Поделиться через

Настройка параметров импорта FHIR

  • Статья

В этой статье представлены шаги по конфигурации параметров службы FHIR® для операций import. Чтобы настроить параметры, необходимо выполнить следующие действия.

  1. Включите управляемую идентификацию на службе FHIR.
  2. Создайте учетную запись хранения Azure или используйте существующую учетную запись хранения и предоставьте разрешения для службы FHIR для доступа к ней.
  3. Задайте конфигурацию импорта службы FHIR.
  4. Используйте один из вариантов безопасного импорта данных FHIR в службу FHIR из учетной записи Azure Data Lake Storage 2-го поколения.

Шаг 1. Активируйте управляемую идентификацию в системе FHIR

Первым шагом является включение системного управляемого удостоверения в службе. Это удостоверение используется для предоставления доступа службы FHIR к учетной записи хранения. Дополнительные сведения об управляемых удостоверениях в Azure см. в разделе "Сведения об управляемых удостоверениях для ресурсов Azure".

Чтобы включить управляемую учетную запись в службе FHIR, выполните следующие действия.

  1. На портале Azure перейдите к службе FHIR.
  2. В меню слева выберите "Удостоверение".
  3. Установите для параметра "Состояние " значение "Вкл." и нажмите кнопку "Сохранить".
  4. Выберите Да.

После включения управляемого удостоверения появится значение GUID, назначаемое системой.

Снимок экрана, показывающий выборы для включения управляемого удостоверения для службы FHIR.

Шаг 2. Назначение разрешений службе FHIR

Чтобы назначить разрешения для доступа к учетной записи хранения, выполните следующие действия.

  1. В учетной записи хранения перейдите в раздел Управление доступом (IAM).

  2. выберите Добавить назначение ролей. Если параметр добавления назначения ролей недоступен, попросите администратора Azure назначить вам разрешение на выполнение этого шага.

    Дополнительные сведения о назначении ролей в портал Azure см. в статье о встроенных ролях Azure.

  3. Добавьте роль Storage Blob Data Contributor в службу FHIR.

  4. Выберите Сохранить.

Снимок экрана: страница добавления назначения ролей.

Теперь вы готовы выбрать учетную запись хранения для импорта.

Шаг 3. Настройка конфигурации импорта службы FHIR

Примечание.

Если у вас нет разрешений на доступ к хранилищу для службы FHIR, import операция завершится ошибкой.

Для этого шага необходимо получить URL-адрес запроса и текст JSON.

  1. На портале Azure перейдите к службе FHIR.
  2. Выберите Обзор.
  3. Выберите просмотр JSON.
  4. Выберите версию API как 2022-06-01 или более поздней.

Чтобы указать учетную запись хранения Azure в представлении JSON, которая находится в режиме ЧТЕНИЯ , необходимо использовать REST API для обновления службы FHIR.

Снимок экрана: выбор для открытия представления JSON.

Ниже приведены инструкции по настройке конфигураций для начальных и добавочных режимов импорта. Выберите правильный режим импорта для вашего варианта использования.

Настройка конфигурации импорта для начального режима импорта

Внесите следующие изменения в JSON.

  1. В importConfiguration установите enabled на true.
  2. Обновите integrationDataStore имя целевой учетной записи хранения.
  3. В importConfiguration установите initialImportMode на true.
  4. provisioningState Удалите строку.

Снимок экрана: пример кода для конфигурации импорта.

Теперь вы готовы выполнить импорт в начальном режиме с помощью import.

Настройка конфигурации импорта для режима добавочного импорта

Внесите следующие изменения в JSON.

  1. В importConfiguration установите enabled на true.
  2. Обновите имя целевой учетной записи хранения на integrationDataStore.
  3. В importConfiguration установите initialImportMode в false.
  4. provisioningState Удалите строку.

Теперь вы готовы выполнить добавочный импорт с помощью import.

Вы также можете использовать кнопку "Развернуть в Azure", чтобы открыть пользовательский шаблон диспетчера ресурсов Azure, который обновляет конфигурацию для import.

Снимок экрана: кнопка

Шаг 4. Защита операции импорта службы FHIR

Чтобы безопасно импортировать данные FHIR в службу FHIR из учетной записи Azure Data Lake Storage 2-го поколения, у вас есть три варианта:

  • Включите службу FHIR в качестве доверенной службы Майкрософт.
  • Разрешите определенным IP-адресам, связанным со службой FHIR, доступ к учетной записи хранения из других регионов Azure.
  • Разрешить определенным IP-адресам, связанным со службой FHIR, получить доступ к учетной записи хранения в том же регионе, что и служба FHIR.

Включение службы FHIR в качестве доверенной службы Майкрософт

  1. На портале Azure перейдите к учетной записи Data Lake Storage 2-го поколения.

  2. В меню слева выберите "Сеть".

  3. На вкладке "Брандмауэры и виртуальные сети " выберите "Включено" из выбранных виртуальных сетей и IP-адресов.

    Снимок экрана: параметры сети службы хранилища Azure.

  4. В раскрывающемся списке "Тип ресурса" выберите Microsoft.HealthcareApis/workspaces. В раскрывающемся списке с названием Instance name выберите рабочую область.

