Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il servizio FHIR® supporta l'operazione specificata da HL7 per l'esportazione $exportdei dati FHIR da un server FHIR. Nell'implementazione del servizio FHIR, quando si chiama l'endpoint $export , il servizio FHIR esporta i dati in un account di archiviazione di Azure preconfigurato. L'account di archiviazione deve essere un account BLOB o Azure Data Lake Storage Gen2 (ADLS Gen2).
Questo articolo descrive come configurare le impostazioni di esportazione per il servizio FHIR e concedere al servizio FHIR l'autorizzazione per accedere all'account di archiviazione. Se il servizio FHIR non rientra nel limite di rete dell'account di archiviazione, è possibile configurare l'accesso consentendo al servizio FHIR come servizio attendibile Microsoft o consentendo a indirizzi IP specifici di accedere all'account di archiviazione. Per ulteriori informazioni, vedere Operazione di protezione del servizio $export FHIR.
Prerequisiti
- Un servizio FHIR Per crearne uno, vedere Distribuire il servizio FHIR.
- Account BLOB di Azure o Azure Data Lake Storage Gen2 (ADLS Gen2).
- È necessario disporre del ruolo applicazione esportatore dati FHIR. Per altre informazioni sui ruoli applicazione, vedere Autenticazione e autorizzazione per il servizio FHIR.
Passaggio 1: Abilitare l'identità gestita per il servizio FHIR
Il primo passaggio per configurare l'ambiente per l'esportazione dei dati FHIR consiste nell'abilitare un'identità gestita assegnata dal sistema per il servizio FHIR. Il servizio FHIR usa questa identità gestita per autenticare e accedere all'account ADLS Gen2 durante un'operazione $export . Per altre informazioni sulle identità gestite in Azure, vedere Informazioni sulle identità gestite per le risorse di Azure.
Nel portale di Azure, naviga fino al servizio FHIR.
Nel menu a sinistra selezionare Identità.
Nella scheda Assegnata dal sistema impostare l'opzione Stato su Sì e quindi selezionare Salva.
Quando vengono visualizzati i pulsanti Sì e No, selezionare Sì per abilitare l'identità gestita per il servizio FHIR. Dopo aver abilitato l'identità di sistema, viene visualizzato un valore ID oggetto (entità) per il servizio FHIR.
Passaggio 2: Concedere l'autorizzazione nell'account di archiviazione per l'accesso al servizio FHIR
Accedi al tuo account di archiviazione nel portale di Azure.
Nell'account di archiviazione selezionare Controllo di accesso (IAM).
Seleziona Aggiungi>Aggiungi assegnazione ruolo. Se l'opzione Aggiungi assegnazione di ruolo è disattivata, chiedere all'amministratore di Azure di assistenza per questo passaggio.
Nella scheda Ruolo selezionare il ruolo Collaboratore dati BLOB di archiviazione.
Nella scheda Membri selezionare Identità gestita e quindi Seleziona membri.
Seleziona la tua sottoscrizione di Azure.
Selezionare Identità gestita assegnata dal sistema e quindi selezionare l'identità gestita abilitata in precedenza per il servizio FHIR.
Nella scheda Rivedi e assegna selezionare Rivedi e assegna per assegnare il ruolo Collaboratore dati BLOB di archiviazione al servizio FHIR.
Per altre informazioni sull'assegnazione di ruoli nel portale di Azure, vedere Ruoli di Azure integrati.
A questo momento è possibile configurare il servizio FHIR impostando l'account ADLS Gen2 come account di archiviazione predefinito per l'esportazione.
Passaggio 3: Specificare l'account di archiviazione per l'esportazione del servizio FHIR
Specificare l'account di archiviazione usato dal servizio FHIR per l'esportazione dei dati.
Nota
Nell'account di archiviazione, se non si assegna il ruolo Storage Blob Data Contributor al servizio FHIR, l'operazione $export fallisce.
Passare alle impostazioni del servizio FHIR.
Selezionare Esporta.
Selezionare il nome dell'account di archiviazione dall'elenco. Se è necessario cercare l'account di archiviazione, usare i filtri Nome, Gruppo di risorse o Area .
Nota
È possibile registrare gli account di archiviazione come destinazione per le operazioni $export solo nella stessa sottoscrizione del servizio FHIR.
Proteggere l'operazione $export del servizio FHIR
Per esportare in modo sicuro i dati dal servizio FHIR all'esterno del limite di rete dell'account di archiviazione, usare una delle opzioni seguenti:
- Consentire al servizio FHIR di accedere all'account di archiviazione come servizio attendibile Microsoft.
- Consentire a indirizzi IP specifici associati al servizio FHIR di accedere all'account di archiviazione. Questa opzione consente due configurazioni diverse a seconda che l'account di archiviazione si trova nella stessa area di Azure del servizio FHIR.
Consentire al servizio FHIR di essere un servizio attendibile di Microsoft
Per abilitare l'area di lavoro FHIR come servizio Microsoft attendibile, seguire questa procedura:
Nel portale di Azure passare all'account di archiviazione.
Nel menu a sinistra selezionare Sicurezza e rete>.
Nella scheda Accesso pubblico , in Accesso alla rete pubblica selezionare Gestisci.
Selezionare Abilita dalle reti selezionate.
Nell'elenco a discesa Tipo di risorsa selezionare Microsoft.HealthcareApis/workspaces. Nell'elenco a discesa Nome istanza selezionare l'area di lavoro.
