

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Configurar AWS HealthLake
<a name="getting-started-setting-up"></a>

Neste capítulo, você usa o Console de gerenciamento da AWS para configurar as permissões necessárias para começar a usar AWS HealthLake e criar um armazenamento de dados. Para configurar permissões para criar um armazenamento de dados, você cria um usuário ou uma função do IAM que é administrador e HealthLake administrador do data lake. Você torna esse usuário um administrador de data lake no AWS Lake Formation. O administrador do data lake concede ao Lake Formation acesso aos recursos necessários para usar o Amazon Athena para consultar um armazenamento de dados. Depois de criar um armazenamento de HealthLake dados, você pode configurar permissões para importar e exportar arquivos. 

**Topics**
+ [Inscreva-se para um Conta da AWS](#sign-up-for-aws)
+ [Configurar um usuário ou uma função do IAM para usar HealthLake (administrador do IAM)](#setting-up-configure-iam)
+ [Adicionar um usuário ou função como administrador do Data Lake em Lake Formation (administrador do IAM)](#setting-up-add-lake-formation)
+ [Crie buckets do S3](#setting-up-create-s3-buckets)
+ [Criar um datastore](#setting-up-create-data-store)
+ [Configurando permissões para trabalhos de importação](#setting-up-import-permissions)
+ [Configurando permissões para trabalhos de exportação](#setting-up-export-permissions)
+ [Instale o   AWS CLI](#setting-up-install-cli)

## Inscreva-se para um Conta da AWS
<a name="sign-up-for-aws"></a>

Para começar AWS, você precisa de um Conta da AWS. Para obter informações sobre como criar um Conta da AWS, consulte [Introdução a um Conta da AWS](https://docs.aws.amazon.com//accounts/latest/reference/getting-started.html) no *Guia de AWS Gerenciamento de contas referência*.

## Configurar um usuário ou uma função do IAM para usar HealthLake (administrador do IAM)
<a name="setting-up-configure-iam"></a>

**Persona: administrador do IAM**  
Um usuário que pode criar usuários e funções do IAM e adicionar administradores de data lake.

Essas etapas neste tópico devem ser executadas por um administrador do IAM.

Para conectar seu armazenamento de HealthLake dados ao Athena, você precisa criar um usuário ou uma função do IAM que seja administrador e administrador do data lake. HealthLake Esse novo usuário ou função concede acesso aos recursos encontrados em um armazenamento de dados por meio do AWS Lake Formation e tem a política `AmazonHealthLakeFullAccess` AWS gerenciada adicionada ao usuário ou função.

**Importante**  
Um usuário ou função do IAM que seja administrador de data lake *não pode* criar novos administradores de data lake. Para adicionar mais administrador de data lake, você deve usar um usuário ou uma função do IAM que tenha recebido `AdministratorAccess` acesso.

**Para criar um administrador**

1. Adicione a política AWS gerenciada **AmazonHealthlakeFullAccess** do IAM a um usuário ou função na sua organização. 

   Se você não estiver familiarizado com a criação de um usuário do IAM, consulte [Criação de um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/Using_SettingUpUser.html#Using_CreateUser_console) e [Visão geral das políticas AWS do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/PoliciesOverview.html) no *Guia do usuário do IAM*.

1. Conceda ao usuário ou à função do IAM acesso ao AWS Lake Formation.
   + Adicione a seguinte política AWS gerenciada do IAM a um usuário ou função na sua organização: **AWSLakeFormationDataAdmin**
**nota**  
A `AWSLakeFormationDataAdmin` política concede acesso a todos os recursos AWS do Lake Formation. Recomendamos que você sempre use as permissões mínimas necessárias para realizar sua tarefa. Para obter mais informações, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.

1. Adicione a seguinte política embutida ao usuário ou à função. Para obter mais informações, consulte [Políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#inline-policies) no *Guia do usuário do IAM*.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "s3:GetObject",
                   "s3:PutObject"
               ],
               "Resource": [
                   "arn:aws:s3:::{{amzn-s3-demo-source-bucket}}/*",
                   "arn:aws:s3:::{{amzn-s3-demo-logging-bucket}}/*"
               ]
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ram:GetResourceShareInvitations",
                   "ram:AcceptResourceShareInvitation",
                   "glue:CreateDatabase",
                   "glue:DeleteDatabase"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

------

Para obter mais informações sobre a `AWSLakeFormationDataAdmin` política, consulte [Lake Formation Personas e Referência de permissões do IAM](https://docs.aws.amazon.com/) no *Guia do desenvolvedor do AWS Lake Formation*.

