En esta página, se describe cómo controlar el acceso a los conjuntos de datos y almacenes de datos de la API de Cloud Healthcare mediante los permisos de la administración de identidades y accesos (IAM). IAM te permite controlar quién tiene acceso a tus conjuntos de datos y almacenes de datos. Si quieres obtener más información sobre IAM para la API de Cloud Healthcare, consulta Control de acceso.
Descripción general de las políticas de IAM
El acceso a un recurso se administra a través de una política de IAM. Una política contiene un arreglo, llamado bindings
. Este arreglo contiene una colección de vinculaciones, que son asociaciones entre principales, como una cuenta de usuario o una cuenta de servicio, y una función. Las políticas se representan mediante JSON o YAML.
En la siguiente política de ejemplo, se muestra a user-1@example.com
, que se le otorgó el rol roles/healthcare.datasetAdmin
, y a user-2@example.com
y service-account-13@appspot.gserviceaccount.com
, que se les otorgó el rol roles/healthcare.datasetViewer
:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Para actualizar una política de un recurso, usa el patrón de lectura, modificación y escritura. No hay métodos distintos para crear, modificar y revocar el acceso de los usuarios.
Para actualizar una política de invitado, sigue estos pasos:
- Para leer la política actual, llama al método
getIamPolicy()
del recurso. Por ejemplo, para leer la política actual de un conjunto de datos, llama aprojects.locations.datasets.getIamPolicy
. - Edita la política mostrada, ya sea mediante el uso de un editor de texto o de manera programática, para agregar o quitar los principales aplicables y sus concesiones de roles.
- Para escribir la política actualizada, llama al método
setIamPolicy()
del recurso. Por ejemplo, para escribir la política actualizada de un conjunto de datos, llama aprojects.locations.datasets.setIamPolicy
.
Usa IAM con almacenes de consentimiento
En las siguientes secciones, se muestra cómo obtener, modificar y establecer una política para un almacén de consentimientos. En estas secciones, se usa la siguiente política de ejemplo como punto de partida:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Obtén una política
En los siguientes ejemplos, se muestra cómo leer una política de IAM a nivel de un almacén de consentimientos. Para obtener más información, consulta projects.locations.datasets.consentStores.getIamPolicy
Consola
Para ver la política de IAM de un almacén de consentimientos, haz lo siguiente:
- En la consola de Google Cloud, ve a la página Conjuntos de datos.
- Haz clic en el ID del conjunto de datos que contiene el almacén de consentimientos y, luego, selecciona el almacén de consentimientos para el que deseas obtener una política.
- Haz clic en Mostrar panel de información.
- Para ver los principales asignados a una función, expande la función.
gcloud
Para ver la política de IAM de un almacén de consentimientos, ejecuta el comando gcloud healthcare consent-stores get-iam-policy
. Especifica el nombre del almacén de consentimientos, el nombre del conjunto de datos y la ubicación.
gcloud healthcare consent-stores get-iam-policy CONSENT_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION
Si la solicitud es exitosa, se muestran las vinculaciones.
bindings: - members: - user:user-1@example.com role: roles/healthcare.consentStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.consentReader etag: bytes version: VERSION_NUMBER
Node.js
Python
curl
Para leer la política de IAM de un almacén de consentimientos, realiza una solicitud GET
y proporciona el nombre del conjunto de datos, el nombre del almacén de consentimientos y un token de acceso.
En el siguiente ejemplo, se muestra una solicitud GET
mediante curl
:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:getIamPolicy"
La respuesta es la siguiente:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
PowerShell
Para leer la política de IAM de un almacén de consentimientos, realiza una solicitud GET
y proporciona el nombre del conjunto de datos, el nombre del almacén de consentimientos y un token de acceso.
En el siguiente ejemplo, se muestra una solicitud GET
mediante Windows PowerShell.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Get ` -Headers $headers ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:getIamPolicy" | Select-Object -Expand Content
La respuesta es la siguiente:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Modifica una política
En los siguientes ejemplos, se otorga a un usuario nuevo la función roles/healthcare.consentReader
. Para obtener más información, consulta projects.locations.datasets.consentStores.setIamPolicy
.
