Настройка параметров импорта в службе FHIR в Службах данных Здравоохранения Azure

Служба FHIR поддерживает $import операцию , указанную HL7 для импорта данных FHIR® с сервера FHIR. При вызове конечной $import точки служба FHIR импортирует данные в предварительно настроенную учетную запись хранения Azure. Учетная запись хранения должна быть учетной записью Blob или Azure Data Lake Storage второго поколения (ADLS Gen2).

В этой статье описывается, как настроить параметры импорта для службы FHIR и предоставить службе FHIR разрешение на доступ к учетной записи хранения. Если служба FHIR находится за пределами сетевой границы учетной записи хранения, вы можете настроить доступ, разрешая службе FHIR в качестве доверенной службы Майкрософт или разрешая определенным IP-адресам доступ к учетной записи хранения. Дополнительные сведения см. в разделе "Защита операции службы $import FHIR".

Необходимые условия

Шаг 1: Включите управляемую идентичность для службы FHIR для импорта

Сначала включите системно назначенную управляемую идентичность для службы. Используйте это удостоверение, чтобы предоставить службе FHIR доступ к учетной записи хранения. Дополнительные сведения об управляемых удостоверениях в Azure см. в разделе "Сведения об управляемых удостоверениях для ресурсов Azure".

Чтобы включить управляемую учетную запись в службе FHIR, выполните следующие действия.

  1. На портале Azure перейдите к службе FHIR.
  2. В меню слева выберите "Удостоверение".
  3. На вкладке "Назначено системой" установите для параметра "Состояние" значение "Вкл" и нажмите кнопку "Сохранить".
  4. Когда отображаются кнопки "Да" и "Нет", выберите "Да", чтобы включить управляемое удостоверение для службы FHIR. После включения системного удостоверения вы увидите значение идентификатора объекта (субъекта) для службы FHIR.

Снимок экрана панели идентификации для службы FHIR с установленным параметром

Шаг 2. Назначение разрешений на хранение службе FHIR

Чтобы назначить разрешения для доступа к учетной записи хранения, выполните следующие действия.

  1. В учетной записи хранения перейдите в раздел Управление доступом (IAM).

  2. выберите Добавить назначение ролей. Если параметр добавления назначения ролей недоступен, попросите администратора Azure назначить вам разрешение на выполнение этого шага.

    Дополнительные сведения о назначении ролей в портал Azure см. в статье о встроенных ролях Azure.

  3. Добавьте роль Storage Blob Data Contributor в службу FHIR.

  4. Выберите Сохранить.

Снимок экрана: страница добавления назначения ролей.

Теперь вы готовы выбрать учетную запись хранения для импорта.

Шаг 3. Настройка конфигурации импорта для службы FHIR

Задайте конфигурацию импорта для службы FHIR с помощью параметров импорта на портале Azure.

Примечание.

Если вы не назначаете разрешения на доступ к хранилищу службе FHIR, операция завершается ошибкой import .

  1. На портале Azure перейдите к службе FHIR.
  2. В меню слева выберите "Импорт".
  3. Введите необходимые сведения, например имя учетной записи хранения, и выберите режим импорта. Режим импорта может быть начальным или добавочным. Дополнительные сведения о двух режимах импорта см. в разделе "Импорт данных FHIR".
  4. Нажмите кнопку "Сохранить", чтобы сохранить параметры.

Снимок экрана: параметры импорта FHIR на портале Azure.

Защита операции импорта службы FHIR

Чтобы безопасно импортировать данные из службы FHIR за пределами сетевой границы учетной записи хранения, используйте один из следующих вариантов:

  • Включите службу FHIR в качестве доверенной службы Майкрософт.
  • Разрешите определенным IP-адресам, связанным со службой FHIR, доступ к учетной записи хранения из других регионов Azure.
  • Разрешить определенным IP-адресам, связанным со службой FHIR, получить доступ к учетной записи хранения в том же регионе, что и служба FHIR.

Включение службы FHIR в качестве доверенной службы Майкрософт

Чтобы включить рабочую область FHIR в качестве доверенной службы Майкрософт, выполните следующие действия.

Убедитесь, что область доступа к общедоступной сети учетной записи хранения включена для выбранных сетей.

  1. На портале Azure перейдите к учетной записи Blob или Data Lake Storage 2-го поколения.

  2. В меню слева выберите "Безопасность и сеть".>

  3. На вкладке "Общедоступный доступ" в разделе "Доступ к общедоступной сети" выберите "Управление".

    Снимок экрана: параметры сети службы хранилища Azure.

  4. Выберите Включить для выбранных сетей.

  5. В раскрывающемся списке "Тип ресурса" выберите Microsoft.HealthcareApis/workspaces. В раскрывающемся списке с названием Instance name выберите рабочую область.

