Determinazione degli accessi

Questa pagina descrive come effettuare determinazioni di accesso utilizzando l'API Consent Management.

Le applicazioni possono richiedere determinazioni di accesso dall'API Consent Management per un elemento di dati specifico, per tutti gli elementi di dati associati a un utente o per interi data store. In ogni caso, l'API Consent Management prende una decisione sull'accesso valutando le seguenti informazioni rispetto a quelle contenute nella richiesta di accesso:

  • Il consenso dell'utente, ad esempio i valori degli attributi REQUEST
  • Le mappature dei dati utente, ad esempio i valori degli attributi RESOURCE.

Per impostazione predefinita, le determinazioni di accesso valutano solo i consensi ACTIVE. I DRAFT consensi possono essere inclusi in una determinazione dell'accesso specificandoli in una richiesta di determinazione dell'accesso.

Le richieste di determinazione dell'accesso ignorano sempre i consensi scaduti, revocati o rifiutati.

Puoi richiedere una determinazione dell'accesso per un elemento di dati specifico utilizzando il metodo projects.locations.datasets.consentStores.checkDataAccess. Questo metodo restituisce un messaggio che indica se il valore UserDataMapping specificato ha un consenso valido per l'utilizzo proposto.

Per richiedere una determinazione dell'accesso per un elemento di dati specifico, effettua una richiesta POST e specifica le seguenti informazioni:

  • Il nome dello Store per il consenso principale.
  • Un ID risorsa dati, ovvero una descrizione dell'elemento dati, ad esempio il percorso REST di una risorsa.
  • Un insieme di coppie chiave-valore che rappresentano l'autore della richiesta in termini di attributi REQUEST pertinenti e dei relativi valori. Ad esempio, requesterIdentity == external-researcher.
  • Un flag facoltativo che indica se devono essere riportate determinazioni di accesso dettagliate. Se questo flag è impostato su FULL, il metodo restituisce risultati per ogni consenso valutato. Se questo flag è impostato su BASIC o non è definito, il metodo restituisce solo se l'accesso ai dati specificati è consentito dai consensi valutati. Questa funzionalità facoltativa viene utilizzata quando la tua applicazione deve verificare in che modo è stata presa una decisione in merito al consenso.
  • Un elenco facoltativo di consensi ACTIVE o DRAFT da prendere in considerazione per il metodo. Se non vengono specificati consensi, il metodo valuta tutti i consensi ACTIVE. Questa funzionalità facoltativa può essere utilizzata per testare il comportamento di nuovi o specifici consensi.
  • Un token di accesso

curl

Il seguente esempio mostra una richiesta POST che utilizza curl:

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
    -H "Content-Type: application/consent+json; charset=utf-8" \
    --data "{
       'dataId' : 'DATA_ID',
       'requestAttributes': {
         'requesterIdentity': 'external-researcher'},
       'consentList':{
         'consents':[
           'projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID/consents/CONSENT_NAME'
         ]
       },
       'responseView': 'DETAILED_ACCESS_LEVEL'
    }" \
"https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:checkDataAccess"

Se la richiesta riesce, il server restituisce una risposta simile al seguente esempio in formato JSON o un corpo della risposta vuoto se nessun dato utente corrisponde all'accesso ai dati specificato. La risposta di esempio utilizza FULL come responseView.

{
  "consentDetails": {                                                                                                                         "projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID/consents/CONSENT_ID": {
      "evaluationResult": "EVALUATION_RESULT"
    }
  }
}

EVALUATION_RESULT è uno dei seguenti valori: NOT_APPLICABLE, NO_MATCHING_POLICY, NO_SATISFIED_POLICY oHAS_SATISFIED_POLICY.

PowerShell

Il seguente esempio mostra una richiesta POST mediante Windows PowerShell:

$cred = gcloud auth application-default print-access-token
$headers = @{ Authorization = "Bearer $cred" }

Invoke-WebRequest `
  -Method Post `
  -Headers $headers `
  -ContentType: "application/consent+json; charset=utf-8" `
  -Body "{
       'dataId' : 'DATA_ID',
       'requestAttributes': {
         'requesterIdentity': 'external-researcher'
       },
       'consentList': {
         'consents':[
           'projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID/consents/CONSENT_ID'
         ]
       },
       'responseView': 'DETAILED_ACCESS_LEVEL'
    }" `
  -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:checkDataAccess" | Select-Object -Expand Content

Se la richiesta riesce, il server restituisce una risposta simile al seguente esempio in formato JSON o un corpo della risposta vuoto se nessun dato utente corrisponde all'accesso ai dati specificato. La risposta di esempio utilizza FULL come responseView.

{
  "consentDetails": {                                                                                                                         "projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID/consents/CONSENT_ID": {
      "evaluationResult": "EVALUATION_RESULT"
    }
  }
}

EVALUATION_RESULT è uno dei seguenti valori: NOT_APPLICABLE, NO_MATCHING_POLICY, NO_SATISFIED_POLICY oHAS_SATISFIED_POLICY.

