View a markdown version of this page

Configuración AWS HealthLake - AWS HealthLake

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración AWS HealthLake

En este capítulo, se utilizan Consola de administración de AWS para configurar los permisos necesarios para empezar a utilizar AWS HealthLake y crear un almacén de datos. Para configurar los permisos para crear un banco de datos, debe crear un usuario o rol de IAM que sea administrador y HealthLake administrador del lago de datos. Convierte a este usuario en administrador de lagos de datos en AWS Lake Formation. El administrador del lago de datos concede a Lake Formation acceso a los recursos necesarios para utilizar Amazon Athena para consultar un almacén de datos. Después de crear un almacén de HealthLake datos, puede configurar los permisos para importar y exportar archivos.

Inscríbase en una Cuenta de AWS

Para empezar AWS, necesitas un Cuenta de AWS. Para obtener información sobre cómo crear un Cuenta de AWS, consulte Cómo empezar con un Cuenta de AWS en la Guía de AWS Account Management referencia.

Configure el usuario o rol de IAM que desee utilizar HealthLake (administrador de IAM)

Perfil: administrador de IAM

Un usuario que puede crear usuarios y funciones de IAM y añadir administradores de lagos de datos.

Los pasos de este tema los debe llevar a cabo un administrador de IAM.

Para conectar su almacén de HealthLake datos a Athena, debe crear un usuario o rol de IAM que sea administrador y administrador del lago de datos. HealthLake Este nuevo usuario o rol otorga acceso a los recursos que se encuentran en un almacén de datos a través de AWS Lake Formation y tiene la política AmazonHealthLakeFullAccess AWS administrada agregada a su usuario o rol.

importante

Un usuario o rol de IAM que sea administrador de un lago de datos no puede crear nuevos administradores de lagos de datos. Para añadir un administrador de lago de datos adicional, debe utilizar un usuario o rol de IAM al que se le haya concedido AdministratorAccess acceso.

Para crear un administrador
  1. Añada la política AWS gestionada de AmazonHealthlakeFullAccess IAM a un usuario o rol de su organización.

    Si no está familiarizado con la creación de un usuario de IAM, consulte Creación de un usuario de IAM y Descripción general de las políticas de AWS IAM en la Guía del usuario de IAM.

  2. Conceda al usuario o rol de IAM acceso a AWS Lake Formation.

    • Añada la siguiente política AWS gestionada por IAM a un usuario o rol de su organización: AWSLakeFormationDataAdmin

      nota

      La AWSLakeFormationDataAdmin política otorga acceso a todos los recursos de AWS Lake Formation. Le recomendamos que utilice siempre los permisos mínimos necesarios para realizar la tarea. Para obtener más información, consulte Prácticas recomendadas de IAM en la Guía del usuario de IAM.

  3. Agregue la siguiente política en línea al usuario o rol. Para obtener más información, consulte las políticas integradas en la Guía del usuario de IAM.

    JSON
    { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-source-bucket/*", "arn:aws:s3:::amzn-s3-demo-logging-bucket/*" ] }, { "Effect": "Allow", "Action": [ "ram:GetResourceShareInvitations", "ram:AcceptResourceShareInvitation", "glue:CreateDatabase", "glue:DeleteDatabase" ], "Resource": "*" } ] }

Para obtener más información sobre la AWSLakeFormationDataAdmin política, consulte la referencia sobre las personas de Lake Formation y los permisos de IAM en la Guía para desarrolladores de AWS Lake Formation.

Agregue un usuario o rol como administrador de Data Lake en Lake Formation (administrador de IAM)

nota

Este paso es obligatorio si va a realizar la integraciónÍndice y consulta de SQL.

A continuación, el administrador de IAM debe añadir el usuario o rol creado en el paso anterior como administrador del lago de datos en Lake Formation.

