Configurare le impostazioni di importazione nel servizio FHIR in Azure Health Data Services

Il servizio FHIR® supporta l'operazione $import per l'importazione di dati FHIR da un server FHIR. Nell'implementazione del servizio FHIR, quando si chiama l'endpoint $import , il servizio FHIR importa i dati in un account di archiviazione di Azure preconfigurato. L'account di archiviazione deve essere un account BLOB o Azure Data Lake Storage Gen2 (ADLS Gen2).

Questo articolo descrive come configurare le impostazioni di importazione per il servizio FHIR e concedere al servizio FHIR l'autorizzazione per accedere all'account di archiviazione. Se il servizio FHIR non rientra nel limite di rete dell'account di archiviazione, è possibile configurare l'accesso consentendo al servizio FHIR come servizio attendibile Microsoft o consentendo a indirizzi IP specifici di accedere all'account di archiviazione. Per ulteriori informazioni, vedere Operazione di protezione del servizio $import FHIR.

Prerequisiti

Passaggio 1: Abilitare un'identità gestita nel servizio FHIR per l'importazione

Abilitare prima di tutto un'identità gestita assegnata dal sistema nel servizio. Usare questa identità per concedere al servizio FHIR l'accesso all'account di archiviazione. Per altre informazioni sulle identità gestite in Azure, vedere Informazioni sulle identità gestite per le risorse di Azure.

Per abilitare un'identità gestita nel servizio FHIR:

  1. Nel portale di Azure, naviga fino al servizio FHIR.
  2. Nel menu a sinistra selezionare Identità.
  3. Nella scheda Assegnata dal sistema impostare l'opzione Stato su e quindi selezionare Salva.
  4. Quando vengono visualizzati i pulsanti Sì e No, selezionare Sì per abilitare l'identità gestita per il servizio FHIR. Dopo aver abilitato l'identità di sistema, viene visualizzato un valore ID oggetto (entità) per il servizio FHIR.

Screenshot del riquadro Identità per il servizio FHIR con l'opzione Stato impostata su Sì.

Passaggio 2: Assegnare le autorizzazioni di archiviazione al servizio FHIR

Usare la procedura seguente per assegnare le autorizzazioni per accedere all'account di archiviazione.

  1. Nell'account di archiviazione passare a Controllo di accesso (IAM).

  2. Selezionare Aggiungi un'assegnazione di ruolo. Se l'opzione per l'aggiunta di un'assegnazione di ruolo non è disponibile, chiedere all'amministratore di Azure di assegnare l'autorizzazione per eseguire questo passaggio.

    Per altre informazioni sull'assegnazione dei ruoli nel portale di Azure, vedere Ruoli predefiniti di Azure.

  3. Aggiungere al server FHIR il ruolo di Collaboratore ai dati dei BLOB di archiviazione.

  4. Seleziona Salva.

Screenshot della pagina per l'aggiunta di un'assegnazione di ruolo.

A questo momento è possibile selezionare l'account di archiviazione per l'importazione.

Passaggio 3: Impostare la configurazione di importazione per il servizio FHIR

È possibile impostare la configurazione di importazione per il servizio FHIR tramite le impostazioni di importazione nel portale di Azure oppure usando un modello di Azure Resource Manager (modello arm) o un'API REST.

Annotazioni

Se non si assegnano autorizzazioni di accesso alle risorse di archiviazione al servizio FHIR, l'operazione import non riesce.

Per impostare la configurazione di importazione tramite il portale:

  1. Nel portale di Azure, naviga fino al servizio FHIR.
  2. Nel menu a sinistra selezionare Importa.
  3. Immettere le informazioni necessarie, ad esempio il nome dell'account di archiviazione, e selezionare la modalità di importazione. La modalità di importazione può essere iniziale o incrementale. Per altre informazioni sulle due modalità di importazione, vedere Importare dati FHIR.
  4. Selezionare Salva per mantenere le impostazioni.

Screenshot delle impostazioni di importazione FHIR nel portale di Azure.

Proteggere l'operazione di importazione del servizio FHIR

Per importare in modo sicuro i dati dal servizio FHIR all'esterno del limite di rete dell'account di archiviazione, usare una delle opzioni seguenti:

  • Abilitare il servizio FHIR come servizio Microsoft attendibile.
  • Consentire a indirizzi IP specifici associati al servizio FHIR di accedere all'account di archiviazione da altre aree di Azure.
  • Consentire a indirizzi IP specifici associati al servizio FHIR di accedere all'account di archiviazione nella stessa area del servizio FHIR.

Abilitare il servizio FHIR come servizio Microsoft attendibile

Per abilitare l'area di lavoro FHIR come servizio Microsoft attendibile, seguire questa procedura:

Assicurarsi che l'ambito di accesso alla rete pubblica dell'account di archiviazione sia abilitato per le reti selezionate.

  1. Nel portale di Azure passare all'account BLOB o Data Lake Storage Gen2.

  2. Nel menu a sinistra selezionare Sicurezza e rete>.

  3. Nella scheda Accesso pubblico in Accesso alla rete pubblica selezionare Gestisci.

    Screenshot delle impostazioni di rete di Archiviazione di Azure.

