Definir configurações de exportação e configurar uma conta de armazenamento
O serviço FHIR® suporta a $export operação especificada pelo HL7 para exportar dados FHIR de um servidor FHIR. Na implementação do serviço FHIR, chamar o $export ponto de extremidade faz com que o serviço FHIR exporte dados para uma conta de armazenamento do Azure pré-configurada.
Verifique se você recebeu a função de aplicativo 'função de exportador de dados FHIR' antes de configurar a exportação. Para entender mais sobre as funções do aplicativo, consulte Autenticação e autorização para o serviço FHIR.
Há três etapas na configuração da $export operação para o serviço FHIR-
- Habilite uma identidade gerenciada para o serviço FHIR.
- Configure uma conta nova ou existente do Azure Data Lake Storage Gen2 (ADLS Gen2) e dê permissão para que o serviço FHIR acesse a conta.
- Defina a conta do ADLS Gen2 como o destino de exportação para o serviço FHIR.
Habilitar a identidade gerenciada para o serviço FHIR
A primeira etapa na configuração do ambiente para exportação de dados FHIR é habilitar uma identidade gerenciada em todo o sistema para o serviço FHIR. Essa identidade gerenciada é usada para autenticar o serviço FHIR, permitindo o acesso à conta do ADLS Gen2 durante uma $export operação. Para obter mais informações sobre identidades gerenciadas no Azure, consulte Sobre identidades gerenciadas para recursos do Azure.
Nesta etapa, navegue até o serviço FHIR no portal do Azure e selecione Identidade. Defina a opção Status como Ativado e clique em Salvar. Quando os botões Sim e Não forem exibidos, selecione Sim para habilitar a identidade gerenciada para o serviço FHIR. Depois que a identidade do sistema for habilitada, você verá um valor de ID de objeto (principal) para o serviço FHIR.
Conceder permissão na conta de armazenamento para acesso ao serviço FHIR
Acesse sua conta do ADLS Gen2 no portal do Azure. Se você ainda não tiver uma conta ADSL Gen2 implantada, siga estas instruções para criar uma conta de armazenamento do Azure e atualizar para o ADLS Gen2. Certifique-se de habilitar a opção de namespace hierárquico na guia Avançado para criar uma conta do ADLS Gen2.
Na sua conta do ADLS Gen2, selecione Controle de acesso (IAM).
Selecione Adicionar > Adicionar atribuição de função. Se a opção Adicionar atribuição de função estiver esmaecida, peça ajuda ao administrador do Azure com esta etapa.
Na guia Função, selecione a função Colaborador de Dados do Blob de Armazenamento.
Na guia Membros , selecione Identidade gerenciada e clique em Selecionar membros.
Selecione sua assinatura do Azure.
Selecione Identidade gerenciada atribuída pelo sistema e, em seguida, selecione a identidade gerenciada que você habilitou anteriormente para o serviço FHIR.
Na guia Examinar + atribuir, clique em Examinar + atribuir para atribuir a função Colaborador de Dados do Blob de Armazenamento ao serviço FHIR.
Para obter mais informações sobre como atribuir funções no portal do Azure, consulte as funções internas do Azure.
Agora você está pronto para configurar o serviço FHIR definindo a conta do ADLS Gen2 como a conta de armazenamento padrão para exportação.
Especificar a conta de armazenamento para exportação de serviço FHIR
A etapa final é especificar a conta do ADLS Gen2 que o serviço FHIR usa ao exportar dados.
Observação
Na conta de armazenamento, se você não tiver atribuído a função Colaborador de Dados do Blob de Armazenamento ao serviço FHIR, a $export operação falhará.
Vá para as configurações do serviço FHIR.
Selecione Exportar.
Selecione o nome da conta de armazenamento na lista. Se você precisar pesquisar sua conta de armazenamento, use os filtros Nome, Grupo de recursos ou Região .
Depois de concluir esta etapa de configuração, você estará pronto para exportar dados do serviço FHIR. Consulte Como exportar dados FHIR para obter detalhes sobre como executar $export operações com o serviço FHIR.
Observação
Somente contas de armazenamento na mesma assinatura que o serviço FHIR podem ser registradas como o destino das $export operações.
Protegendo a operação do serviço $export FHIR
Para exportar com segurança do serviço FHIR para uma conta do ADLS Gen2, há duas opções:
Permitir que o serviço FHIR acesse a conta de armazenamento como um Serviço Confiável da Microsoft.
Permitir que endereços IP específicos associados ao serviço FHIR acessem a conta de armazenamento. Essa opção permite duas configurações diferentes, dependendo se a conta de armazenamento está ou não na mesma região do Azure que o serviço FHIR.
Permitindo o serviço FHIR como um Serviço Confiável da Microsoft
Acesse sua conta do ADLS Gen2 no portal do Azure e selecione Rede. Selecione Habilitado em redes virtuais e endereços IP selecionados na guia Firewalls e redes virtuais.