Nella sezione Eccezioni selezionare la casella di controllo Consenti ai servizi Microsoft attendibili di accedere a questo account di archiviazione .
Selezionare Salva per mantenere le impostazioni.
Per abilitare il servizio FHIR come servizio Microsoft attendibile, usare i comandi di PowerShell seguenti:
Eseguire il comando di PowerShell seguente per installare il modulo PowerShell nell'ambiente
Az.Storagelocale. Usare questo modulo per configurare gli account di archiviazione di Azure usando PowerShell.Install-Module Az.Storage -Repository PsGallery -AllowClobber -ForceUsare il comando di PowerShell seguente per impostare l'istanza del servizio FHIR selezionata come risorsa attendibile per l'account di archiviazione. Assicurarsi che tutti i parametri elencati siano definiti nell'ambiente PowerShell.
È necessario eseguire il
Add-AzStorageAccountNetworkRulecomando come amministratore nell'ambiente locale. Per altre informazioni, vedere Configurare i firewall e le reti virtuali di Archiviazione di Azure.$subscription="xxx" $tenantId = "xxx" $resourceGroupName = "xxx" $storageaccountName = "xxx" $workspacename="xxx" $fhirname="xxx" $resourceId = "/subscriptions/$subscription/resourceGroups/$resourceGroupName/providers/Microsoft.HealthcareApis/workspaces/$workspacename/fhirservices/$fhirname" Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $storageaccountName -TenantId $tenantId -ResourceId $resourceIdPer verificare che il servizio FHIR venga aggiunto come servizio Microsoft attendibile per l'account di archiviazione, passare all'account di archiviazione nel portale di Azure e selezionare Visualizzazione JSON. Verificare che il servizio FHIR sia elencato in
properties.networkAcls.resourceAccessRules.
È ora possibile esportare in modo sicuro i dati FHIR nell'account di archiviazione.
L'account di archiviazione si trova nelle reti selezionate e non è accessibile pubblicamente. Per accedere in modo sicuro ai file, è possibile abilitare gli endpoint privati per l'account di archiviazione.
Consentire a indirizzi IP specifici di accedere all'account di archiviazione di Azure da altre aree di Azure
- Nel portale di Azure, andare all'account di archiviazione.
- Nel menu a sinistra selezionare Sicurezza e rete>.
- Nella scheda Accesso pubblico in Accesso alla rete pubblica selezionare Gestisci.
- Selezionare Abilitato nelle reti selezionate.
- Immettere gli indirizzi IP nella sezione Indirizzi IPv4 .
La tabella seguente elenca gli indirizzi IP pubblici per il servizio FHIR in aree di Azure diverse. È possibile usare questi indirizzi IP per consentire l'accesso all'account di archiviazione dal servizio FHIR in altre aree.
| Area di Azure | Indirizzo IP pubblico |
|---|---|
| Australia orientale | 20.53.44.80 |
| Canada centrale | 20.48.192.84 |
| Stati Uniti centrali | 52.182.208.31 |
| Stati Uniti orientali | 20.62.128.148 |
| Stati Uniti orientali 2 | 20.49.102.228 |
| Stati Uniti orientali 2 EUAP | 20.39.26.254 |
| Germania settentrionale | 51.116.51.33 |
| Germania centro-occidentale | 51.116.146.216 |
| Giappone orientale | 20.191.160.26 |
| Corea centrale | 20.41.69.51 |
| Stati Uniti centro-settentrionali | 20.49.114.188 |
| Europa settentrionale | 52.146.131.52 |
| Sudafrica settentrionale | 102.133.220.197 |
| Stati Uniti centro-meridionali | 13.73.254.220 |
| Asia sud-orientale | 23.98.108.42 |
| Svizzera settentrionale | 51.107.60.95 |
| Regno Unito meridionale | 51.104.30.170 |
| Regno Unito occidentale | 51.137.164.94 |
| Stati Uniti centro-occidentali | 52.150.156.44 |
| Europa occidentale | 20.61.98.66 |
| Stati Uniti occidentali 2 | 40.64.135.77 |
Consentire a indirizzi IP specifici di accedere all'account di archiviazione di Azure nella stessa area
Il processo di configurazione per gli indirizzi IP nella stessa area è simile alla procedura precedente, ad eccezione del fatto che si usa un intervallo di indirizzi IP specifico in formato CIDR (Classless Inter-Domain Routing), ad esempio 100.64.0.0/10. È necessario specificare l'intervallo di indirizzi IP (da 100.64.0.0 a 100.127.255.255) perché il servizio FHIR alloca un indirizzo IP ogni volta che si effettua una richiesta di operazione.
Nota
È possibile usare un indirizzo IP privato compreso nell'intervallo 10.0.2.0/24, ma non esiste alcuna garanzia che l'operazione abbia esito positivo. Se la richiesta di operazione ha esito negativo, è possibile riprovare. Tuttavia, la richiesta non riesce finché non si usa un indirizzo IP compreso nell'intervallo 100.64.0.0/10.
Questo comportamento di rete per gli intervalli di indirizzi IP è progettato. L'alternativa consiste nel configurare l'account di archiviazione in un'area diversa.
Passaggi successivi
Nota
FHIR® è un marchio registrato di HL7 ed è usato con l'autorizzazione di HL7.