

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 设置 AWS HealthImaging
<a name="getting-started-setting-up"></a>

在使用 AWS 之前，您必须设置您的 AWS 环境 HealthImaging。以下主题是下一节中[教程](getting-started-tutorial.md)的先决条件。

**Topics**
+ [注册获取 AWS 账户](#sign-up-for-aws)
+ [创建 S3 存储桶](#setting-up-create-s3-buckets)
+ [创建数据存储](#setting-up-create-data-store)
+ [创建具有 HealthImaging 完全访问权限的 IAM 用户](#setting-up-create-iam-user)
+ [为导入创建 IAM 角色](#setting-up-create-iam-role-import)
+ [安装   AWS CLI （可选）](#setting-up-install-cli)

## 注册获取 AWS 账户
<a name="sign-up-for-aws"></a>

要开始使用 AWS，你需要一个 AWS 账户。有关创建的信息 AWS 账户，请参阅《*AWS 账户管理 参考指南》 AWS 账户中的[入门](https://docs.aws.amazon.com//accounts/latest/reference/getting-started.html)指南*。

## 创建 S3 存储桶
<a name="setting-up-create-s3-buckets"></a>

要将 DICOM P10 数据导入 AWS HealthImaging，建议使用两个 Amazon S3 存储桶。Amazon S3 输入存储桶存储要导入并从该存储桶 HealthImaging 读取的 DICOM P10 数据。Amazon S3 输出存储桶存储导入任务的处理结果并 HealthImaging 写入该存储桶。有关此内容的直观展示，请参阅位于 [了解导入任务](understanding-import-jobs.md) 的示意图。

**注意**  
根据 AWS Identity and Access Management (IAM) 政策，您的 Amazon S3 存储桶名称必须是唯一的。有关更多信息，请参阅*《Amazon Simple Storage Service 用户指南》*中的[存储桶命名规则](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html)。

出于本指南的目的，我们在 [IAM 角色中指定以下 Amazon S3 输入和输出存储桶进行导入](#setting-up-create-iam-role-import)。
+ 输入存储桶: `arn:aws:s3:::{{amzn-s3-demo-source-bucket}}`
+ 输出桶：`arn:aws:s3:::{{amzn-s3-demo-logging-bucket}}`

有关更多信息，请参阅*《Amazon S3 用户指南》*中的[创建存储桶](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)。

## 创建数据存储
<a name="setting-up-create-data-store"></a>

当您导入医学影像数据时，AWS HealthImaging [数据存储](getting-started-concepts.md#concept-data-store)会保存转换后的 DICOM P10 文件（称为[图像](getting-started-concepts.md#concept-image-set)集）的结果。有关此内容的直观展示，请参阅位于 [了解导入任务](understanding-import-jobs.md) 的示意图。

**提示**  
创建数据存储时会生成 `datastoreID`。在本节后面完成导入 [trust relationship](#anchor-trust-relationship) 时，必须使用 `datastoreID`。

要创建数据存储，请参阅 [创建数据存储](create-data-store.md)。

## 创建具有 HealthImaging 完全访问权限的 IAM 用户
<a name="setting-up-create-iam-user"></a>

**最佳实践**  
我们建议您创建单独的 IAM 用户，以满足不同的需求，例如导入、数据访问和数据管理。这与在*AWS Well-Architected框架*中[授予最低权限访问权限](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html)一致。  
就下一节的[教程](getting-started-tutorial.md)而言，您将使用单个 IAM 用户。

**若要创建 IAM 用户**

1. 按照 [IAM 用户指南中有关在您的 AWS 账户中创建](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) *IAM 用户的*说明进行操作。为澄清起见，请考虑命名用户为 `ahiadmin`（或类似名称）。

1. 将托管的 IAM 策略 `AWSHealthImagingFullAccess` 分配给 IAM 用户。有关更多信息，请参阅 [AWS 托管策略： AWSHealthImagingFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSHealthImagingFullAccess)。
**注意**  
可以缩小 IAM 权限的范围。有关更多信息，请参阅 [AWS AWS 的托管策略 HealthImaging](security-iam-awsmanpol.md)。

## 为导入创建 IAM 角色
<a name="setting-up-create-iam-role-import"></a>

**注意**  
以下说明涉及一个 AWS Identity and Access Management (IAM) 角色，该角色授予对 Amazon S3 存储桶的读取和写入权限，以导入您的 DICOM 数据。尽管下一节的[教程](getting-started-tutorial.md)需要该角色，但我们建议您使用 [AWS AWS 的托管策略 HealthImaging](security-iam-awsmanpol.md) 为用户、群组和角色添加 IAM 权限，因为使用它们比自己编写策略更容易。