Para agregar un usuario o rol de IAM como administrador de un lago de datos
  1. Abre la consola de AWS Lake Formation: https://console.aws.amazon.com/lakeformation/

    nota

    Si es la primera vez que visita Lake Formation, aparecerá el cuadro de diálogo Bienvenido a Lake Formation pidiéndole que defina un administrador de Lake Formation.

    Imagen de un cuadro de diálogo en el que se le pide que defina un administrador de formaciones lacustres
  2. Asigne al nuevo usuario o rol como administrador AWS del lago de datos de Lake Formation.

    • Opción 1: Si ha recibido el cuadro de diálogo Welcome to Lake Formation.

      1. Seleccione Añadir otros AWS usuarios o roles.

      2. Seleccione la flecha hacia abajo (▼).

      3. Elija el HealthLake administrador que le gustaría que también fuera administrador de Lake Formation.

      4. Elija Comenzar.

    • Opción 2: utilice el panel de navegación (☰).

      1. Elija el panel de navegación (☰).

      2. En Permisos, elija Funciones y tareas administrativas.

      3. En la sección Administradores de Data Lake, selecciona Elegir administradores.

      4. En el cuadro de diálogo Administrar administradores de lagos de datos, seleccione la flecha hacia abajo (▼).

      5. A continuación, seleccione o busque los HealthLake administradores, usuarios o roles que también desee que sean administradores de Lake Formation.

      6. Seleccione Save.

  3. Cambie la configuración de seguridad predeterminada para que la administre Lake Formation. Los recursos del almacén de HealthLake datos deben ser gestionados por Lake Formation, no por IAM. Para actualizar, consulte Cambiar el modelo de permisos predeterminado en la Guía para desarrolladores de AWS Lake Formation.

Crear buckets de S3

Para importar datos de FHIR R4 AWS HealthLake, se recomiendan dos depósitos de Amazon S3. El depósito de entrada de Amazon S3 contiene los datos del FHIR que se van a importar y los HealthLake lee de este depósito. El bucket de salida de Amazon S3 almacena los resultados del procesamiento del trabajo de importación y HealthLake escribe (registra) en este bucket.

nota

Debido a la política AWS Identity and Access Management (IAM), los nombres de los buckets de Amazon S3 deben ser únicos. Para más información, consulte Reglas de nomenclatura de buckets en la Guía del usuario de Amazon Simple Storage Service.

A los efectos de esta guía, especificamos los siguientes buckets de entrada y salida de Amazon S3 al configurar los permisos de importación más adelante en esta sección.

  • Bucket de entrada: arn:aws:s3:::amzn-s3-demo-source-bucket

  • Bucket de salida: arn:aws:s3:::amzn-s3-demo-logging-bucket

Para más información, consulte Crear un bucket en la Guía del usuario de Amazon S3.

Crear un almacén de datos

Un almacén HealthLake de datos es un repositorio de datos del FHIR R4 que reside en una sola región. AWS Una AWS cuenta puede tener cero o varios almacenes de datos. HealthLake admite dos estrategias de autorización de almacenes de datos.

Importante

Antes de crear un banco de HealthLake datos, revise las políticas de control de servicios (SCP) de su AWS organización que puedan restringir la creación o la administración de HealthLake los recursos. Los SCP pueden impedir la creación correcta de almacenes de HealthLake datos, incluso si sus permisos de IAM están configurados correctamente.

A datastoreID se genera al crear un banco de HealthLake datos. Debe utilizarla datastoreID al configurar los permisos de importación más adelante en esta sección.

Para crear un HealthLake banco de datos, consulteCreación de un almacén HealthLake de datos.

Configurar los permisos para los trabajos de importación

Antes de importar archivos a un almacén de datos, debe conceder HealthLake permiso para acceder a los depósitos de entrada y salida en Amazon S3. Para conceder el HealthLake acceso, debe crear un rol de servicio de IAM HealthLake, añadir una política de confianza al rol para conceder permisos de HealthLake asumir el rol y adjuntar una política de permisos al rol que le conceda acceso a sus buckets de Amazon S3.