  5. В разделе "Исключения" установите флажок "Разрешить доверенным службам Майкрософт" доступ к этой учетной записи хранения .

    Снимок экрана, на котором показано, как разрешить доверенным службам Майкрософт доступ к этой учетной записи хранения.

  6. Нажмите кнопку "Сохранить", чтобы сохранить параметры.

  7. Выполните следующую команду PowerShell, чтобы установить Az.Storage модуль PowerShell в локальной среде. Этот модуль можно использовать для настройки учетных записей хранения Azure с помощью PowerShell.

    Install-Module Az.Storage -Repository PsGallery -AllowClobber -Force

  8. Используйте следующую команду PowerShell, чтобы задать выбранный экземпляр службы FHIR в качестве доверенного ресурса для учетной записи хранения. Убедитесь, что все перечисленные параметры определены в среде PowerShell.

    Необходимо выполнить Add-AzStorageAccountNetworkRule команду от имени администратора в локальной среде. Дополнительные сведения см. в статье Настройка брандмауэров службы хранилища Azure и виртуальных сетей.

    $subscription="xxx"
$tenantId = "xxx"
$resourceGroupName = "xxx"
$storageaccountName = "xxx"
$workspacename="xxx"
$fhirname="xxx"
$resourceId = "/subscriptions/$subscription/resourceGroups/$resourceGroupName/providers/Microsoft.HealthcareApis/workspaces/$workspacename/fhirservices/$fhirname"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $storageaccountName -TenantId $tenantId -ResourceId $resourceId

  9. Убедитесь, что в разделе "Экземпляры ресурсов"2 выбрано в раскрывающемся списке имени экземпляра. Два выбранных экземпляра — это имя экземпляра рабочей области и имя экземпляра службы FHIR, которые вы зарегистрировали в качестве доверенных ресурсов Microsoft.

    Снимок экрана: параметры сети службы хранилища Azure с именами типов ресурсов и экземпляров.

Теперь вы готовы безопасно импортировать данные FHIR из учетной записи хранения. Учетная запись хранения находится в выбранных сетях и не является общедоступной. Для безопасного доступа к файлам можно использовать частные конечные точки для учетной записи хранения.

Разрешить доступ к учетной записи хранения Azure с помощью определенных IP-адресов из других регионов Azure

  1. В портал Azure перейдите к учетной записи Azure Data Lake Storage 2-го поколения.

  2. В меню слева выберите "Сеть".

  3. Выберите "Включено" из выбранных виртуальных сетей и IP-адресов.

  4. В разделе "Брандмауэр" в поле диапазона адресов укажите IP-адрес. Добавьте диапазоны IP-адресов, чтобы разрешить доступ из Интернета или локальных сетей. IP-адрес можно найти в следующей таблице для региона Azure, где подготовлена служба FHIR.

    Область Azure Общедоступный IP-адрес
    Восточная Австралия 20.53.44.80
    Центральная Канада 20.48.192.84
    Центральная часть США 52.182.208.31
    Восточная часть США 20.62.128.148
    Восточная часть США 2 20.49.102.228
    Восток США 2 EUAP 20.39.26.254
    Северная Германия 51.116.51.33
    Западно-Центральная Германия 51.116.146.216
    Восточная Япония 20.191.160.26
    Центральная Корея 20.41.69.51
    Центрально-северная часть США 20.49.114.188
    Северная Европа 52.146.131.52
    Север Южной Африки 102.133.220.197
    Центрально-южная часть США 13.73.254.220
    Юго-Восточная Азия 23.98.108.42
    Северная Швейцария 51.107.60.95
    Южная Часть Великобритании 51.104.30.170
    Западная часть Великобритании 51.137.164.94
    Центрально-западная часть США 52.150.156.44
    Западная Европа 20.61.98.66
    Западная часть США 2 40.64.135.77

Разрешить доступ к учетной записи хранения Azure в одном регионе с определенными IP-адресами.

Процесс конфигурации IP-адресов в том же регионе похож на предыдущую процедуру, за исключением того, что вы используете определенный диапазон IP-адресов в формате бесклассовой междоменной маршрутизации (CIDR) (то есть 100.64.0.0/10). Необходимо указать диапазон IP-адресов (100.64.0.0 до 100.127.255.2555), так как IP-адрес службы FHIR выделяется каждый раз при выполнении запроса на операцию.

Примечание.

Частный IP-адрес можно использовать в диапазоне от 10.0.2.0/24, но в таком случае операция не будет выполнена. Вы можете повторить попытку, если запрос операции завершится ошибкой, но пока не будет использоваться IP-адрес в диапазоне от 100.64.0.0/10, запрос не будет выполнен.

Это поведение сети для диапазонов IP-адресов по задумке. Альтернативой является настройка учетной записи хранения в другом регионе.

Дальнейшие действия

В этой статье вы узнали, как служба FHIR поддерживает import операцию и как импортировать данные в службу FHIR из учетной записи хранения. Вы также узнали о шагах по настройке параметров импорта в службе FHIR. Дополнительные сведения о преобразовании данных в FHIR, экспорте параметров для настройки учетной записи хранения и перемещении данных в Azure Synapse Analytics см. в следующем разделе:

Импорт данных FHIR

Примечание.

FHIR® является зарегистрированным товарным знаком HL7 и используется с разрешением HL7 .