IAM 角色是可在账户中创建的一种具有特定权限的 IAM 身份。要启动导入任务，必须将调用 `StartDICOMImportJob` 操作的 IAM 角色附加到用户策略，该策略允许访问用于读取 DICOM P10 数据和存储导入任务处理结果的 Amazon S3 存储桶。还必须为其分配信任关系（策略），使 AWS HealthImaging 能够担任该角色。

**为导入创建 IAM 角色**

1. 使用[ IAM 控制台](https://console.aws.amazon.com/iam)，创建名为 `ImportJobDataAccessRole` 的角色。您将在下一节的[教程](getting-started-tutorial.md)中使用此角色。有关更多信息，请参阅*《IAM 用户指南》*中的[创建 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)。
**提示**  
就本指南而言，[启动导入任务](start-dicom-import-job.md) 中的代码示例引用了 `ImportJobDataAccessRole` IAM 角色。

1. 对于 IAM 角色附加 IAM 权限策略。此权限策略授予对 Amazon S3 输入和输出存储桶的访问权限。将以下权限策略附加到此 IAM 角色 `ImportJobDataAccessRole`。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Action": [
                   "s3:ListBucket"
               ],
               "Resource": [
                   "arn:aws:s3:::{{amzn-s3-demo-source-bucket}}",
                   "arn:aws:s3:::{{amzn-s3-demo-logging-bucket}}"
               ],
               "Effect": "Allow"
           },
           {
               "Action": [
                   "s3:GetObject"
               ],
               "Resource": [
                   "arn:aws:s3:::{{amzn-s3-demo-source-bucket}}/*"
               ],
               "Effect": "Allow"
           },
           {
               "Action": [
                   "s3:PutObject"
               ],
               "Resource": [
                   "arn:aws:s3:::{{amzn-s3-demo-logging-bucket}}/*"
               ],
               "Effect": "Allow"
           }
       ]
   }
   ```

------

1. 将以下信任关系（策略）附加到 `ImportJobDataAccessRole` IAM 角色。信托策略需要您在完成第 [创建数据存储](#setting-up-create-data-store) 部分时生成的 `datastoreId`。本主题之后的[教程](getting-started-tutorial.md)假设您使用的是一个 AWS HealthImaging 数据存储，但使用的是特定于数据存储的 Amazon S3 存储桶、IAM 角色和信任策略。
**注意**  
此信任策略中的`Condition`封锁可确保只有您的特定 AWS HealthImaging 数据存储可以访问，从而防止出现混乱的代理问题。有关此安全措施的更多信息，请参阅[中的Cross-service 混淆副手预防 HealthImaging](https://docs.aws.amazon.com/healthimaging/latest/devguide/cross-service-confused-deputy-prevention.html)。

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "medical-imaging.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

要了解有关在 AWS 中创建和使用 IAM 策略的更多信息 HealthImaging，请参阅[适用于 AWS 的 Identity and Access 管理 HealthImaging](security-iam.md)。

有关 IAM 角色的更多一般信息，请参阅*《IAM 用户指南》*中的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。有关 IAM Policy 的更多一般信息，请参阅《*IAM 用户指南*》中的 [IAM 策略与权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。

## 安装   AWS CLI （可选）
<a name="setting-up-install-cli"></a>

如果您使用的是 AWS Command Line Interface，则需要执行以下步骤。如果您使用的是 AWS 管理控制台 或 S AWS DK，则可以跳过以下步骤。

**要设置 AWS CLI**

1. 下载并配置 AWS CLI。有关说明，请参阅*AWS Command Line Interface 用户指南*中的以下主题。
   + [安装或更新最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)
   + [开始使用 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)

1. 在 AWS CLI `config`文件中，为管理员添加已命名的配置文件。运行 AWS CLI 命令时使用此配置文件。根据最低权限的安全原则，我们建议您创建一个单独的 IAM 角色，该角色具有特定于正在执行的任务的权限。有关已命名配置文件的更多信息，请参阅*《AWS Command Line Interface 用户指南》*中的[配置和凭证文件设置](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html)。

   ```
   [default]
   aws_access_key_id = {{default access key ID}}
   aws_secret_access_key = {{default secret access key}}
   region = {{region}}
   ```

1. 请使用以下 `help` 命令验证设置：

   ```
   aws medical-imaging help
   ```

   如果配置 AWS CLI 正确，您将看到 AWS 的简要描述 HealthImaging和可用命令列表。