Questa pagina descrive come effettuare determinazioni di accesso utilizzando l'API Consent Management.
Le applicazioni possono richiedere determinazioni di accesso dall'API Consent Management per un elemento di dati specifico, per tutti gli elementi di dati associati a un utente o per interi data store. In ogni caso, l'API Consent Management prende una decisione sull'accesso valutando le seguenti informazioni rispetto a quelle contenute nella richiesta di accesso:
- Il consenso dell'utente, ad esempio i valori degli attributi
REQUEST
- Le mappature dei dati utente, ad esempio i valori degli attributi
RESOURCE
.
Per impostazione predefinita, le determinazioni di accesso valutano solo i consensi ACTIVE
. I DRAFT
consensi possono essere inclusi in una determinazione dell'accesso specificandoli in una
richiesta di determinazione dell'accesso.
Le richieste di determinazione dell'accesso ignorano sempre i consensi scaduti, revocati o rifiutati.
Effettuare determinazioni di accesso al consenso per elementi di dati specifici
Puoi richiedere una determinazione dell'accesso per un elemento di dati specifico utilizzando il metodo
projects.locations.datasets.consentStores.checkDataAccess
. Questo metodo restituisce un messaggio che indica se il valore UserDataMapping
specificato ha un consenso valido per l'utilizzo proposto.
Per richiedere una determinazione dell'accesso per un elemento di dati specifico, effettua una richiesta POST
e specifica le seguenti informazioni:
- Il nome dello Store per il consenso principale.
- Un ID risorsa dati, ovvero una descrizione dell'elemento dati, ad esempio il percorso REST di una risorsa.
- Un insieme di coppie chiave-valore che rappresentano l'autore della richiesta in termini di attributi
REQUEST
pertinenti e dei relativi valori. Ad esempio,requesterIdentity == external-researcher
. - Un flag facoltativo che indica se devono essere riportate determinazioni di accesso dettagliate. Se questo flag è impostato su
FULL
, il metodo restituisce risultati per ogni consenso valutato. Se questo flag è impostato suBASIC
o non è definito, il metodo restituisce solo se l'accesso ai dati specificati è consentito dai consensi valutati. Questa funzionalità facoltativa viene utilizzata quando la tua applicazione deve verificare in che modo è stata presa una decisione in merito al consenso. - Un elenco facoltativo di consensi
ACTIVE
oDRAFT
da prendere in considerazione per il metodo. Se non vengono specificati consensi, il metodo valuta tutti i consensiACTIVE
. Questa funzionalità facoltativa può essere utilizzata per testare il comportamento di nuovi o specifici consensi. - Un token di accesso
curl
Il seguente esempio mostra una richiesta POST
che utilizza curl
:
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/consent+json; charset=utf-8" \ --data "{ 'dataId' : 'DATA_ID', 'requestAttributes': { 'requesterIdentity': 'external-researcher'}, 'consentList':{ 'consents':[ 'projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID/consents/CONSENT_NAME' ] }, 'responseView': 'DETAILED_ACCESS_LEVEL' }" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:checkDataAccess"
Se la richiesta riesce, il server restituisce una risposta simile al seguente esempio in formato JSON o un corpo della risposta vuoto se nessun dato utente corrisponde all'accesso ai dati specificato. La risposta di esempio utilizza FULL
come responseView
.
{ "consentDetails": { "projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID/consents/CONSENT_ID": { "evaluationResult": "EVALUATION_RESULT" } } }
EVALUATION_RESULT
è uno dei seguenti valori: NOT_APPLICABLE
,
NO_MATCHING_POLICY
, NO_SATISFIED_POLICY
oHAS_SATISFIED_POLICY
.
PowerShell
Il seguente esempio mostra una richiesta POST
mediante Windows PowerShell:
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/consent+json; charset=utf-8" ` -Body "{ 'dataId' : 'DATA_ID', 'requestAttributes': { 'requesterIdentity': 'external-researcher' }, 'consentList': { 'consents':[ 'projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID/consents/CONSENT_ID' ] }, 'responseView': 'DETAILED_ACCESS_LEVEL' }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:checkDataAccess" | Select-Object -Expand Content
Se la richiesta riesce, il server restituisce una risposta simile al seguente esempio in formato JSON o un corpo della risposta vuoto se nessun dato utente corrisponde all'accesso ai dati specificato. La risposta di esempio utilizza FULL
come responseView
.
{ "consentDetails": { "projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID/consents/CONSENT_ID": { "evaluationResult": "EVALUATION_RESULT" } } }
EVALUATION_RESULT
è uno dei seguenti valori: NOT_APPLICABLE
,
NO_MATCHING_POLICY
, NO_SATISFIED_POLICY
oHAS_SATISFIED_POLICY
.
