekcji Zapora w polu Zakres adresów określ adres IP. Dodaj zakresy adresów IP, aby zezwolić na dostęp z Internetu lub sieci lokalnych. Adres IP można znaleźć w poniższej tabeli dla regionu świadczenia usługi Azure, w którym aprowizowana jest usługa FHIR.

    Region platformy Azure Publiczny adres IP
    Australia Wschodnia 20.53.44.80
    Kanada Środkowa 20.48.192.84
    Środkowe stany USA 52.182.208.31
    Wschodnie stany USA 20.62.128.148
    Wschodnie stany USA 2 20.49.102.228
    Wschodnie stany USA 2 — EUAP 20.39.26.254
    Niemcy Północne 51.116.51.33
    Niemcy Środkowo-Zachodnie 51.116.146.216
    Japonia Wschodnia 20.191.160.26
    Korea Środkowa 20.41.69.51
    Północno-środkowe stany USA 20.49.114.188
    Europa Północna 52.146.131.52
    Północna Republika Południowej Afryki 102.133.220.197
    South Central US 13.73.254.220
    Southeast Asia 23.98.108.42
    Szwajcaria Północna 51.107.60.95
    Południowe Zjednoczone Królestwo 51.104.30.170
    Zachodnie Zjednoczone Królestwo 51.137.164.94
    Zachodnio-środkowe stany USA 52.150.156.44
    West Europe 20.61.98.66
    Zachodnie stany USA 2 40.64.135.77

Zezwalaj określonym adresom IP na dostęp do konta usługi Azure Storage w tym samym regionie

Proces konfiguracji adresów IP w tym samym regionie jest podobny do poprzedniej procedury, z tą różnicą, że używasz określonego zakresu adresów IP w formacie CiDR (Classless Inter-Domain Routing) (tj. 100.64.0.0/10). Należy określić zakres adresów IP (100.64.0.0 do 100.127.255.255), ponieważ adres IP usługi FHIR jest przydzielany za każdym razem, gdy wysyłasz żądanie operacji.

Uwaga

Można użyć prywatnego adresu IP w zakresie 10.0.2.0/24, ale nie ma gwarancji, że operacja powiedzie się w takim przypadku. Jeśli żądanie operacji zakończy się niepowodzeniem, możesz ponowić próbę, ale dopóki nie użyjesz adresu IP w zakresie 100.64.0.0/10, żądanie nie powiedzie się.

To zachowanie sieci dla zakresów adresów IP jest projektowane. Alternatywą jest skonfigurowanie konta magazynu w innym regionie.

Następne kroki

W tym artykule przedstawiono trzy kroki konfigurowania środowiska w celu umożliwienia eksportowania danych z usługi FHIR do konta usługi Azure Storage. Aby uzyskać więcej informacji na temat możliwości eksportu zbiorczego w usłudze FHIR, zobacz następujące informacje.

Jak wyeksportować dane FHIR

Uwaga

FHIR® jest zastrzeżonym znakiem towarowym HL7 i jest używany z uprawnieniem HL7.