Información general
La API Cloud Healthcare utiliza Gestión de Identidades y Accesos (IAM) para el control de acceso.
En la API Cloud Healthcare, el control de acceso se puede configurar a nivel de proyecto, conjunto de datos o almacén de datos. Por ejemplo, puedes conceder acceso a todos los conjuntos de datos de un proyecto a un grupo de desarrolladores. Para obtener más información sobre cómo configurar y usar IAM con la API Cloud Healthcare, consulta los artículos sobre controlar el acceso y controlar el acceso a otros productos.
Para obtener una descripción detallada de IAM y de sus características, consulta la documentación de IAM. En particular, echa un vistazo a la sección sobre la gestión de políticas de IAM.
Todos los métodos de la API Cloud Healthcare exigen que el llamador cuente con los permisos necesarios. Para obtener más información, consulta Permisos y Roles.
Permisos
En las siguientes tablas se indican los permisos de IAM que están asociados con la API Cloud Healthcare. Los nombres de los métodos aparecen acortados en la tabla; el nombre completo de cada método comienza con projects.locations.
.
Métodos de almacén de consentimientos
Método de almacén de consentimiento | Permisos obligatorios |
---|---|
datasets.consentStores.checkDataAccess |
healthcare.consentStores.checkDataAccess en el almacén de consentimientos solicitado. |
datasets.consentStores.create |
healthcare.consentStores.create en el conjunto de datos superior. |
datasets.consentStores.delete |
healthcare.consentStores.delete en el almacén de consentimientos solicitado. |
datasets.consentStores.evaluateUserConsents |
healthcare.consentStores.evaluateUserConsents en el almacén de consentimientos solicitado. |
datasets.consentStores.get |
healthcare.consentStores.get en el almacén de consentimientos solicitado. |
datasets.consentStores.getIamPolicy |
healthcare.consentStores.getIamPolicy en el almacén de consentimientos solicitado. |
datasets.consentStores.list |
healthcare.consentStores.list en el conjunto de datos superior. |
datasets.consentStores.patch |
healthcare.consentStores.update en el almacén de consentimientos solicitado. |
datasets.consentStores.queryAccessibleData |
healthcare.consentStores.queryAccessibleData en el almacén de consentimientos solicitado. |
datasets.consentStores.setIamPolicy |
healthcare.consentStores.setIamPolicy en el almacén de consentimientos solicitado. |
datasets.consentStores.attributeDefinitions.create |
healthcare.attributeDefinitions.create en el almacén de consentimiento parental. |
datasets.consentStores.attributeDefinitions.delete |
healthcare.attributeDefinitions.delete en el recurso de definición de atributo solicitado. |
datasets.consentStores.attributeDefinitions.get |
healthcare.attributeDefinitions.get en el recurso de definición de atributo solicitado. |
datasets.consentStores.attributeDefinitions.list |
healthcare.attributeDefinitions.list en el almacén de consentimiento parental. |
datasets.consentStores.attributeDefinitions.patch |
healthcare.attributeDefinitions.update en el recurso de definición de atributo solicitado. |
datasets.consentStores.consentArtifacts.create |
healthcare.consentArtifacts.create en el almacén de consentimiento parental. |
datasets.consentStores.consentArtifacts.delete |
healthcare.consentArtifacts.delete en el recurso de artefacto de consentimiento solicitado. |
datasets.consentStores.consentArtifacts.get |
healthcare.consentArtifacts.get en el recurso de artefacto de consentimiento solicitado. |
datasets.consentStores.consentArtifacts.list |
healthcare.consentArtifacts.list en el almacén de consentimiento parental. |
datasets.consentStores.consents.create |
healthcare.consents.create en el almacén de consentimiento parental. |
datasets.consentStores.consents.delete |