## Adicionar um usuário ou função como administrador do Data Lake em Lake Formation (administrador do IAM)
<a name="setting-up-add-lake-formation"></a>

**nota**  
Essa etapa é necessária se você estiver integrando. [Índice e consulta SQL](integrating-athena.md)

Em seguida, o administrador do IAM deve adicionar o usuário ou a função criada na etapa anterior como administrador do data lake no Lake Formation.

**Para adicionar um usuário ou uma função do IAM como administrador do data lake**

1. Abra o console do AWS Lake Formation: [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)
**nota**  
Se esta é a primeira vez que você visita Lake Formation, uma caixa de diálogo **Welcome to Lake Formation** é exibida solicitando que você defina um administrador do Lake Formation.   

![Imagem de uma caixa de diálogo solicitando que você defina um administrador de formação de lago](http://docs.aws.amazon.com/pt_br/healthlake/latest/devguide/images/lf-landing-page.png)


1. Atribua ao novo usuário ou função um administrador de data lake do AWS Lake Formation.
   + *Opção 1:* Se você recebeu a caixa de diálogo **Welcome to Lake Formation**.

     1. Escolha **Adicionar outros AWS usuários ou funções**.

     1. Escolha a **seta para baixo (▼)**.

     1. Escolha o HealthLake administrador que você gostaria que também fosse administrador do Lake Formation.

     1. Escolha **Começar**.
   + *Opção 2:* Use o **painel de navegação (☰)**.

     1. Escolha o **painel de navegação (☰).**

     1. Em **Permissões**, escolha **Funções e tarefas administrativas**.

     1. Na seção **Administradores do Data Lake**, selecione **Escolher administradores**.

     1. Na caixa de diálogo **Gerenciar administradores do data lake**, escolha a **seta para baixo (▼)**. 

     1. Em seguida, selecione ou pesquise os HealthLake administradores, usuários ou funções que você também deseja que sejam administradores do Lake Formation.

     1. Escolha **Salvar**.

1. Altere as configurações de segurança padrão a serem gerenciadas pelo Lake Formation. Os recursos do armazenamento de HealthLake dados precisam ser gerenciados pelo Lake Formation, *não* pelo IAM. Para atualizar, consulte [Alterar o modelo de permissão padrão](https://docs.aws.amazon.com/lake-formation/latest/dg/getting-started-setup.html#setup-change-cat-settings) no *AWS Lake Formation Developer Guide*.

## Crie buckets do S3
<a name="setting-up-create-s3-buckets"></a>

Para importar dados do FHIR R4 AWS HealthLake, dois buckets Amazon S3 são recomendados. O bucket de entrada do Amazon S3 contém os dados FHIR a serem importados e lidos desse bucket HealthLake . O bucket de saída do Amazon S3 armazena os resultados de processamento do trabalho de importação e HealthLake grava (registros) nesse bucket.

**nota**  
Devido à política AWS Identity and Access Management (IAM), seus nomes de bucket do Amazon S3 devem ser exclusivos. Para obter mais informações, consulte as [Regras para nomear buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html) no *Guia do usuário do Amazon Simple Storage Service*.

Para fins deste guia, especificamos os seguintes buckets de entrada e saída do Amazon S3 ao configurar as [permissões de importação](#setting-up-import-permissions) posteriormente nesta seção.
+ Bucket de entrada: `arn:aws:s3:::{{amzn-s3-demo-source-bucket}}`
+ Bucket de saída: `arn:aws:s3:::{{amzn-s3-demo-logging-bucket}}`

Para obter informações adicionais, consulte [Criar um bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) no *Guia do usuário do Amazon S3*.

## Criar um datastore
<a name="setting-up-create-data-store"></a>

Um armazenamento HealthLake de dados é um repositório de dados do FHIR R4 que reside em uma única região. AWS Uma AWS conta pode ter zero ou muitos armazenamentos de dados. HealthLake suporta duas [estratégias de autorização]() de armazenamento de dados.

**Importante**  
Antes de criar um armazenamento de HealthLake dados, revise [as políticas de controle de serviços (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) em sua AWS organização que podem restringir a criação ou o gerenciamento de HealthLake recursos. Os SCPs podem impedir a criação bem-sucedida de armazenamentos de HealthLake dados, mesmo que suas permissões do IAM estejam configuradas corretamente.  
A `datastoreID` é gerado quando você cria um armazenamento HealthLake de dados. Você deve usar o `datastoreID` ao configurar [as permissões de importação](#setting-up-import-permissions) posteriormente nesta seção.

Para criar um armazenamento HealthLake de dados, consulte[Criando um armazenamento HealthLake de dados](managing-data-stores-create.md).