Effettuare una determinazione dell'accesso per tutti i consensi di un utente

Puoi richiedere una determinazione dell'accesso per tutti gli elementi di dati associati a un utente utilizzando il metodo projects.locations.datasets.consentStores.evaluateUserConsents. Questo metodo restituisce tutti gli elementi di dati associati a un utente specifico che hanno un consenso valido per l'utilizzo proposto.

Per richiedere una determinazione dell'accesso per tutti gli elementi di dati associati a un utente, effettua una richiesta POST e specifica le seguenti informazioni:

  • Il nome dello Store per il consenso principale.
  • Un ID utente che definisce gli elementi di dati e i consensi da valutare.
  • Un insieme facoltativo di coppie chiave-valore che definiscono gli attributi RESOURCE degli elementi di dati da valutare. Ad esempio, dataIdentifiable == de-identified. Se non definisci un insieme di attributi RESOURCE, vengono valutati tutti gli elementi di dati.
  • Un insieme di coppie chiave-valore che definiscono gli attributi REQUEST pertinenti e i relativi valori. Ad esempio, requesterIdentity == external-researcher.
  • Un flag facoltativo che indica se devono essere restituite determinazioni di accesso dettagliate. Se questo flag è impostato su FULL, il metodo restituisce risultati per ogni consenso valutato. Se questo flag è impostato su BASIC o non è definito, il metodo restituisce solo se l'accesso ai dati specificati è consentito dai consensi valutati. Questa funzionalità facoltativa viene utilizzata quando la tua applicazione deve verificare in che modo è stata presa una decisione in merito al consenso.
  • Un elenco facoltativo di consensi ACTIVE o DRAFT da prendere in considerazione per il metodo. Se non vengono specificati consensi, il metodo valuta tutti i consensi ACTIVE. Questa funzionalità facoltativa può essere utilizzata per testare il comportamento di nuovi o specifici consensi.
  • Un token di accesso

curl

Il seguente esempio mostra una richiesta POST che utilizza curl:

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
    -H "Content-Type: application/consent+json; charset=utf-8" \
    --data "{
       'userId' :
         'USER_ID',
       'consentList':{
         'consents':[
           'projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID/consents/CONSENT_ID'
         ]
       },
       'resourceAttributes': {
         'dataIdentifiable': 'de-identified'
       },
       'requestAttributes': {
         'requesterIdentity': 'external-researcher'
       },
       'responseView': 'DETAILED_ACCESS_LEVEL'
    }" \
"https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:evaluateUserConsents"

Se la richiesta riesce, il server restituisce una risposta simile al seguente esempio in formato JSON o un corpo della risposta vuoto se nessun dato utente corrisponde all'accesso ai dati specificato. La risposta di esempio utilizza FULL come responseView.

{
  "results": [
    {
      "dataId": "DATA_ID",
      "consentDetails": {
       "projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID/consents/CONSENT_ID": {
       "evaluationResult": "EVALUATION_RESULT"
        }
      }
    }
  ]
}

PowerShell

Il seguente esempio mostra una richiesta POST mediante Windows PowerShell:

$cred = gcloud auth application-default print-access-token
$headers = @{ Authorization = "Bearer $cred" }

Invoke-WebRequest `
  -Method Post `
  -Headers $headers `
  -ContentType: "application/consent+json; charset=utf-8" `
  -Body "{
       'userId' : 'USER_ID',
       'consentList':{
         'consents':[
           'projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID/consents/CONSENT_NAME'
         ]
       },
       'resourceAttributes': { 'dataIdentifiable': 'de-identified'},
       'requestAttributes': { 'requesterIdentity': 'external-researcher'},
       'responseView': 'DETAILED_ACCESS_LEVEL'
    }" `
  -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:evaluateUserConsents" | Select-Object -Expand Content

Se la richiesta riesce, il server restituisce una risposta simile al seguente esempio in formato JSON o un corpo della risposta vuoto se nessun dato utente corrisponde all'accesso ai dati specificato. La risposta di esempio utilizza FULL come responseView.

{
  "results": [
    {
      "dataId": "DATA_ID",
      "consentDetails": {
       "projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID/consents/CONSENT_ID": {
       "evaluationResult": "EVALUATION_RESULT"
        }
      }
    }
  ]
}

Puoi richiedere una determinazione dell'accesso per un intero archivio dei consensi utilizzando il metodo projects.locations.datasets.consentStores.queryAccessibleData. Questo metodo restituisce tutti gli elementi di dati all'interno di un archivio di consensi che hanno un consenso valido.