Al crear un trabajo de importación, debe especificar el nombre de recurso de Amazon (ARN) de este rol para el. DataAccessRoleArn Para obtener más información sobre las funciones de IAM y las políticas de confianza, consulte Funciones de IAM.

Tras configurar el permiso, estará listo para importar archivos a su almacén de datos con un trabajo de importación. Para obtener más información, consulte Inicio de un trabajo de importación del FHIR.

Para configurar los permisos de importación
  1. Si aún no lo ha hecho, cree un bucket de Amazon S3 de destino para los archivos de registro de salida. El bucket de Amazon S3 debe estar en la misma AWS región que el servicio y bloquear el acceso público debe estar activado en todas las opciones. Para obtener más información, consulte Uso de Amazon S3 para bloquear el acceso público. También se debe usar una Amazon-owned clave KMS propiedad del cliente para el cifrado. Para obtener más información sobre el uso de claves de KMS, consulte Amazon Key Management Service.

  2. Cree una función de servicio de acceso a datos HealthLake y dé permiso al HealthLake servicio para que la asuma con la siguiente política de confianza. HealthLake usa esto para escribir el bucket Amazon S3 de salida.

    JSON
    { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "healthlake.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "accountID" }, "ArnEquals": { "aws:SourceArn": "arn:aws:healthlake:us-west-2:111122223333:datastore/fhir/datastoreID" } } } ] }
  3. Añada una política de permisos a la función de acceso a los datos que le permita acceder al bucket de Amazon S3. amzn-s3-demo-bucketSustitúyalo por el nombre de tu bucket.

    JSON
    { "Version":"2012-10-17", "Statement": [{ "Action": [ "s3:ListBucket", "s3:GetBucketPublicAccessBlock", "s3:GetEncryptionConfiguration" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-source-bucket" ], "Effect": "Allow" }, { "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-logging-bucket/*" ], "Effect": "Allow" }, { "Action": [ "kms:DescribeKey", "kms:GenerateDataKey*" ], "Resource": [ "arn:aws:kms:us-east-1:012345678910:key/d330e7fc-b56c-4216-a250-f4c43ef46e83" ], "Effect": "Allow" }] }

Configurar los permisos para los trabajos de exportación

Antes de exportar archivos desde un almacén de datos, debe conceder HealthLake permiso para acceder al depósito de salida en Amazon S3. Para conceder el HealthLake acceso, debe crear un rol de servicio de IAMHealthLake, añadir una política de confianza al rol para conceder permisos de HealthLake asumir el rol y adjuntar una política de permisos al rol que le conceda acceso a su bucket de Amazon S3.

Si ya has creado un rol para HealthLake, puedes reutilizarlo y concederle los permisos adicionales para tu bucket de exportación de Amazon S3 que se indican en este tema. Para obtener más información sobre las políticas de confianza y los roles de IAM, consulte Políticas y permisos de IAM.

Importante

HealthLake admite tanto las solicitudes de exportación del SDK nativo como la operación FHIR R4 $export. Se deben proporcionar acciones de IAM independientes en función de la API de exportación que decida utilizar. Esto le permite gestionar allow los deny permisos por separado. Si desea restringir las exportaciones de la API REST HealthLake del SDK y del FHIR, debe aplicar los permisos de denegación a las distintas acciones de IAM. No es necesario cambiar los permisos de los usuarios de IAM si les das a los usuarios acceso total a ellos. HealthLake

Utilización AWS CLI and AWS SDK:

Las siguientes HealthLake acciones nativas están disponibles para exportar datos de un banco de datos mediante los AWS SDK AWS CLI y:

  • StartFHIRExportJob

  • DescribeFHIRExportJob

  • ListFHIRExportJobs

Uso de las API del FHIR:

Las siguientes acciones de IAM están disponibles para exportar datos de un banco de HealthLake datos y para cancelar (eliminar) un trabajo de exportación mediante la operación FHIR: $export

POST:

  • StartFHIRExportJobWithPost

GET:

  • StartFHIRExportJobWithGet

  • DescribeFHIRExportJobWithGet

  • GetExportedFile

DELETE:

  • CancelFHIRExportJobWithDelete

El usuario o rol que configura los permisos debe tener permiso para crear roles, crear políticas y adjuntar políticas a los roles. La siguiente política de IAM concede estos permisos.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Action": [ "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy" ], "Effect": "Allow", "Resource": "*" }, { "Action": "iam:PassRole", "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "healthlake.amazonaws.com" } } } ] }
Para configurar los permisos de exportación
  1. Si aún no lo ha hecho, cree un bucket de Amazon S3 de destino para los datos que va a exportar desde su almacén de datos. El bucket de Amazon S3 debe estar en la misma región de AWS que el servicio y bloquear el acceso público debe estar activado en todas las opciones. Para obtener más información, consulte Uso de Amazon S3 para bloquear el acceso público. También se debe usar una Amazon-owned clave KMS propiedad del cliente para el cifrado. Para obtener más información sobre el uso de claves de KMS, consulte Amazon Key Management Service.

  2. Si aún no lo has hecho, crea un rol de servicio de acceso a datos HealthLake y dale permiso al HealthLake servicio para que lo asuma con la siguiente política de confianza. HealthLakeusa esto para escribir el bucket Amazon S3 de salida. Si ya has creado uno enConfigurar los permisos para los trabajos de importación, puedes reutilizarlo y concederle permisos para tu bucket de Amazon S3 en el siguiente paso.

    JSON
    { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "healthlake.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "accountID" }, "ArnEquals": { "aws:SourceArn": "arn:aws:healthlake:us-west-2:111122223333:datastore/fhir/data store ID" } } } ] }
  3. Añada una política de permisos a la función de acceso a los datos que le permita acceder a su bucket de Amazon S3 de salida. amzn-s3-demo-bucketSustitúyalo por el nombre del bucket.

    JSON
    { "Version":"2012-10-17", "Statement": [{ "Action": [ "s3:ListBucket", "s3:GetBucketPublicAccessBlock", "s3:GetEncryptionConfiguration" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-source-bucket" ], "Effect": "Allow" }, { "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-logging-bucket/*" ], "Effect": "Allow" }, { "Action": [ "kms:DescribeKey", "kms:GenerateDataKey*" ], "Resource": [ "arn:aws:kms:us-east-1:012345678910:key/d330e7fc-b56c-4216-a250-f4c43ef46e83" ], "Effect": "Allow" }] }

Instala la AWS CLI

AWS CLI Es obligatorio para describir y HealthLake enumerar las propiedades de los trabajos de importación y exportación. También puede solicitar esta información mediante HealthLake los SDK.

Para configurar el AWS CLI
  1. Descargue y configure la AWS CLI. Para obtener instrucciones, consulte los siguientes temas en la Guía del usuario de AWS Command Line Interface .

  2. En el AWS CLI config archivo, añada un perfil con nombre para el administrador. Este perfil se utiliza al ejecutar los AWS CLI comandos. Según el principio de seguridad de privilegio mínimo, le recomendamos que cree un rol de IAM independiente con privilegios específicos para las tareas que se estén realizando. Para más información sobre los perfiles con nombre, consulte Opciones de los archivos de configuración y credenciales en la Guía del usuario de AWS Command Line Interface .

    [default] aws_access_key_id = default access key ID aws_secret_access_key = default secret access key region = region
  3. Verifique la configuración con el comando help siguiente.

    aws healthlake help

    Si AWS CLI está configurado correctamente, verá una breve descripción AWS HealthLake y una lista de los comandos disponibles.