  4. Selezionare Abilita dalle reti selezionate.

  5. Nell'elenco a discesa Tipo di risorsa selezionare Microsoft.HealthcareApis/workspaces. Nell'elenco a discesa Nome istanza selezionare l'area di lavoro.

  6. Nella sezione Eccezioni selezionare la casella di controllo Consenti ai servizi Microsoft attendibili di accedere a questo account di archiviazione . Screenshot che mostra l'opzione per consentire ai servizi Microsoft attendibili di accedere a questo account di archiviazione.

  7. Selezionare Salva per mantenere le impostazioni.

Per abilitare il servizio FHIR come servizio Microsoft attendibile tramite PowerShell, usare i comandi seguenti:

  1. Eseguire il comando di PowerShell seguente per installare il modulo PowerShell nell'ambiente Az.Storage locale. Usare questo modulo per configurare gli account di archiviazione di Azure usando PowerShell.

    Install-Module Az.Storage -Repository PsGallery -AllowClobber -Force

  2. Usare il comando di PowerShell seguente per impostare l'istanza del servizio FHIR selezionata come risorsa attendibile per l'account di archiviazione. Assicurarsi che tutti i parametri elencati siano definiti nell'ambiente PowerShell.

    È necessario eseguire il Add-AzStorageAccountNetworkRule comando come amministratore nell'ambiente locale. Per altre informazioni, vedere Configurare i firewall e le reti virtuali di Archiviazione di Azure.

    $subscription="xxx"
$tenantId = "xxx"
$resourceGroupName = "xxx"
$storageaccountName = "xxx"
$workspacename="xxx"
$fhirname="xxx"
$resourceId = "/subscriptions/$subscription/resourceGroups/$resourceGroupName/providers/Microsoft.HealthcareApis/workspaces/$workspacename/fhirservices/$fhirname"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $storageaccountName -TenantId $tenantId -ResourceId $resourceId

È ora possibile importare in modo sicuro i dati FHIR dall'account di archiviazione. L'account di archiviazione si trova nelle reti selezionate e non è accessibile pubblicamente. Per accedere in modo sicuro ai file, usare gli endpoint privati per l'account di archiviazione.

Consentire a indirizzi IP specifici di accedere all'account di archiviazione di Azure da altre aree di Azure

  1. Nel portale di Azure, andare all'account di archiviazione.
  2. Nel menu a sinistra selezionare Sicurezza e rete>.
  3. Nella scheda Accesso pubblico in Accesso alla rete pubblica selezionare Gestisci.
  4. Selezionare Abilitato nelle reti selezionate.
  5. Immettere gli indirizzi IP nella sezione Indirizzi IPv4 .

Screenshot della pagina per consentire gli indirizzi IP pubblici selezionati.

La tabella seguente elenca gli indirizzi IP pubblici per il servizio FHIR in aree di Azure diverse. È possibile usare questi indirizzi IP per consentire l'accesso all'account di archiviazione dal servizio FHIR in altre aree.

Azure region Indirizzo IP pubblico
Australia East 20.53.44.80
Canada Central 20.48.192.84
Central US 52.182.208.31
East US 20.62.128.148
Stati Uniti orientali 2 20.49.102.228
Stati Uniti orientali 2 EUAP 20.39.26.254
Germania settentrionale 51.116.51.33
Germania centro-occidentale 51.116.146.216
Japan East 20.191.160.26
Korea Central 20.41.69.51
Stati Uniti centro-settentrionali 20.49.114.188
North Europe 52.146.131.52
Sudafrica settentrionale 102.133.220.197
Stati Uniti centro-meridionali 13.73.254.220
Sud-est asiatico 23.98.108.42
Switzerland North 51.107.60.95
UK South 51.104.30.170
UK West 51.137.164.94
Stati Uniti centro-occidentali 52.150.156.44
West Europe 20.61.98.66
West US 2 (Regione Ovest degli Stati Uniti 2) 40.64.135.77

Consentire a indirizzi IP specifici di accedere all'account di archiviazione di Azure nella stessa area

Il processo di configurazione per gli indirizzi IP nella stessa area è simile alla procedura precedente, ad eccezione del fatto che si usa un intervallo di indirizzi IP specifico in formato CIDR (Classless Inter-Domain Routing), ad esempio 100.64.0.0/10. È necessario specificare l'intervallo di indirizzi IP (da 100.64.0.0 a 100.127.255.255) perché il servizio FHIR alloca un indirizzo IP ogni volta che si effettua una richiesta di operazione.

Annotazioni

È possibile usare un indirizzo IP privato compreso nell'intervallo 10.0.2.0/24, ma non esiste alcuna garanzia che l'operazione abbia esito positivo. Se la richiesta di operazione ha esito negativo, è possibile riprovare. Tuttavia, la richiesta non riesce finché non si usa un indirizzo IP compreso nell'intervallo 100.64.0.0/10.

Questo comportamento di rete per gli intervalli di indirizzi IP è progettato. L'alternativa consiste nel configurare l'account di archiviazione in un'area diversa.

Passaggi successivi

Importare dati FHIR

Annotazioni

FHIR® è un marchio registrato di HL7 e viene usato con l'autorizzazione di HL7.

  • Last updated on