  6. В разделе "Исключения" установите флажок "Разрешить доверенным службам Майкрософт" доступ к этой учетной записи хранения . Снимок экрана, на котором показано, как разрешить доверенным службам Майкрософт доступ к этой учетной записи хранения.

  7. Нажмите кнопку "Сохранить", чтобы сохранить параметры.

Чтобы включить службу FHIR в качестве доверенной службы Майкрософт через PowerShell, используйте следующие команды:

  1. Выполните следующую команду PowerShell, чтобы установить Az.Storage модуль PowerShell в локальной среде. Используйте этот модуль для настройки учетных записей хранения Azure с помощью PowerShell.

    Install-Module Az.Storage -Repository PsGallery -AllowClobber -Force 
    
  2. Используйте следующую команду PowerShell, чтобы задать выбранный экземпляр службы FHIR в качестве доверенного ресурса для учетной записи хранения. Убедитесь, что все перечисленные параметры определены в среде PowerShell.

    Необходимо выполнить Add-AzStorageAccountNetworkRule команду от имени администратора в локальной среде. Дополнительные сведения см. в статье Настройка брандмауэров службы хранилища Azure и виртуальных сетей.

    $subscription="xxx"
    $tenantId = "xxx"
    $resourceGroupName = "xxx"
    $storageaccountName = "xxx"
    $workspacename="xxx"
    $fhirname="xxx"
    $resourceId = "/subscriptions/$subscription/resourceGroups/$resourceGroupName/providers/Microsoft.HealthcareApis/workspaces/$workspacename/fhirservices/$fhirname"
    
    Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $storageaccountName -TenantId $tenantId -ResourceId $resourceId
    

Теперь вы готовы безопасно импортировать данные FHIR из учетной записи хранения. Учетная запись хранения находится в выбранных сетях и не является общедоступной. Чтобы безопасно получить доступ к файлам, используйте частные конечные точки для учетной записи хранения.

Разрешить доступ к учетной записи хранения Azure с помощью определенных IP-адресов из других регионов Azure

  1. Войдите в свою учетную запись хранения на портале Azure.
  2. В меню слева выберите "Безопасность и сеть".>
  3. На вкладке "Общедоступный доступ" в разделе "Доступ к общедоступной сети" выберите "Управление".
  4. Выберите "Включено" из выбранных сетей.
  5. Введите IP-адреса в разделе IPv4-адреса.

Скриншот страницы для разрешения использования выбранных общедоступных IP-адресов.

В следующей таблице перечислены общедоступные IP-адреса для службы FHIR в разных регионах Azure. Эти IP-адреса можно использовать для предоставления доступа к учетной записи хранения из службы FHIR в других регионах.

Область Azure Общедоступный IP-адрес
Восточная Австралия 20.53.44.80
Центральная Канада 20.48.192.84
Центральная часть США 52.182.208.31
Восточная часть США 20.62.128.148
Восточная часть США 2 20.49.102.228
Восток США 2 EUAP 20.39.26.254
Северная Германия 51.116.51.33
Западно-Центральная Германия 51.116.146.216
Восточная Япония 20.191.160.26
Центральная Корея 20.41.69.51
Центрально-северная часть США 20.49.114.188
Северная Европа 52.146.131.52
Север Южной Африки 102.133.220.197
Центрально-южная часть США 13.73.254.220
Юго-Восточная Азия 23.98.108.42
Северная Швейцария 51.107.60.95
Южная Часть Великобритании 51.104.30.170
Западная часть Великобритании 51.137.164.94
Центрально-западная часть США 52.150.156.44
Западная Европа 20.61.98.66
Западная часть США 2 40.64.135.77

Разрешить доступ к учетной записи хранения Azure в одном регионе с определенными IP-адресами.

Процесс конфигурации IP-адресов в том же регионе похож на предыдущую процедуру и заключается в использовании определенного диапазона IP-адресов в формате бесклассовой междоменной маршрутизации (CIDR) (например, 100.64.0.0/10). Необходимо указать диапазон IP-адресов (100.64.0.0 до 100.127.255.255), так как служба FHIR выделяет IP-адрес при каждом выполнении запроса на операцию.

Примечание.

Частный IP-адрес можно использовать в диапазоне от 10.0.2.0/24, но не гарантирует успешность операции. Если запрос операции завершается ошибкой, можно повторить попытку. Однако запрос не завершается успешно, пока не будет использоваться IP-адрес в диапазоне от 100.64.0.0/10.

Это поведение сети для диапазонов IP-адресов по задумке. Альтернативой является настройка учетной записи хранения в другом регионе.

Дальнейшие действия

Примечание.

FHIR® является зарегистрированным товарным знаком HL7 и используется с разрешением HL7 .