Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Служба FHIR поддерживает $import операцию , указанную HL7 для импорта данных FHIR® с сервера FHIR. При вызове конечной $import точки служба FHIR импортирует данные в предварительно настроенную учетную запись хранения Azure. Учетная запись хранения должна быть учетной записью Blob или Azure Data Lake Storage второго поколения (ADLS Gen2).
В этой статье описывается, как настроить параметры импорта для службы FHIR и предоставить службе FHIR разрешение на доступ к учетной записи хранения. Если служба FHIR находится за пределами сетевой границы учетной записи хранения, вы можете настроить доступ, разрешая службе FHIR в качестве доверенной службы Майкрософт или разрешая определенным IP-адресам доступ к учетной записи хранения. Дополнительные сведения см. в разделе "Защита операции службы $import FHIR".
Необходимые условия
- Служба FHIR. Сведения о создании см. в разделе "Развертывание службы FHIR".
- Учетная запись Azure Blob или Azure Data Lake Storage 2-го поколения (ADLS Gen2).
- Необходимо иметь роль приложения импортера данных FHIR. Дополнительные сведения о ролях приложений см. в статье "Проверка подлинности и авторизация для службы FHIR".
Шаг 1: Включите управляемую идентичность для службы FHIR для импорта
Сначала включите системно назначенную управляемую идентичность для службы. Используйте это удостоверение, чтобы предоставить службе FHIR доступ к учетной записи хранения. Дополнительные сведения об управляемых удостоверениях в Azure см. в разделе "Сведения об управляемых удостоверениях для ресурсов Azure".
Чтобы включить управляемую учетную запись в службе FHIR, выполните следующие действия.
- На портале Azure перейдите к службе FHIR.
- В меню слева выберите "Удостоверение".
- На вкладке "Назначено системой" установите для параметра "Состояние" значение "Вкл" и нажмите кнопку "Сохранить".
- Когда отображаются кнопки "Да" и "Нет", выберите "Да", чтобы включить управляемое удостоверение для службы FHIR. После включения системного удостоверения вы увидите значение идентификатора объекта (субъекта) для службы FHIR.
Шаг 2. Назначение разрешений на хранение службе FHIR
Чтобы назначить разрешения для доступа к учетной записи хранения, выполните следующие действия.
В учетной записи хранения перейдите в раздел Управление доступом (IAM).
выберите Добавить назначение ролей. Если параметр добавления назначения ролей недоступен, попросите администратора Azure назначить вам разрешение на выполнение этого шага.
Дополнительные сведения о назначении ролей в портал Azure см. в статье о встроенных ролях Azure.
Добавьте роль Storage Blob Data Contributor в службу FHIR.
Выберите Сохранить.
Теперь вы готовы выбрать учетную запись хранения для импорта.
Шаг 3. Настройка конфигурации импорта для службы FHIR
Задайте конфигурацию импорта для службы FHIR с помощью параметров импорта на портале Azure.
Примечание.
Если вы не назначаете разрешения на доступ к хранилищу службе FHIR, операция завершается ошибкой import .
- На портале Azure перейдите к службе FHIR.
- В меню слева выберите "Импорт".
- Введите необходимые сведения, например имя учетной записи хранения, и выберите режим импорта. Режим импорта может быть начальным или добавочным. Дополнительные сведения о двух режимах импорта см. в разделе "Импорт данных FHIR".
- Нажмите кнопку "Сохранить", чтобы сохранить параметры.
Защита операции импорта службы FHIR
Чтобы безопасно импортировать данные из службы FHIR за пределами сетевой границы учетной записи хранения, используйте один из следующих вариантов:
- Включите службу FHIR в качестве доверенной службы Майкрософт.
- Разрешите определенным IP-адресам, связанным со службой FHIR, доступ к учетной записи хранения из других регионов Azure.
- Разрешить определенным IP-адресам, связанным со службой FHIR, получить доступ к учетной записи хранения в том же регионе, что и служба FHIR.
Включение службы FHIR в качестве доверенной службы Майкрософт
Чтобы включить рабочую область FHIR в качестве доверенной службы Майкрософт, выполните следующие действия.
Убедитесь, что область доступа к общедоступной сети учетной записи хранения включена для выбранных сетей.
На портале Azure перейдите к учетной записи Blob или Data Lake Storage 2-го поколения.
В меню слева выберите "Безопасность и сеть".>
На вкладке "Общедоступный доступ" в разделе "Доступ к общедоступной сети" выберите "Управление".
Выберите Включить для выбранных сетей.
В раскрывающемся списке "Тип ресурса" выберите Microsoft.HealthcareApis/workspaces. В раскрывающемся списке с названием Instance name выберите рабочую область.
