翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS のセットアップ HealthImaging
AWS を使用する前に、 AWS 環境を設定する必要があります HealthImaging。以下のトピックは、次のセクションにあるチュートリアルの前提条件です。
トピック
にサインアップする AWS アカウント
がない場合は AWS アカウント、次のステップを実行して作成します。
にサインアップするには AWS アカウント
オンラインの手順に従います。
サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを使用して検証コードを入力するように求められます。
にサインアップすると AWS アカウント、 AWS アカウントのルートユーザーが作成されます。ルートユーザーには、アカウント内のすべての AWS のサービス とリソースにアクセスできます。セキュリティのベストプラクティスとして、管理ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行します。
AWS サインアッププロセスが完了すると、 から確認メールが送信されます。https://aws.amazon.com/
管理ユーザーの作成
にサインアップしたら AWS アカウント、日常的なタスクにルートユーザーを使用しないように管理ユーザーを作成します。
のセキュリティ保護 AWS アカウントのルートユーザー
-
ルートユーザーを選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者AWS Management Console
として にサインインします。次のページでパスワードを入力します。 ルートユーザーを使用してサインインする方法については、「AWS サインイン ユーザーガイド」の「Signing in as the root user」を参照してください。
-
ルートユーザーの多要素認証 (MFA) を有効にします。
手順については、IAM ユーザーガイドの AWS アカウント 「ルートユーザーの仮想 MFA デバイスを有効にする (コンソール)」を参照してください。
管理ユーザーを作成する
-
日常的な管理タスクのためには、 AWS IAM Identity Centerの管理ユーザーに管理アクセスを割り当てます。
手順については、「AWS IAM Identity Center ユーザーガイド」の「Getting started」を参照してください。
管理ユーザーとしてサインインする
-
IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。
IAM Identity Center ユーザーを使用してサインインする方法については、「 AWS サインイン ユーザーガイド」の AWS 「 アクセスポータルにサインインする」を参照してください。
S3 バケットを作成する
DICOM P10 データを AWS にインポートするには HealthImaging、2 つの Amazon S3 バケットが必要です。Amazon S3 入力バケットは、インポートする DICOM P10 データを保存し、このバケットから HealthImaging 読み取ります。Amazon S3 出力バケットは、インポートジョブの処理結果を格納し HealthImaging、このバケットに書き込みます。これを視覚的に示した画像データのインポートの図を参照してください。
注記
AWS Identity and Access Management (IAM) ポリシーにより、Amazon S3 バケット名は一意である必要があります。詳細については、「 Amazon Simple Storage Service ユーザーガイド 」の「バケットの名前付け」を参照してください。
このガイドおよび関連するコード例では、次の Amazon S3 入出力バケットを使用します。
-
入力バケット:
arn:aws:s3:::medical-imaging-dicom-input
-
出力バケット:
arn:aws:s3:::medical-imaging-output
詳細については、Amazon S3 ユーザーガイド のバケットの作成を参照してください。
データストアの作成
医療画像データをインポートすると、AWS HealthImaging データストアには、画像セットと呼ばれる変換された DICOM P10 ファイルの結果が保持されます。これを視覚的に示した画像データのインポートの図を参照してください。
ヒント
datastoreID
はデータストアを作成すると生成されます。trust relationshipが完了すると、このセクションの後半で説明するインポートでdatastoreID
を使用する必要があります。
データストアを作成するにはデータストアの作成を参照してください。
HealthImaging フルアクセス許可を持つ IAM ユーザーを作成する
ベストプラクティス
インポート、データアクセス、データ管理などのさまざまなニーズに合わせて、個別の IAM ユーザーを作成することをお勧めします。これはAWS Well-Architected フレームワーク の最小特権アクセスの付与と整合します。
次のセクションのチュートリアルでは、1 人の IAM ユーザーを使用します。
IAM ユーザーを作成するには
-
「IAM ユーザーガイド」の AWS 「アカウントに IAM ユーザーを作成する」の手順に従います。わかりやすくするため、ユーザー
ahiadmin
(または同様のもの) などの命名法を検討してください。 -
AWSHealthImagingFullAccess
管理ポリシーを IAM ユーザーに適用します。詳細については、「AWS マネージドポリシー: AWSHealthImagingFullAccess」を参照してください。注記
IAM の権限は絞り込むことができます。詳細については、「AWS HealthImaging の AWS マネージドポリシー」を参照してください。
