Configurar o Armazenamento do Azure para desidentificar documentos
O serviço de desidentificação dos Serviços de Dados de Saúde do Azure pode desidentificar documentos no Armazenamento do Azure por meio de um trabalho assíncrono. Se você tiver muitos documentos que gostaria de desidentificar, usar um trabalho é uma boa opção. Os trabalhos também fornecem uma substituição consistente, o que significa que os valores substitutos na saída desidentificada corresponderão a todos os documentos. Para obter mais informações sobre desidentificação, incluindo a substituição consistente, consulte O que é o serviço de desidentificação?
Ao optar por armazenar documentos no Armazenamento de Blobs do Azure, você será cobrado com base nos preços do Armazenamento do Microsoft Azure. Esse custo não está incluído no preço do serviço de desidentificação. Preços do Armazenamento de Blobs do Azure.
Neste tutorial, você:
- Criar uma conta e um contêiner de armazenamento
- Carregar um documento de exemplo
- Conceder acesso ao serviço de desidentificação
- Configurar Isolamento de rede
Pré-requisitos
- Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
- Um serviço de desidentificação com identidade gerenciada atribuída pelo sistema. Implantar o serviço de desidentificação.
Abrir a CLI do Azure
Instale a CLI do Azure e abra o terminal de sua escolha. Neste tutorial, estamos usando o PowerShell.
Criar uma conta e um contêiner de armazenamento
- Defina o contexto, substituindo o nome da assinatura que contém o serviço de desidentificação pelo espaço reservado
<subscription_name>:az account set --subscription "<subscription_name>" - Salve uma variável para o grupo de recursos, substituindo o grupo de recursos que contém o serviço de desidentificação para o espaço reservado
<resource_group>:$ResourceGroup = "<resource_group>" - Crie uma conta de armazenamento, fornecendo um valor para o espaço reservado
<storage_account_name>:$StorageAccountName = "<storage_account_name>" $StorageAccountId = $(az storage account create --name $StorageAccountName --resource-group $ResourceGroup --sku Standard_LRS --kind StorageV2 --min-tls-version TLS1_2 --allow-blob-public-access false --query id --output tsv) - Atribua a si mesmo uma função para executar operações de dados na conta de armazenamento:
$UserId = $(az ad signed-in-user show --query id -o tsv) az role assignment create --role "Storage Blob Data Contributor" --assignee $UserId --scope $StorageAccountId - Crie um contêiner para armazenar seu documento de exemplo:
az storage container create --account-name $StorageAccountName --name deidtest --auth-mode login
Carregar um documento de exemplo
Em seguida, você carrega um documento que contém PHI sintético:
$DocumentContent = "The patient came in for a visit on 10/12/2023 and was seen again November 4th at Contoso Hospital."
az storage blob upload --data $DocumentContent --account-name $StorageAccountName --container-name deidtest --name deidsample.txt --auth-mode login
Conceder acesso à conta de armazenamento ao serviço de desidentificação
Nesta etapa, você concederá ao contêiner o acesso baseado em função de identidade gerenciada atribuído ao sistema do serviço de desidentificação. Você concede a função Colaborador de Dados do Blob de Armazenamento porque o serviço de desidentificação lerá o documento original e gravará documentos desidentificados de saída. Substitua o nome do serviço de desidentificação pelo espaço reservado <deid_service_name>:
$DeidServicePrincipalId=$(az resource show -n <deid_service_name> -g $ResourceGroup --resource-type microsoft.healthdataaiservices/deidservices --query identity.principalId --output tsv)
az role assignment create --assignee $DeidServicePrincipalId --role "Storage Blob Data Contributor" --scope $StorageAccountId
Configurar o isolamento de rede na conta de armazenamento
Em seguida, você atualiza a conta de armazenamento para desabilitar o acesso à rede pública e permitir apenas o acesso de serviços confiáveis do Azure, como o serviço de desidentificação. Depois de executar esse comando, você não poderá exibir o conteúdo do contêiner de armazenamento sem definir uma exceção de rede. Saiba mais em Como configurar redes virtuais e firewalls do Armazenamento do Azure.
az storage account update --name $StorageAccountName --public-network-access Disabled --bypass AzureServices
Limpar os recursos
Quando terminar de usar a conta de armazenamento, você poderá excluir a conta de armazenamento e as atribuições de função:
az role assignment delete --assignee $DeidServicePrincipalId --role "Storage Blob Data Contributor" --scope $StorageAccountId
az role assignment delete --assignee $UserId --role "Storage Blob Data Contributor" --scope $StorageAccountId
az storage account delete --ids $StorageAccountId --yes