Effettuare una determinazione dell'accesso per tutti i consensi di un utente
Puoi richiedere una determinazione dell'accesso per tutti gli elementi di dati associati a un
utente utilizzando il metodo
projects.locations.datasets.consentStores.evaluateUserConsents
. Questo metodo restituisce tutti gli elementi di dati associati a un utente specifico
che hanno un consenso valido per l'utilizzo proposto.
Per richiedere una determinazione dell'accesso per tutti gli elementi di dati associati a un
utente, effettua una richiesta POST
e specifica le seguenti informazioni:
- Il nome dello Store per il consenso principale.
- Un ID utente che definisce gli elementi di dati e i consensi da valutare.
- Un insieme facoltativo di coppie chiave-valore che definiscono gli attributi
RESOURCE
degli elementi di dati da valutare. Ad esempio,dataIdentifiable == de-identified
. Se non definisci un insieme di attributiRESOURCE
, vengono valutati tutti gli elementi di dati. - Un insieme di coppie chiave-valore che definiscono gli attributi
REQUEST
pertinenti e i relativi valori. Ad esempio,requesterIdentity == external-researcher
. - Un flag facoltativo che indica se devono essere restituite determinazioni di accesso dettagliate. Se questo flag è impostato su
FULL
, il metodo restituisce risultati per ogni consenso valutato. Se questo flag è impostato suBASIC
o non è definito, il metodo restituisce solo se l'accesso ai dati specificati è consentito dai consensi valutati. Questa funzionalità facoltativa viene utilizzata quando la tua applicazione deve verificare in che modo è stata presa una decisione in merito al consenso. - Un elenco facoltativo di consensi
ACTIVE
oDRAFT
da prendere in considerazione per il metodo. Se non vengono specificati consensi, il metodo valuta tutti i consensiACTIVE
. Questa funzionalità facoltativa può essere utilizzata per testare il comportamento di nuovi o specifici consensi. - Un token di accesso
curl
Il seguente esempio mostra una richiesta POST
che utilizza curl
:
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/consent+json; charset=utf-8" \ --data "{ 'userId' : 'USER_ID', 'consentList':{ 'consents':[ 'projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID/consents/CONSENT_ID' ] }, 'resourceAttributes': { 'dataIdentifiable': 'de-identified' }, 'requestAttributes': { 'requesterIdentity': 'external-researcher' }, 'responseView': 'DETAILED_ACCESS_LEVEL' }" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:evaluateUserConsents"
Se la richiesta riesce, il server restituisce una risposta simile al seguente esempio in formato JSON o un corpo della risposta vuoto se nessun dato utente corrisponde all'accesso ai dati specificato. La risposta di esempio utilizza FULL
come
responseView
.
{ "results": [ { "dataId": "DATA_ID", "consentDetails": { "projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID/consents/CONSENT_ID": { "evaluationResult": "EVALUATION_RESULT" } } } ] }
PowerShell
Il seguente esempio mostra una richiesta POST
mediante Windows PowerShell:
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/consent+json; charset=utf-8" ` -Body "{ 'userId' : 'USER_ID', 'consentList':{ 'consents':[ 'projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID/consents/CONSENT_NAME' ] }, 'resourceAttributes': { 'dataIdentifiable': 'de-identified'}, 'requestAttributes': { 'requesterIdentity': 'external-researcher'}, 'responseView': 'DETAILED_ACCESS_LEVEL' }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:evaluateUserConsents" | Select-Object -Expand Content
Se la richiesta riesce, il server restituisce una risposta simile al seguente esempio in formato JSON o un corpo della risposta vuoto se nessun dato utente corrisponde all'accesso ai dati specificato. La risposta di esempio utilizza FULL
come
responseView
.
{ "results": [ { "dataId": "DATA_ID", "consentDetails": { "projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID/consents/CONSENT_ID": { "evaluationResult": "EVALUATION_RESULT" } } } ] }
Determinazione degli accessi per gli archivi di consensi
Puoi richiedere una determinazione dell'accesso per un intero archivio dei consensi utilizzando il metodo
projects.locations.datasets.consentStores.queryAccessibleData
. Questo metodo restituisce tutti gli elementi di dati all'interno di un archivio di consensi che hanno un consenso valido.