В разделе "Исключения" установите флажок "Разрешить доверенным службам Майкрософт" доступ к этой учетной записи хранения .
Нажмите кнопку "Сохранить", чтобы сохранить параметры.
Чтобы включить службу FHIR в качестве доверенной службы Майкрософт через PowerShell, используйте следующие команды:
Выполните следующую команду PowerShell, чтобы установить
Az.Storageмодуль PowerShell в локальной среде. Используйте этот модуль для настройки учетных записей хранения Azure с помощью PowerShell.Install-Module Az.Storage -Repository PsGallery -AllowClobber -ForceИспользуйте следующую команду PowerShell, чтобы задать выбранный экземпляр службы FHIR в качестве доверенного ресурса для учетной записи хранения. Убедитесь, что все перечисленные параметры определены в среде PowerShell.
Необходимо выполнить
Add-AzStorageAccountNetworkRuleкоманду от имени администратора в локальной среде. Дополнительные сведения см. в статье Настройка брандмауэров службы хранилища Azure и виртуальных сетей.$subscription="xxx" $tenantId = "xxx" $resourceGroupName = "xxx" $storageaccountName = "xxx" $workspacename="xxx" $fhirname="xxx" $resourceId = "/subscriptions/$subscription/resourceGroups/$resourceGroupName/providers/Microsoft.HealthcareApis/workspaces/$workspacename/fhirservices/$fhirname" Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $storageaccountName -TenantId $tenantId -ResourceId $resourceId
Теперь вы готовы безопасно импортировать данные FHIR из учетной записи хранения. Учетная запись хранения находится в выбранных сетях и не является общедоступной. Чтобы безопасно получить доступ к файлам, используйте частные конечные точки для учетной записи хранения.
Разрешить доступ к учетной записи хранения Azure с помощью определенных IP-адресов из других регионов Azure
- Войдите в свою учетную запись хранения на портале Azure.
- В меню слева выберите "Безопасность и сеть".>
- На вкладке "Общедоступный доступ" в разделе "Доступ к общедоступной сети" выберите "Управление".
- Выберите "Включено" из выбранных сетей.
- Введите IP-адреса в разделе IPv4-адреса.
В следующей таблице перечислены общедоступные IP-адреса для службы FHIR в разных регионах Azure. Эти IP-адреса можно использовать для предоставления доступа к учетной записи хранения из службы FHIR в других регионах.
| Область Azure | Общедоступный IP-адрес |
|---|---|
| Восточная Австралия | 20.53.44.80 |
| Центральная Канада | 20.48.192.84 |
| Центральная часть США | 52.182.208.31 |
| Восточная часть США | 20.62.128.148 |
| Восточная часть США 2 | 20.49.102.228 |
| Восток США 2 EUAP | 20.39.26.254 |
| Северная Германия | 51.116.51.33 |
| Западно-Центральная Германия | 51.116.146.216 |
| Восточная Япония | 20.191.160.26 |
| Центральная Корея | 20.41.69.51 |
| Центрально-северная часть США | 20.49.114.188 |
| Северная Европа | 52.146.131.52 |
| Север Южной Африки | 102.133.220.197 |
| Центрально-южная часть США | 13.73.254.220 |
| Юго-Восточная Азия | 23.98.108.42 |
| Северная Швейцария | 51.107.60.95 |
| Южная Часть Великобритании | 51.104.30.170 |
| Западная часть Великобритании | 51.137.164.94 |
| Центрально-западная часть США | 52.150.156.44 |
| Западная Европа | 20.61.98.66 |
| Западная часть США 2 | 40.64.135.77 |
Разрешить доступ к учетной записи хранения Azure в одном регионе с определенными IP-адресами.
Процесс конфигурации IP-адресов в том же регионе похож на предыдущую процедуру и заключается в использовании определенного диапазона IP-адресов в формате бесклассовой междоменной маршрутизации (CIDR) (например, 100.64.0.0/10). Необходимо указать диапазон IP-адресов (100.64.0.0 до 100.127.255.255), так как служба FHIR выделяет IP-адрес при каждом выполнении запроса на операцию.
Примечание.
Частный IP-адрес можно использовать в диапазоне от 10.0.2.0/24, но не гарантирует успешность операции. Если запрос операции завершается ошибкой, можно повторить попытку. Однако запрос не завершается успешно, пока не будет использоваться IP-адрес в диапазоне от 100.64.0.0/10.
Это поведение сети для диапазонов IP-адресов по задумке. Альтернативой является настройка учетной записи хранения в другом регионе.
Дальнейшие действия
Примечание.
FHIR® является зарегистрированным товарным знаком HL7 и используется с разрешением HL7 .