healthcare.consents.delete en el recurso de consentimiento solicitado. |
datasets.consentStores.consents.get |
healthcare.consents.get en el recurso de consentimiento solicitado. |
datasets.consentStores.consents.list |
healthcare.consents.list en el almacén de consentimiento parental. |
datasets.consentStores.consents.patch |
healthcare.consents.update en el recurso de consentimiento solicitado. |
datasets.consentStores.consents.revoke |
healthcare.consents.revoke en el recurso de consentimiento solicitado. |
datasets.consentStores.userDataMappings.archive |
healthcare.userDataMappings.archive en el recurso de asignación de datos de usuario solicitado. |
datasets.consentStores.userDataMappings.create |
healthcare.userDataMappings.create en el almacén de consentimiento parental. |
datasets.consentStores.userDataMappings.delete |
healthcare.userDataMappings.delete en el recurso de asignación de datos de usuario solicitado. |
datasets.consentStores.userDataMappings.get |
healthcare.userDataMappings.get en el recurso de asignación de datos de usuario solicitado. |
datasets.consentStores.userDataMappings.list |
healthcare.userDataMappings.list en el almacén de consentimiento parental. |
datasets.consentStores.userDataMappings.patch |
healthcare.userDataMappings.update en el recurso de asignación de datos de usuario solicitado. |
Métodos de conjuntos de datos
Método de los conjuntos de datos | Permisos obligatorios |
---|---|
datasets.create |
healthcare.datasets.create en el proyecto superior Google Cloud . |
datasets.deidentify |
|
datasets.delete |
healthcare.datasets.delete en el conjunto de datos solicitado. |
datasets.get |
healthcare.datasets.get en el conjunto de datos solicitado. |
datasets.getIamPolicy |
healthcare.datasets.getIamPolicy en el conjunto de datos solicitado. |
datasets.list |
healthcare.datasets.list en el proyecto superior Google Cloud . |
datasets.patch |
healthcare.datasets.update en el conjunto de datos solicitado. |
datasets.setIAMPolicy |
healthcare.datasets.setIamPolicy en el conjunto de datos solicitado. |
Métodos de almacén DICOM
Método de almacén DICOM | Permisos obligatorios |
---|---|
datasets.dicomStores.create |
healthcare.dicomStores.create en el conjunto de datos superior. |
datasets.dicomStores.deidentify |
|
datasets.dicomStores.delete |
healthcare.dicomStores.delete en el almacén DICOM solicitado. |
datasets.dicomStores.export |
|
datasets.dicomStores.get |
healthcare.dicomStores.get en el almacén DICOM solicitado. |
datasets.dicomStores.getIamPolicy |
healthcare.dicomStores.getIamPolicy en el almacén DICOM solicitado. |
datasets.dicomStores.import |
|
datasets.dicomStores.list |
healthcare.dicomStores.list en el conjunto de datos superior. |
datasets.dicomStores.patch |
healthcare.dicomStores.update en el almacén DICOM solicitado. |
datasets.dicomStores.searchForInstances |
healthcare.dicomStores.dicomWebRead en el almacén DICOM solicitado. |
datasets.dicomStores.searchForSeries |
healthcare.dicomStores.dicomWebRead en el almacén DICOM solicitado. |
datasets.dicomStores.searchForStudies |
healthcare.dicomStores.dicomWebRead en el almacén DICOM solicitado. |
datasets.dicomStores.setIamPolicy |
healthcare.dicomStores.setIamPolicy en el almacén DICOM solicitado. |
datasets.dicomStores.storeInstances |
healthcare.dicomStores.dicomWebWrite en el almacén DICOM solicitado. |
datasets.dicomStores.studies.delete |
healthcare.dicomStores.dicomWebDelete en el almacén DICOM solicitado. |
datasets.dicomStores.studies.retrieveMetadata |
healthcare.dicomStores.dicomWebRead en el almacén DICOM solicitado. |
datasets.dicomStores.studies.retrieveStudy |
healthcare.dicomStores.dicomWebRead en el almacén DICOM solicitado. |
datasets.dicomStores.studies.searchForInstances |
healthcare.dicomStores.dicomWebRead en el almacén DICOM solicitado. |
