Configuración de permisos para trabajos de importación - AWS HealthLake

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de permisos para trabajos de importación

Antes de importar archivos a un almacén de datos, debe conceder HealthLake permiso para acceder a los depósitos de entrada y salida en Amazon S3. Para conceder el HealthLake acceso, debe crear un rol de IAM servicio HealthLake, añadir una política de confianza al rol para conceder permisos de HealthLake asumir el rol y adjuntar una política de permisos al rol que le conceda acceso a sus buckets de Amazon S3.

Al crear un trabajo de importación, debe especificar el nombre de recurso de Amazon (ARN) de este rol para elDataAccessRoleArn. Para obtener más información sobre las IAM funciones y las políticas de confianza, consulte IAMFunciones.

Tras configurar el permiso, estará listo para importar archivos a su almacén de datos con un trabajo de importación. Para obtener más información, consulte Iniciar un trabajo de importación en HealthLake.

Para configurar los permisos de importación

  1. Si aún no lo ha hecho, cree un bucket de Amazon S3 de destino para los archivos de registro de salida. El bucket de Amazon S3 debe estar en la misma AWS región que el servicio y bloquear el acceso público debe estar activado en todas las opciones. Para obtener más información, consulte Uso de Amazon S3 para bloquear el acceso público. También se debe usar una KMS clave propiedad de Amazon o propiedad del cliente para el cifrado. Para obtener más información sobre el uso de KMS claves, consulta Amazon Key Management Service.

  2. Cree una función de servicio de acceso a datos HealthLake y dé permiso al HealthLake servicio para que la asuma con la siguiente política de confianza. HealthLake usa esto para escribir el bucket Amazon S3 de salida. 

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": ["healthlake.amazonaws.com"]
        },
        "Action": "sts:AssumeRole",
        "Condition": {
            "StringEquals": {
                "aws:SourceAccount": "your-account-id"
            },
            "ArnEquals": {
                "aws:SourceArn": "arn:aws:healthlake:us-west-2:account:datastore/fhir/data store ID"
            }
        }
    }]
}

  3. Añada una política de permisos a la función de acceso a los datos que le permita acceder al bucket de Amazon S3. amzn-s3-demo-bucketSustitúyalo por el nombre de tu bucket.

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Action": [
            "s3:ListBucket",
            "s3:GetBucketPublicAccessBlock",
            "s3:GetEncryptionConfiguration"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "s3:PutObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "kms:DescribeKey",
            "kms:GenerateDataKey*"
        ],
        "Resource": [
            "arn:aws:kms:us-east-1:012345678910:key/d330e7fc-b56c-4216-a250-f4c43ef46e83"
        ],
        "Effect": "Allow"
    }]
}