## Configurando permissões para trabalhos de importação
<a name="setting-up-import-permissions"></a>

Antes de importar arquivos para um armazenamento de dados, você deve conceder HealthLake permissão para acessar seus buckets de entrada e saída no Amazon S3. Para conceder HealthLake acesso, você cria uma função de serviço do IAM para HealthLake, adiciona uma política de confiança à função para conceder permissões de HealthLake assumir função e anexa uma política de permissões à função que concede acesso aos seus buckets do Amazon S3.

 Ao criar um trabalho de importação, você especifica o Amazon Resource Name (ARN) dessa função para o. `DataAccessRoleArn` Para obter mais informações sobre funções e políticas de confiança do IAM, consulte [Funções do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).

Depois de configurar a permissão, você estará pronto para importar arquivos para o seu armazenamento de dados com uma tarefa de importação. Para obter mais informações, consulte [Iniciando um trabalho de importação de FHIR](importing-fhir-data-start.md).

**Para configurar permissões de importação**

1. Caso ainda não tenha feito isso, crie um bucket Amazon S3 de destino para os arquivos de log de saída. O bucket do Amazon S3 deve estar na mesma AWS região do serviço, e o Block Public Access deve estar ativado para todas as opções. Para saber mais, consulte Como [usar o Amazon S3 para bloquear o acesso público](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html). Uma chave KMS Amazon-owned ou de propriedade do cliente também deve ser usada para criptografia. Para saber mais sobre o uso de chaves KMS, consulte [Amazon Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html). 

1. Crie uma função de serviço de acesso a dados HealthLake e dê permissão ao HealthLake serviço para assumi-la com a seguinte política de confiança. HealthLake usa isso para gravar o bucket de saída do Amazon S3. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "healthlake.amazonaws.com"
                   ]
               },
               "Action": "sts:AssumeRole",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "{{accountID}}"
                   },
                   "ArnEquals": {
                       "aws:SourceArn": "arn:aws:healthlake:us-west-2:{{111122223333}}:datastore/fhir/{{datastoreID}}"
                   }
               }
           }
       ]
   }
   ```

------

1. Adicione uma política de permissões à função de acesso a dados que permita que ela acesse o bucket do Amazon S3. `amzn-s3-demo-bucket`Substitua pelo nome do seu bucket.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [{
           "Action": [
               "s3:ListBucket",
               "s3:GetBucketPublicAccessBlock",
               "s3:GetEncryptionConfiguration"
           ],
           "Resource": [
               "arn:aws:s3:::{{amzn-s3-demo-source-bucket}}"
           ],
           "Effect": "Allow"
       },
       {
           "Action": [
               "s3:PutObject"
           ],
           "Resource": [
               "arn:aws:s3:::{{amzn-s3-demo-logging-bucket}}/*"
           ],
           "Effect": "Allow"
       },
       {
           "Action": [
               "kms:DescribeKey",
               "kms:GenerateDataKey*"
           ],
           "Resource": [
               "arn:aws:kms:us-east-1:012345678910:key/d330e7fc-b56c-4216-a250-f4c43ef46e83"
           ],
           "Effect": "Allow"
       }]
   }
   ```

------

## Configurando permissões para trabalhos de exportação
<a name="setting-up-export-permissions"></a>

Antes de exportar arquivos de um armazenamento de dados, você deve conceder HealthLake permissão para acessar seu bucket de saída no Amazon S3. Para conceder HealthLake acesso, você cria uma função de serviço do IAM paraHealthLake, adiciona uma política de confiança à função para conceder permissões de HealthLake assumir função e anexa uma política de permissões à função que concede acesso ao seu bucket do Amazon S3.

Se você já criou uma função para HealthLake, você pode reutilizá-la e conceder a ela as permissões adicionais para seu bucket de exportação do Amazon S3 listado neste tópico. Para saber mais sobre as políticas de confiança e os perfis do IAM, consulte [Políticas e permissões do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).

**Importante**  
HealthLake oferece suporte às [solicitações de exportação do SDK nativo](exporting-fhir-data.md) e à operação [FHIR R4](reference-fhir-operations-export.md). `$export` Ações do IAM separadas devem ser fornecidas dependendo da API de exportação que você decidir usar. Isso permite que você `allow` gerencie `deny` as permissões separadamente. Se você quiser restringir as exportações da API REST do HealthLake SDK e do FHIR, aplique as permissões de negação às ações separadas do IAM. As alterações de permissão do usuário do IAM não são necessárias se você der aos usuários acesso total HealthLake a.  
As seguintes HealthLake ações nativas estão disponíveis para exportar dados de um armazenamento de dados usando os AWS SDKs AWS CLI e:
`StartFHIRExportJob`
`DescribeFHIRExportJob`
`ListFHIRExportJobs`
As seguintes ações do IAM estão disponíveis para exportar dados de um armazenamento de HealthLake dados e para cancelar (excluir) um trabalho de exportação usando a operação FHIR: `$export`
`POST`:  
`StartFHIRExportJobWithPost`
`GET`:  
`StartFHIRExportJobWithGet`
`DescribeFHIRExportJobWithGet`
`GetExportedFile`
`DELETE`:  
`CancelFHIRExportJobWithDelete`