datasets.dicomStores.studies.searchForSeries |
healthcare.dicomStores.dicomWebRead en el almacén DICOM solicitado. |
datasets.dicomStores.studies.storeInstances |
healthcare.dicomStores.dicomWebWrite en el almacén DICOM solicitado. |
datasets.dicomStores.studies.updateInstances |
healthcare.dicomStores.dicomWebUpdate en el almacén DICOM solicitado. |
datasets.dicomStores.studies.updateMetadata |
healthcare.dicomStores.dicomWebUpdate en el almacén DICOM solicitado. |
datasets.dicomStores.studies.series.delete |
healthcare.dicomStores.dicomWebDelete en el almacén DICOM solicitado. |
datasets.dicomStores.studies.series.retrieveMetadata |
healthcare.dicomStores.dicomWebRead en el almacén DICOM solicitado. |
datasets.dicomStores.studies.series.retrieveSeries |
healthcare.dicomStores.dicomWebRead en el almacén DICOM solicitado. |
datasets.dicomStores.studies.series.searchForInstances |
healthcare.dicomStores.dicomWebRead en el almacén DICOM solicitado. |
datasets.dicomStores.studies.series.updateMetadata |
healthcare.dicomStores.dicomWebUpdate en el almacén DICOM solicitado. |
datasets.dicomStores.studies.series.instances.delete |
healthcare.dicomStores.dicomWebDelete en el almacén DICOM solicitado. |
datasets.dicomStores.studies.series.instances.retrieveInstance |
healthcare.dicomStores.dicomWebRead en el almacén DICOM solicitado. |
datasets.dicomStores.studies.series.instances.retrieveMetadata |
healthcare.dicomStores.dicomWebRead en el almacén DICOM solicitado. |
datasets.dicomStores.studies.series.instances.retrieveRendered |
healthcare.dicomStores.dicomWebRead en el almacén DICOM solicitado. |
datasets.dicomStores.studies.series.instances.updateMetadata |
healthcare.dicomStores.dicomWebUpdate en el almacén DICOM solicitado. |
datasets.dicomStores.studies.series.instances.frames.retrieveFrames |
healthcare.dicomStores.dicomWebRead en el almacén DICOM solicitado. |
datasets.dicomStores.studies.series.instances.frames.retrieveRendered |
healthcare.dicomStores.dicomWebRead en el almacén DICOM solicitado. |
datasets.dicomStores.studies.series.instances.bulkdata.retrieveBulkdata |
healthcare.dicomStores.dicomWebRead en el almacén DICOM solicitado. |
Métodos del almacén FHIR
Método del almacén FHIR | Permisos obligatorios |
---|---|
datasets.fhirStores.applyConsents |
healthcare.fhirStores.applyConsents en el recurso del almacén FHIR solicitado. |
datasets.fhirStores.applyAdminConsents |
healthcare.fhirStores.applyConsents en el recurso del almacén FHIR solicitado. |
datasets.fhirStores.configureSearch |
healthcare.fhirStores.configureSearch en el almacén FHIR solicitado. |
datasets.fhirStores.create |
healthcare.fhirStores.create en el conjunto de datos superior. |
datasets.fhirStores.deidentify |
|
datasets.fhirStores.delete |
healthcare.fhirStores.delete en el almacén FHIR solicitado. |
datasets.fhirStores.explainDataAccess |
healthcare.fhirStores.explainDataAccess en el recurso del almacén FHIR solicitado. |
datasets.fhirStores.export |
|
datasets.fhirStores.get |
healthcare.fhirStores.get en el almacén FHIR solicitado. |
datasets.fhirStores.getFHIRStoreMetrics |
healthcare.fhirStores.get en el almacén FHIR solicitado. |
datasets.fhirStores.getIamPolicy |
healthcare.fhirStores.getIamPolicy en el almacén FHIR solicitado. |
datasets.fhirStores.import |
|
datasets.fhirStores.list |
healthcare.fhirStores.list en el conjunto de datos superior. |
datasets.fhirStores.patch |
healthcare.fhirStores.update en el almacén FHIR solicitado. |
datasets.fhirStores.rollback |
healthcare.fhirStores.rollback en el almacén FHIR solicitado. |
datasets.fhirStores.setIamPolicy |
healthcare.fhirStores.setIamPolicy en el almacén FHIR solicitado. |
datasets.fhirStores.fhir.Encounter-everything |
healthcare.fhirResources.get en cada recurso devuelto. |
datasets.fhirStores.fhir.Observation-lastn |
