Configuración de permisos para trabajos de exportación - AWS HealthLake

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de permisos para trabajos de exportación

Antes de exportar archivos desde un almacén de datos, debe conceder HealthLake permiso para acceder a su bucket de salida en Amazon S3. Para conceder el HealthLake acceso, debe crear un rol de IAM servicio HealthLake, añadir una política de confianza al rol para conceder permisos de HealthLake asumir el rol y adjuntar una política de permisos al rol que le concede acceso a su bucket de Amazon S3.

Si ya has creado un rol para HealthLake inConfiguración de permisos para trabajos de importación, puedes reutilizarlo y concederle los permisos adicionales para tu bucket de exportación de Amazon S3 que se indican en este tema. Para obtener más información sobre IAM los roles y las políticas de confianza, consulta IAMPolíticas y permisos.

importante

HealthLake SDKlas solicitudes de exportación mediante StartFHIRExportJob API la operación y las solicitudes de FHIR REST API exportación mediante StartFHIRExportJobWithPost API la operación tienen IAM acciones distintas. Los permisos de SDK autorización/denegación se pueden gestionar por StartFHIRExportJobWithPost separado para cada IAM acción (FHIRRESTAPIexportar con o exportar con). StartFHIRExportJob Si quieres restringir SDK tanto FHIR REST API las exportaciones como las exportaciones, asegúrate de denegar los permisos para cada IAM acción. Si concedes a los usuarios acceso total HealthLake, no será necesario cambiar los permisos de los IAM usuarios.

El usuario o rol que configura los permisos debe tener permiso para crear roles, crear políticas y adjuntar políticas a los roles. La siguiente IAM política concede estos permisos.

{
  "Version": "2012-10-17",
  "Statement": [{
    "Action": ["iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy"],
    "Effect": "Allow",
    "Resource": "*"
    }, {
    "Action": "iam:PassRole"
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
      "StringEquals": {
        "iam:PassedToService": "healthlake.amazonaws.com"
      }
    }
  }]
}
Para configurar los permisos de exportación

  1. Si aún no lo ha hecho, cree un bucket de Amazon S3 de destino para los datos que va a exportar desde su almacén de datos. El bucket de Amazon S3 debe estar en la misma AWS región que el servicio y bloquear el acceso público debe estar activado en todas las opciones. Para obtener más información, consulte Uso de Amazon S3 para bloquear el acceso público. También se debe usar una KMS clave propiedad de Amazon o propiedad del cliente para el cifrado. Para obtener más información sobre el uso de KMS claves, consulta Amazon Key Management Service.

  2. Si aún no lo has hecho, crea un rol de servicio de acceso a datos HealthLake y dale permiso al HealthLake servicio para que lo asuma con la siguiente política de confianza. HealthLake usa esto para escribir el bucket Amazon S3 de salida. Si ya has creado uno enConfiguración de permisos para trabajos de importación, puedes reutilizarlo y concederle permisos para tu bucket de Amazon S3 en el siguiente paso. 

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": ["healthlake.amazonaws.com"]
        },
        "Action": "sts:AssumeRole",
        "Condition": {
            "StringEquals": {
                "aws:SourceAccount": "your-account-id"
            },
            "ArnEquals": {
                "aws:SourceArn": "arn:aws:healthlake:us-west-2:account:datastore/fhir/data store ID"
            }
        }
    }]
}

  3. Añada una política de permisos a la función de acceso a los datos que le permita acceder a su bucket de Amazon S3 de salida. amzn-s3-demo-bucketSustitúyalo por el nombre del bucket.

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Action": [
            "s3:ListBucket",
            "s3:GetBucketPublicAccessBlock",
            "s3:GetEncryptionConfiguration"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "s3:PutObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "kms:DescribeKey",
            "kms:GenerateDataKey*"
        ],
        "Resource": [
            "arn:aws:kms:us-east-1:012345678910:key/d330e7fc-b56c-4216-a250-f4c43ef46e83"
        ],
        "Effect": "Allow"
    }]
}