O usuário ou função que configura as permissões deve ter permissão para criar funções, criar políticas e anexar políticas às funções. A política do IAM a seguir concede essas permissões.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "healthlake.amazonaws.com"
                }
            }
        }
    ]
}
```

------

**Para configurar permissões de exportação**

1. Caso ainda não tenha feito isso, crie um bucket Amazon S3 de destino para os dados que você exportará do seu armazenamento de dados. O bucket do Amazon S3 deve estar na mesma região da AWS do serviço, e o Block Public Access deve estar ativado para todas as opções. Para saber mais, consulte Como [usar o Amazon S3 para bloquear o acesso público](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html). Uma chave KMS Amazon-owned ou de propriedade do cliente também deve ser usada para criptografia. Para saber mais sobre o uso de chaves KMS, consulte [Amazon Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html). 

1. Se você ainda não o fez, crie uma função de serviço de acesso a dados HealthLake e dê permissão ao HealthLake serviço para assumi-la com a seguinte política de confiança. HealthLakeusa isso para gravar o bucket de saída do Amazon S3. Se você já criou um[Configurando permissões para trabalhos de importação](#setting-up-import-permissions), pode reutilizá-lo e conceder permissões para seu bucket do Amazon S3 na próxima etapa. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "healthlake.amazonaws.com"
                   ]
               },
               "Action": "sts:AssumeRole",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "{{accountID}}"
                   },
                   "ArnEquals": {
                       "aws:SourceArn": "arn:aws:healthlake:us-west-2:{{111122223333}}:datastore/fhir/{{data store ID}}"
                   }
               }
           }
       ]
   }
   ```

------

1. Adicione uma política de permissões à função de acesso a dados que permita que ela acesse seu bucket de saída do Amazon S3. `amzn-s3-demo-bucket`Substitua pelo nome do seu bucket.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [{
           "Action": [
               "s3:ListBucket",
               "s3:GetBucketPublicAccessBlock",
               "s3:GetEncryptionConfiguration"
           ],
           "Resource": [
               "arn:aws:s3:::{{amzn-s3-demo-source-bucket}}"
           ],
           "Effect": "Allow"
       },
       {
           "Action": [
               "s3:PutObject"
           ],
           "Resource": [
               "arn:aws:s3:::{{amzn-s3-demo-logging-bucket}}/*"
           ],
           "Effect": "Allow"
       },
       {
           "Action": [
               "kms:DescribeKey",
               "kms:GenerateDataKey*"
           ],
           "Resource": [
               "arn:aws:kms:us-east-1:012345678910:key/d330e7fc-b56c-4216-a250-f4c43ef46e83"
           ],
           "Effect": "Allow"
       }]
   }
   ```

------

## Instale o   AWS CLI
<a name="setting-up-install-cli"></a>

O AWS CLI é necessário para descrever e listar as propriedades da tarefa de HealthLake importação e exportação. Você também pode solicitar essas informações usando HealthLake SDKs.

**Para configurar o AWS CLI**

1. Faça download e configure a AWS CLI. Para obter instruções, consulte os seguintes tópicos no *Guia do usuário do AWS Command Line Interface *.
   + [Instalando ou atualizando a versão mais recente do AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)
   + [Começando com o AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)

1. No AWS CLI `config` arquivo, adicione um perfil nomeado para o administrador. Você usa esse perfil ao executar os AWS CLI comandos. De acordo com o princípio de segurança do privilégio mínimo, recomendamos que você crie um perfil do IAM separado com privilégios específicos para as tarefas que estão sendo executadas. Para obter mais informações sobre perfis nomeados, consulte [Configurações de arquivos de configuração e credenciais](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) no *Guia do usuário da AWS Command Line Interface *.

   ```
   [default]
   aws_access_key_id = {{default access key ID}}
   aws_secret_access_key = {{default secret access key}}
   region = {{region}}
   ```

1. Verifique a configuração usando o comando `help`.

   ```
   aws healthlake help
   ```

   Se o AWS CLI estiver configurado corretamente, você verá uma breve descrição AWS HealthLake e uma lista dos comandos disponíveis.