healthcare.fhirStores.searchResources en el almacén FHIR superior. |
datasets.fhirStores.fhir.Patient-everything |
healthcare.fhirResources.get en cada recurso devuelto. |
datasets.fhirStores.fhir.Resource-purge |
healthcare.fhirResources.purge en el recurso del almacén FHIR solicitado. |
datasets.fhirStores.fhir.capabilities |
healthcare.fhirStores.get en el almacén FHIR solicitado. |
datasets.fhirStores.fhir.conditionalDelete |
|
datasets.fhirStores.fhir.conditionalPatch |
|
datasets.fhirStores.fhir.conditionalUpdate |
|
datasets.fhirStores.fhir.create |
|
datasets.fhirStores.fhir.delete |
healthcare.fhirResources.delete en el recurso del almacén FHIR solicitado. |
datasets.fhirStores.fhir.executeBundle |
healthcare.fhirResources.executeBundle en el almacén FHIR solicitado, y permisos adicionales (como healthcare.fhirResources.create y healthcare.fhirResources.update ) correspondientes a operaciones concretas dentro del paquete. Si el llamador de la API tiene permisos healthcare.fhirResources.create pero no permisos healthcare.fhirResources.update , el llamador solo puede ejecutar paquetes que contengan operaciones healthcare.fhirResources.create . |
datasets.fhirStores.fhir.history |
healthcare.fhirResources.get en el recurso del almacén FHIR solicitado y en cada una de sus versiones. |
datasets.fhirStores.fhir.patch |
healthcare.fhirResources.patch en el recurso del almacén FHIR solicitado. |
datasets.fhirStores.fhir.read |
healthcare.fhirResources.get en el recurso del almacén FHIR solicitado. |
datasets.fhirStores.fhir.search |
healthcare.fhirStores.searchResources en el almacén FHIR superior. |
datasets.fhirStores.fhir.update |
healthcare.fhirResources.update en el recurso del almacén FHIR solicitado. |
datasets.fhirStores.fhir.vread |
healthcare.fhirResources.get en la versión del recurso del almacén FHIR solicitado. |
datasets.fhirStores.fhir.Patient-consent-enforcement-status |
healthcare.fhirResources.get en el recurso Patient del almacén FHIR solicitado. |
datasets.fhirStores.fhir.Consent-enforcement-status |
healthcare.fhirResources.get en el recurso de consentimiento del almacén FHIR solicitado. |
Métodos del almacén HL7v2
Método del almacén HL7v2 | Permisos obligatorios |
---|---|
datasets.hl7V2Stores.create |
healthcare.hl7V2Stores.create en el conjunto de datos superior. |
datasets.hl7V2Stores.delete |
healthcare.hl7V2Stores.delete en el almacén HL7v2 solicitado. |
datasets.hl7V2Stores.export |
healthcare.hl7V2Stores.export en el almacén HL7v2 solicitado. |
datasets.hl7V2Stores.get |
healthcare.hl7V2Stores.get en el almacén HL7v2 solicitado. |
datasets.hl7V2Stores.import |
healthcare.hl7V2Stores.import en el almacén HL7v2 solicitado. |
datasets.hl7V2Stores.list |
healthcare.hl7V2Stores.list en el conjunto de datos superior. |
datasets.hl7V2Stores.patch |
healthcare.hl7V2Stores.update en el almacén HL7v2 solicitado. |
datasets.hl7V2Stores.getIamPolicy |
healthcare.hl7V2Stores.getIamPolicy en el almacén HL7v2 solicitado. |
datasets.hl7V2Stores.setIamPolicy |
healthcare.hl7V2Stores.setIamPolicy en el almacén HL7v2 solicitado. |
datasets.hl7V2Stores.messages.create |
healthcare.hl7V2Messages.create en el almacén HL7v2 superior. |
datasets.hl7V2Stores.messages.delete |
healthcare.hl7V2Messages.delete en el mensaje del almacén HL7v2 solicitado. |
datasets.hl7V2Stores.messages.get |
healthcare.hl7V2Messages.get en el mensaje del almacén HL7v2 solicitado. |
datasets.hl7V2Stores.messages.ingest |
healthcare.hl7V2Messages.ingest en el mensaje del almacén HL7v2 solicitado. |
datasets.hl7V2Stores.messages.list |
healthcare.hl7V2Messages.list en el almacén HL7v2 superior. |
datasets.hl7V2Stores.messages.patch |
healthcare.hl7V2Messages.update en el mensaje del almacén HL7v2 solicitado. |
Métodos de ubicación