インポート用の IAM ロールの作成
注記
次の手順は、DICOM データをインポートするための Amazon S3 バケットへの読み取りおよび書き込みアクセスを許可する AWS Identity and Access Management (IAM) ロールを指します。このロールは次のセクションのチュートリアルで必須ですが、AWS HealthImaging の AWS マネージドポリシーを使ってユーザー、グループ、ロールに IAM アクセス権限を追加することをお勧めします。その方が自分でポリシーを作成するより簡単です。
IAM ロールは、特定の許可があり、 アカウントで作成できる IAM アイデンティティです。インポートジョブを開始するには、StartDICOMImportJob
アクションを呼び出す IAM ロールを、DICOM P10 データの読み取りとインポートジョブの処理結果の保存に使用する Amazon S3 バケットへのアクセスを許可するユーザーポリシーにアタッチする必要があります。また、AWS がロールを HealthImaging 引き受けることができる信頼関係 (ポリシー) を割り当てる必要があります。
インポート用の IAM ロールの作成
-
IAM コンソール
を使用して、 ImportJobDataAccessRole
の名称を持つ IAM ロールを作成します。このロールは、次のセクションのチュートリアルで使用します。詳細については、 IAM ユーザーガイド の IAM ロールの作成を参照してください。ヒント
このガイドでは、インポートジョブの開始のコード例は
ImportJobDataAccessRole
IAM ロールを参考にしています。 -
この IAM ロールに次の IAM アクセス許可ポリシーをアタッチします。このアクセス許可ポリシーは Amazon S3 入出力バケットへのアクセス権を付与します。次の IAM アクセス権限ポリシーをこの IAM ロール
ImportJobDataAccessRole
にアタッチします。{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::medical-imaging-dicom-input", "arn:aws:s3:::medical-imaging-output" ], "Effect": "Allow" }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::medical-imaging-dicom-input/*" ], "Effect": "Allow" }, { "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::medical-imaging-output/*" ], "Effect": "Allow" } ] }
-
ImportJobDataAccessRole
IAM ロールに以下の信頼関係を追加します。信頼ポリシーでは、データストアの作成セクションの完了時に生成されたdatastoreId
が必要です。このトピックの後のチュートリアルでは、1 つの AWS HealthImaging データストアを使用していることを前提としていますが、データストア固有の Amazon S3 バケット、IAM ロール、信頼ポリシーを使用します。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "medical-imaging.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ForAllValues:StringEquals": { "aws:SourceAccount": "
accountId
" }, "ForAllValues:ArnEquals": { "aws:SourceArn": "arn:aws:medical-imaging:region
:accountId
:datastore/datastoreId
" } } } ] }
AWS での IAM ポリシーの作成と使用の詳細については HealthImaging、「」を参照してくださいAWS の Identity and Access Management HealthImaging。
IAM ロールの詳細については、 IAM ユーザーガイド の IAM ロールを参照してください。IAM ポリシーの詳細については、 IAM ユーザーガイド の IAM の許可とポリシーを参照してください。
をインストールする AWS CLI (オプション)
AWS Command Line Interfaceを使用している場合は、以下の手順が必要です。 AWS Management Console または AWS SDKsを使用している場合は、次の手順をスキップできます。
を設定するには AWS CLI
-
AWS CLIをダウンロードして設定します。手順については、AWS Command Line Interface ユーザーガイド の次のトピックを参照してください。
-
ファイルに AWS CLI
config
、管理者の名前付きプロファイルを追加します。このプロファイルは、 AWS CLI コマンドを実行するときに使用します。最小特権というセキュリティ原則のもと、実行中のタスクに固有の権限を持つ IAM ロールを別途作成することをお勧めします。名前付きプロファイルの詳細については、AWS Command Line Interface ユーザーガイド の設定ファイルと認証情報ファイルの設定を参照してください。[default] aws_access_key_id =
default access key ID
aws_secret_access_key =default secret access key
region =region
-
次の
help
コマンドを使用して設定を確認します。aws medical-imaging help
が正しく AWS CLI 設定されると、AWS HealthImaging の簡単な説明と使用可能なコマンドのリストが表示されます。