Selecione Microsoft.HealthcareApis/workspaces na lista suspensa Tipo de recurso e, em seguida, selecione seu workspace na lista suspensa Nome da instância .
Na seção Exceções, marque a caixa Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento. Certifique-se de clicar em Salvar para manter as configurações.
Em seguida, execute o seguinte comando do PowerShell para instalar o módulo do Az.Storage PowerShell em seu ambiente local. Isso permite que você configure suas contas de armazenamento do Azure usando o PowerShell.
Install-Module Az.Storage -Repository PsGallery -AllowClobber -Force
Agora, use o seguinte comando do PowerShell para definir a instância de serviço FHIR selecionada como um recurso confiável para a conta de armazenamento. Verifique se todos os parâmetros listados estão definidos em seu ambiente do PowerShell.
Você precisará executar o Add-AzStorageAccountNetworkRule comando como administrador em seu ambiente local. Para saber mais, consulte Configurar Redes Virtuais e Firewalls de Armazenamento do Azure.
$subscription="xxx"
$tenantId = "xxx"
$resourceGroupName = "xxx"
$storageaccountName = "xxx"
$workspacename="xxx"
$fhirname="xxx"
$resourceId = "/subscriptions/$subscription/resourceGroups/$resourceGroupName/providers/Microsoft.HealthcareApis/workspaces/$workspacename/fhirservices/$fhirname"
Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $storageaccountName -TenantId $tenantId -ResourceId $resourceId
Depois de executar este comando, na seção Firewall em Instâncias de recursos, você verá 2 selecionados na lista suspensa Nome da instância . Esses são os nomes da instância do workspace e da instância de serviço FHIR que você registrou como Recursos Confiáveis da Microsoft.
Agora você está pronto para exportar com segurança os dados FHIR para a conta de armazenamento.
A conta de armazenamento está em redes selecionadas e não pode ser acessada publicamente. Para acessar os arquivos com segurança, você pode habilitar pontos de extremidade privados para a conta de armazenamento.
Permitir que endereços IP específicos acessem a conta de armazenamento do Azure de outras regiões do Azure
No portal do Azure, acesse a conta do Azure Data Lake Storage Gen2.
No menu à esquerda, selecione Rede.
Selecione Habilitado a partir das redes virtuais e endereços IP selecionados.
Na seção Firewall, na caixa Intervalo de endereços, especifique o endereço IP. Adicionar intervalos de IP para permitir o acesso da Internet ou de suas redes locais. Você pode encontrar o endereço IP na tabela a seguir para a região do Azure em que o serviço FHIR é provisionado.
Região do Azure Endereço IP público Leste da Austrália 20.53.44.80 Canadá Central 20.48.192.84 Centro dos EUA 52.182.208.31 Leste dos EUA 20.62.128.148 Leste dos EUA 2 20.49.102.228 Leste dos EUA 2 EUAP 20.39.26.254 Norte da Alemanha 51.116.51.33 Centro-Oeste da Alemanha 51.116.146.216 Leste do Japão 20.191.160.26 Coreia Central 20.41.69.51 Centro-Norte dos EUA 20.49.114.188 Norte da Europa 52.146.131.52 Norte da África do Sul 102.133.220.197 Centro-Sul dos Estados Unidos 13.73.254.220 Sudeste Asiático 23.98.108.42 Norte da Suíça 51.107.60.95 Sul do Reino Unido 51.104.30.170 Oeste do Reino Unido 51.137.164.94 Centro-Oeste dos EUA 52.150.156.44 Europa Ocidental 20.61.98.66 Oeste dos EUA 2 40.64.135.77
Permitir que endereços IP específicos acessem a conta de armazenamento do Azure na mesma região
O processo de configuração para endereços IP na mesma região é exatamente como o procedimento anterior, exceto que você usa um intervalo de endereços IP específico no formato CIDR (Roteamento entre Domínios Sem Classe) (ou seja, 100.64.0.0/10). Você deve especificar o intervalo de endereços IP (100.64.0.0 a 100.127.255.255) porque um endereço IP para o serviço FHIR é alocado sempre que você faz uma solicitação de operação.
Observação
É possível usar um endereço IP privado dentro do intervalo de 10.0.2.0/24, mas não há garantia de que a operação será bem-sucedida nesse caso. Você pode tentar novamente se a solicitação de operação falhar, mas até usar um endereço IP dentro do intervalo de 100.64.0.0/10, a solicitação não será bem-sucedida.
Esse comportamento de rede para intervalos de endereços IP é por design. A alternativa é configurar a conta de armazenamento em uma região diferente.
Próximas etapas
Neste artigo, você aprendeu sobre as três etapas na configuração do ambiente para permitir a exportação de dados do serviço FHIR para uma conta de armazenamento do Azure. Para obter mais informações sobre os recursos de exportação em massa no serviço FHIR, consulte o seguinte.
Observação
FHIR® é uma marca registrada da HL7 e é usado com a permissão da HL7.