Per richiedere una determinazione dell'accesso in un intero archivio dei consensi, effettua una richiesta POST
e specifica le seguenti informazioni:
- Il nome dello Store per il consenso principale
- Un insieme di coppie chiave-valore che definiscono gli attributi
REQUEST
pertinenti e i relativi valori. Ad esempio,requesterIdentity == external-researcher
. - Un insieme facoltativo di coppie chiave-valore che definiscono gli attributi
RESOURCE
degli elementi di dati da valutare. Ad esempio,dataIdentifiable == de-identified
. Se non definisci un insieme di attributiRESOURCE
, tutti gli elementi di dati vengono valutati - Una destinazione Cloud Storage in cui viene salvato l'elenco dei risultati. L'account di servizio dell'API Cloud Healthcare deve avere il ruolo IAM
roles/storage.objectAdmin
in questa destinazione. Per ulteriori informazioni, consulta Autorizzazioni Cloud Storage per i negozi di consenso. - Un token di accesso
curl
Il seguente esempio mostra una richiesta POST
che utilizza curl
:
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/consent+json; charset=utf-8" \ --data "{ 'gcsDestination': { 'uriPrefix': 'gs://BUCKET/DIRECTORY' }, 'resourceAttributes': { 'dataIdentifiable': 'de-identified' }, 'requestAttributes': { 'requesterIdentity': 'external-researcher' } }" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:queryAccessibleData"
Se la richiesta riesce, il server restituisce una risposta simile al seguente esempio in formato JSON:
{ "name": "projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID" }
La risposta contiene il nome di un'operazione. Per monitorare lo stato dell'operazione,
puoi utilizzare il
metodo Operation get
:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID"
Se la richiesta riesce, il server restituisce una risposta con lo stato dell'operazione in formato JSON:
{ "name": "projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID", "metadata": { "@type": "type.googleapis.com/google.cloud.healthcare.v1beta1.OperationMetadata", "apiMethodName": "google.cloud.healthcare.v1beta1.consent.consentService.queryAccessibleData", "createTime": "CREATE_TIME", "endTime": "END_TIME" "logsUrl": "LOGS_URL", "counter": { "success": "SUCCESS_COUNT" } }, "done": true, "response": { "@type": "type.googleapis.com/google.protobuf.Empty" } }
Al termine dell'operazione che richiede molto tempo, i risultati vengono visualizzati in un file di testo nella cartella specificata. Per informazioni sulle operazioni a lunga esecuzione, consulta Gestione di operazioni a lunga esecuzione.
PowerShell
Il seguente esempio mostra una richiesta POST
mediante Windows PowerShell:
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/consent+json; charset=utf-8" ` -Body "{ 'gcsDestination': { 'uriPrefix': 'gs://BUCKET/DIRECTORY' }, 'resourceAttributes': { 'dataIdentifiable': 'de-identified' }, 'requestAttributes': { 'requesterIdentity': 'external-researcher' } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:queryAccessibleData" | Select-Object -Expand Content
Se la richiesta riesce, il server restituisce una risposta simile al seguente esempio in formato JSON:
{ "name": "projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID" }
La risposta contiene il nome di un'operazione. Per monitorare lo stato dell'operazione,
puoi utilizzare il
metodo Operation get
:
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Get ` -Headers $headers ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID" | Select-Object -Expand Content
Se la richiesta riesce, il server restituisce una risposta con lo stato dell'operazione in formato JSON:
{ "name": "projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID", "metadata": { "@type": "type.googleapis.com/google.cloud.healthcare.v1beta1.OperationMetadata", "apiMethodName": "google.cloud.healthcare.v1beta1.consent.consentService.queryAccessibleData", "createTime": "CREATE_TIME", "endTime": "END_TIME" "logsUrl": "LOGS_URL", "counter": { "success": "SUCCESS_COUNT" } }, "done": true, "response": { "@type": "type.googleapis.com/google.protobuf.Empty" } }
Al termine dell'operazione che richiede molto tempo, i risultati vengono visualizzati in un file di testo nella cartella specificata. Per informazioni sulle operazioni a lunga esecuzione, consulta Gestione di operazioni a lunga esecuzione.
Registrazione delle richieste e delle risposte relative alla determinazione dell'accesso
Quando gli audit log di accesso ai dati sono abilitati, l'API Consent Management registra le richieste effettuate utilizzando i metodi checkDataAccess
, evaluateUserConsents
e queryAccessibleData
. Questi log registrano le informazioni contenute nella richiesta, ad esempio l'attributo UserDataMapping
target o gli attributi RESOURCE
o REQUEST
specificati. I log conterranno anche la risposta dell'API, che include il risultato della determinazione dell'accesso all'API di gestione del consenso. Ogni log include l'identità dello strumento Google Cloud che effettua la richiesta.
Per ulteriori informazioni sull'abilitazione degli audit log di accesso ai dati, consulta Configurazione degli audit log di accesso ai dati. Per ulteriori informazioni sull'audit logging nell'API Cloud Healthcare, consulta Visualizzazione degli audit log di Cloud.