Método de ubicación | Permisos obligatorios |
---|---|
locations.get |
healthcare.locations.get en la ubicación solicitada. |
locations.list |
healthcare.locations.list en el proyecto superior Google Cloud . |
Métodos de la API Natural Language de Healthcare
Método de la API Natural Language de Healthcare | Permisos obligatorios |
---|---|
nlp.analyzeEntities |
healthcare.nlpservice.analyzeEntities |
Métodos de operación
Método de operación | Permiso obligatorio |
---|---|
datasets.operations.get |
healthcare.operations.get en el conjunto de datos solicitado. |
datasets.operations.list |
healthcare.operations.list en el conjunto de datos solicitado. |
datasets.operations.cancel |
healthcare.operations.cancel en el conjunto de datos solicitado. |
Métodos de desidentificación
Método de desidentificación | Permiso obligatorio |
---|---|
services.deidentify.deidentifyDicomInstance |
healthcare.deidentify.run |
services.deidentify.deidentifyFhirResource |
healthcare.deidentify.run |
Roles
En las siguientes tablas se indican los roles de IAM de la API Cloud Healthcare, incluidos los permisos asociados a cada rol. Los roles roles/owner
, roles/editor
y roles/viewer
incluyen permisos para otros Google Cloud servicios. Para obtener más información sobre los roles, consulta el artículo Descripción de los roles.
Roles de almacén de consentimientos
Rol del almacén de consentimientos | Permisos |
---|---|
Lector de almacenes de consentimientos de Healthcare( Permiso para mostrar los almacenes de consentimientos de un conjunto de datos. |
|
Administrador de almacenes de consentimientos de Healthcare( Permiso para gestionar almacenes de consentimientos. |
|
Roles de consentimiento
Rol de consentimientos | Permisos |
---|---|
Lector de definiciones de atributos de Healthcare( Permiso para leer objetos AttributeDefinition en un almacén de consentimientos. |
|
Editor de definiciones de atributos de Healthcare( Permiso para editar objetos AttributeDefinition. |
|
Lector de artefactos de consentimiento de Healthcare( Permiso para leer objetos ConsentArtifact en un almacén de consentimientos. |
|
Editor de artefactos de consentimiento de Healthcare( Permiso para editar objetos ConsentArtifact. |
|
Administrador de artefactos de consentimiento de Healthcare( Permiso para gestionar objetos ConsentArtifact. |
|
Lector de consentimientos de Healthcare( Permiso para leer objetos Consent en un almacén de consentimientos. |
|
Editor de consentimiento de Healthcare( Permiso para editar objetos Consent. |
|
Lector de asignación de datos de usuario de Healthcare( Permiso para leer objetos UserDataMapping en un almacén de consentimientos. |
|
Editor de asignación de datos de usuario de Healthcare( Permiso para editar objetos UserDataMapping. |
|
Roles de conjuntos de datos
Rol de los conjuntos de datos | Permisos |
---|---|
Lector de conjuntos de datos relacionados con el sector sanitario( Permiso para mostrar los conjuntos de datos de un proyecto relacionados con el sector sanitario. |
|
Administrador de conjuntos de datos del sector sanitario( Permiso para administrar conjuntos de datos del sector sanitario. |
|
Roles de almacén DICOM
Rol del almacén DICOM | Permisos |
---|---|
Lector de almacenes de imágenes DICOM del sector sanitario.( Permiso para mostrar los almacenes de imágenes DICOM de un conjunto de datos. |
|
Administrador de almacenes DICOM de Healthcare( Permiso para administrar los almacenes DICOM. |
|
Lector de imágenes DICOM del sector sanitario.( Permiso para mostrar las imágenes DICOM de un almacén. |
|
Editor de imágenes DICOM del sector sanitario.( Permiso para editar imágenes DICOM de forma individual y en lote. |
|
Roles de almacén FHIR
Rol del almacén FHIR | Permisos |
---|---|
Lector de almacenes de recursos FHIR del sector sanitario( Permiso para mostrar los almacenes de recursos de FHIR de un conjunto de datos. |