Per richiedere una determinazione dell'accesso in un intero archivio dei consensi, effettua una richiesta POST e specifica le seguenti informazioni:

  • Il nome dello Store per il consenso principale
  • Un insieme di coppie chiave-valore che definiscono gli attributi REQUEST pertinenti e i relativi valori. Ad esempio, requesterIdentity == external-researcher.
  • Un insieme facoltativo di coppie chiave-valore che definiscono gli attributi RESOURCE degli elementi di dati da valutare. Ad esempio, dataIdentifiable == de-identified. Se non definisci un insieme di attributi RESOURCE, tutti gli elementi di dati vengono valutati
  • Una destinazione Cloud Storage in cui viene salvato l'elenco dei risultati. L'account di servizio dell'API Cloud Healthcare deve avere il ruolo IAM roles/storage.objectAdmin in questa destinazione. Per ulteriori informazioni, consulta Autorizzazioni Cloud Storage per i negozi di consenso.
  • Un token di accesso

curl

Il seguente esempio mostra una richiesta POST che utilizza curl:

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
    -H "Content-Type: application/consent+json; charset=utf-8" \
    --data "{
       'gcsDestination': {
         'uriPrefix': 'gs://BUCKET/DIRECTORY'
       },
       'resourceAttributes': {
         'dataIdentifiable': 'de-identified'
       },
       'requestAttributes': {
         'requesterIdentity': 'external-researcher'
       }
    }" \
"https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:queryAccessibleData"

Se la richiesta riesce, il server restituisce una risposta simile al seguente esempio in formato JSON:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID"
}

La risposta contiene il nome di un'operazione. Per monitorare lo stato dell'operazione, puoi utilizzare il metodo Operation get:

curl -X GET \
    -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
    "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID"

Se la richiesta riesce, il server restituisce una risposta con lo stato dell'operazione in formato JSON:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.healthcare.v1beta1.OperationMetadata",
    "apiMethodName": "google.cloud.healthcare.v1beta1.consent.consentService.queryAccessibleData",
    "createTime": "CREATE_TIME",
    "endTime": "END_TIME"
    "logsUrl": "LOGS_URL",
    "counter": {
      "success": "SUCCESS_COUNT"
    }
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.protobuf.Empty"
  }
}

Al termine dell'operazione che richiede molto tempo, i risultati vengono visualizzati in un file di testo nella cartella specificata. Per informazioni sulle operazioni a lunga esecuzione, consulta Gestione di operazioni a lunga esecuzione.

PowerShell

Il seguente esempio mostra una richiesta POST mediante Windows PowerShell:

$cred = gcloud auth application-default print-access-token
$headers = @{ Authorization = "Bearer $cred" }

Invoke-WebRequest `
  -Method Post `
  -Headers $headers `
  -ContentType: "application/consent+json; charset=utf-8" `
  -Body "{
       'gcsDestination': {
         'uriPrefix': 'gs://BUCKET/DIRECTORY'
       },
       'resourceAttributes': {
         'dataIdentifiable': 'de-identified'
       },
       'requestAttributes': {
         'requesterIdentity': 'external-researcher'
       }
    }" `
  -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:queryAccessibleData" | Select-Object -Expand Content

Se la richiesta riesce, il server restituisce una risposta simile al seguente esempio in formato JSON:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID"
}

La risposta contiene il nome di un'operazione. Per monitorare lo stato dell'operazione, puoi utilizzare il metodo Operation get:

$cred = gcloud auth application-default print-access-token
$headers = @{ Authorization = "Bearer $cred" }

Invoke-WebRequest `
  -Method Get `
  -Headers $headers `
  -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID" | Select-Object -Expand Content

Se la richiesta riesce, il server restituisce una risposta con lo stato dell'operazione in formato JSON:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.healthcare.v1beta1.OperationMetadata",
    "apiMethodName": "google.cloud.healthcare.v1beta1.consent.consentService.queryAccessibleData",
    "createTime": "CREATE_TIME",
    "endTime": "END_TIME"
    "logsUrl": "LOGS_URL",
    "counter": {
      "success": "SUCCESS_COUNT"
    }
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.protobuf.Empty"
  }
}

Al termine dell'operazione che richiede molto tempo, i risultati vengono visualizzati in un file di testo nella cartella specificata. Per informazioni sulle operazioni a lunga esecuzione, consulta Gestione di operazioni a lunga esecuzione.

Registrazione delle richieste e delle risposte relative alla determinazione dell'accesso

Quando gli audit log di accesso ai dati sono abilitati, l'API Consent Management registra le richieste effettuate utilizzando i metodi checkDataAccess, evaluateUserConsents e queryAccessibleData. Questi log registrano le informazioni contenute nella richiesta, ad esempio l'attributo UserDataMapping target o gli attributi RESOURCE o REQUEST specificati. I log conterranno anche la risposta dell'API, che include il risultato della determinazione dell'accesso all'API di gestione del consenso. Ogni log include l'identità dello strumento Google Cloud che effettua la richiesta.

Per ulteriori informazioni sull'abilitazione degli audit log di accesso ai dati, consulta Configurazione degli audit log di accesso ai dati. Per ulteriori informazioni sull'audit logging nell'API Cloud Healthcare, consulta Visualizzazione degli audit log di Cloud.