Руководство. Настройка служба хранилища Azure для отмены идентификации документов
Служба отмены идентификации служб данных Azure Health может отменять идентификацию документов в служба хранилища Azure с помощью асинхронного задания. Если у вас есть много документов, которые вы хотите удалить, использование задания является хорошим вариантом. Задания также обеспечивают согласованную суррогатную суррогацию, что означает, что суррогатные значения в деидентированных выходных данных будут соответствовать всем документам. Дополнительные сведения об отмене идентификации, включая согласованную суррогатную суррогацию, см. в разделе "Что такое служба отмены идентификации"?
При выборе хранения документов в Хранилище BLOB-объектов Azure плата взимается на основе служба хранилища Azure цен. Эта стоимость не включается в цены на службу отмены идентификации. Ознакомьтесь с ценами Хранилище BLOB-объектов Azure.
Изучив это руководство, вы:
- Создание учетной записи хранения и контейнера
- Отправка примера документа
- Предоставление доступа к службе отмены идентификации
- Настройка сетевой изоляции
Необходимые компоненты
- Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
- Служба отмены идентификации с управляемым удостоверением, назначаемого системой. Разверните службу отмены идентификации.
Открытие Azure CLI
Установите Azure CLI и откройте выбранный терминал. В этом руководстве мы используем PowerShell.
Создание учетной записи хранения и контейнера
- Задайте контекст, заменив имя подписки, содержащее службу де-идентификации для
<subscription_name>заполнителя:az account set --subscription "<subscription_name>" - Сохраните переменную для группы ресурсов, заменив группу ресурсов, содержащую службу де-идентификации для
<resource_group>заполнителя:$ResourceGroup = "<resource_group>" - Создайте учетную запись хранения, указав значение заполнителя
<storage_account_name>:$StorageAccountName = "<storage_account_name>" $StorageAccountId = $(az storage account create --name $StorageAccountName --resource-group $ResourceGroup --sku Standard_LRS --kind StorageV2 --min-tls-version TLS1_2 --allow-blob-public-access false --query id --output tsv) - Назначьте себе роль для выполнения операций с данными в учетной записи хранения:
$UserId = $(az ad signed-in-user show --query id -o tsv) az role assignment create --role "Storage Blob Data Contributor" --assignee $UserId --scope $StorageAccountId - Создайте контейнер для хранения примера документа:
az storage container create --account-name $StorageAccountName --name deidtest --auth-mode login
Отправка примера документа
Затем вы отправите документ, содержащий искусственный PHI:
$DocumentContent = "The patient came in for a visit on 10/12/2023 and was seen again November 4th at Contoso Hospital."
az storage blob upload --data $DocumentContent --account-name $StorageAccountName --container-name deidtest --name deidsample.txt --auth-mode login
Предоставьте службе отмены идентификации доступ к учетной записи хранения
На этом шаге вы предоставляете службе де-идентификации назначаемое системой управляемое удостоверение на основе ролей доступ к контейнеру. Вы предоставляете роль участника данных BLOB-объектов хранилища, так как служба отмены идентификации будет читать исходный документ и записывать деидентированные выходные документы. Замените имя службы отмены идентификации заполнителем <deid_service_name> :
$DeidServicePrincipalId=$(az resource show -n <deid_service_name> -g $ResourceGroup --resource-type microsoft.healthdataaiservices/deidservices --query identity.principalId --output tsv)
az role assignment create --assignee $DeidServicePrincipalId --role "Storage Blob Data Contributor" --scope $StorageAccountId
Настройка сетевой изоляции в учетной записи хранения
Затем обновите учетную запись хранения, чтобы отключить доступ к общедоступной сети и разрешить доступ только из доверенных служб Azure, таких как служба отмены идентификации. После выполнения этой команды вы не сможете просматривать содержимое контейнера хранилища без настройки сетевого исключения. Дополнительные сведения о настройке брандмауэров и виртуальных сетей служба хранилища Azure.
az storage account update --name $StorageAccountName --public-network-access Disabled --bypass AzureServices
Очистка ресурсов
После завершения работы с учетной записью хранения можно удалить учетную запись хранения и назначения ролей:
az role assignment delete --assignee $DeidServicePrincipalId --role "Storage Blob Data Contributor" --scope $StorageAccountId
az role assignment delete --assignee $UserId --role "Storage Blob Data Contributor" --scope $StorageAccountId
az storage account delete --ids $StorageAccountId --yes