|
Administrador de almacenes FHIR de Healthcare( Permiso para administrar almacenes de recursos FHIR. |
|
Lector de recursos FHIR del sector sanitario( Permiso para leer y buscar recursos FHIR. |
|
Editor de recursos FHIR del sector sanitario( Permiso para crear, eliminar, actualizar, leer y buscar recursos FHIR. |
|
Roles de almacén HL7v2
Rol del almacén HL7v2 | Permisos |
---|---|
Lector de almacenes HL7v2 de Healthcare( Permiso para consultar los almacenes HL7v2 en un conjunto de datos. |
|
Administrador de almacenes HL7v2 de Healthcare( Permiso para administrar los almacenes HL7v2. |
|
Ingestión de mensajes HL7v2 de Healthcare( Permiso para ingerir mensajes HL7v2 recibidos desde una red de origen. |
|
Consumidor de mensajes HL7v2 de Healthcare( Permiso para mostrar y consultar mensajes HL7v2, actualizar sus etiquetas y publicar mensajes nuevos. |
|
Editor de mensajes HL7v2 de Healthcare( Acceso de lectura, escritura y eliminación a mensajes HL7v2. |
|
Roles de la API Natural Language de Healthcare
Rol de la API Natural Language de Healthcare | Permisos |
---|---|
Visor del servicio de PLN de Healthcare Beta( Permite extraer y analizar entidades médicas de un texto concreto. |
|
Agente de servicio de Cloud Healthcare
El agente de servicio de Cloud Healthcare es una cuenta de servicio compartida de tu proyecto que usa la API Cloud Healthcare para interactuar con otros recursos deGoogle Cloud.
Por ejemplo, este agente de servicio se usa para leer y escribir en los contenedores de Cloud Storage, escribir en BigQuery y publicar mensajes en Pub/Sub desde la API Cloud Healthcare.
Para ejecutar cualquiera de las acciones anteriores, debes dar acceso al agente de servicio de Cloud Healthcare al segmento de Cloud Storage, al conjunto de datos de BigQuery o al tema de Pub/Sub correspondientes.
Cuando crees un modelo de permisos para tu proyecto, recuerda que, si asignas cualquiera de los roles que se indican a continuación, el usuario podrá invocar operaciones que se ejecuten como agente de servicio de Cloud Healthcare y tener acceso a los datos a los que tenga acceso el agente:
roles/healthcare.consentStoreAdmin
roles/healthcare.consentStoreViewer
roles/healthcare.dicomStoreEditor
roles/healthcare.dicomStoreViewer
roles/healthcare.fhirStoreAdmin
roles/healthcare.hl7V2StoreAdmin
Del mismo modo, si se asignan los siguientes permisos a roles personalizados, el usuario también podrá invocar operaciones que se ejecutarán como agente de servicio de Cloud Healthcare:
healthcare.consentStores.queryAccessibleData
healthcare.dicomStores.create
healthcare.dicomStores.update
healthcare.dicomStores.import
healthcare.dicomStores.export
healthcare.fhirStores.create
healthcare.fhirStores.update
healthcare.fhirStores.import
healthcare.fhirStores.export
healthcare.hl7V2Stores.create
healthcare.hl7V2Stores.update
Por ejemplo:
- Si un usuario tiene algún permiso de importación, puede ejecutar operaciones que actúen como el agente de servicio de Cloud Healthcare si esas operaciones acceden a algún segmento de Cloud Storage al que el agente de servicio de Cloud Healthcare tenga acceso de lectura.
- Si un usuario tiene algún permiso de exportación, puede ejecutar operaciones que actúen como agente de servicio de Cloud Healthcare si esas operaciones acceden a algún contenedor al que el agente de servicio tenga acceso de escritura.
- Un usuario que tenga permisos para crear o actualizar almacenes de datos puede configurar destinos de notificación de Pub/Sub o destinos de streaming de BigQuery que envía el agente de servicio de Cloud Healthcare cuando se hacen cambios en el almacén de datos.
Como práctica recomendada, utiliza varios proyectos para aislar aún más los permisos concedidos al agente de servicio de Cloud Healthcare.