Establece una política
Consola
Para establecer una política de IAM a nivel del almacén de consentimientos, completa los siguientes pasos:
- En la consola de Google Cloud, ve a la página Conjuntos de datos.
- Haz clic en el ID del conjunto de datos que contiene el almacén de consentimientos y, luego, selecciona el almacén de consentimientos para el que deseas establecer una política.
- Haz clic en Mostrar panel de información.
- Haz clic en Agregar principal.
- En el campo Nuevos miembros, ingresa una o más identidades que necesiten acceso al almacén de consentimientos.
- En la lista Seleccionar una función, en Cloud Healthcare, selecciona el permiso que deseas otorgar. Por ejemplo, el visualizador del almacén de consentimientos de Healthcare.
- Haz clic en Guardar.
gcloud
Para otorgar funciones a los usuarios o revocarlas, modifica la política que recuperaste mediante un editor de texto o de manera programática. El valor etag
cambia cuando cambia la política, por lo que debes especificar el valor actual.
Para otorgar la función a un usuario nuevo, agrega su dirección de correo electrónico al arreglo members
en la vinculación roles/healthcare.consentReader
:
{ "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para revocar el acceso desde el último principal que tiene un rol, borra el arreglo bindings
del rol. No puedes tener un array bindings
vacío en tu política.
Después de modificar la política para otorgar las funciones aplicables, ejecuta el comando set-iam-policy
adecuado a fin de realizar los cambios. Para establecer una política a nivel de un almacén de consentimientos, ejecuta el comando gcloud healthcare consent-stores set-iam-policy
. Especifica el nombre del almacén de consentimientos, el nombre del conjunto de datos, la ubicación y la ruta de acceso al archivo de la política que creaste.
gcloud healthcare consent-stores set-iam-policy CONSENT_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION \ POLICY_FILE_NAME
Si la solicitud es exitosa, se mostrarán el nombre del almacén de consentimientos y las vinculaciones.
Updated IAM policy for consentStore [CONSENT_STORE_ID]. bindings: - members: - user:user-1@example.com role: roles/healthcare.consentStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.consentReader etag: bytes version: VERSION_NUMBER
Node.js
Python
curl
Para otorgar funciones a los usuarios o revocarlas, modifica la política que recuperaste mediante un editor de texto o de manera programática. El valor etag
cambia cuando cambia la política, por lo que debes especificar el valor actual.
Para otorgar la función a un usuario nuevo, agrega su dirección de correo electrónico al arreglo members
en la vinculación roles/healthcare.consentReader
:
{ "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para revocar el acceso desde el último principal que tiene un rol, borra el arreglo bindings
del rol. No puedes tener un array bindings
vacío en tu política.
Después de modificar la política para otorgar las funciones aplicables, llama a projects.locations.datasets.consentStores.setIamPolicy
a fin de realizar las actualizaciones.
Para establecer una política de IAM a nivel de un almacén de consentimientos, realiza una solicitud POST
y proporciona el nombre del conjunto de datos, el nombre del almacén de consentimientos, la política y un token de acceso.
En el siguiente ejemplo, se muestra una solicitud POST
que usa curl
para otorgar a un usuario nuevo la función roles/healthcare.consentReader
existente.
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.consentStoreAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.consentReader', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:setIamPolicy"
La respuesta es la siguiente:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
PowerShell
Para otorgar funciones a los usuarios o revocarlas, modifica la política que recuperaste mediante un editor de texto o de manera programática. El valor etag
cambia cuando cambia la política, por lo que debes especificar el valor actual.
Para otorgar la función a un usuario nuevo, agrega su dirección de correo electrónico al arreglo members
en la vinculación roles/healthcare.consentReader
:
{ "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para revocar el acceso desde el último principal que tiene un rol, borra el arreglo bindings
del rol. No puedes tener un array bindings
vacío en tu política.
Después de modificar la política para otorgar las funciones aplicables, llama a projects.locations.datasets.consentStores.setIamPolicy
a fin de realizar las actualizaciones.
Para establecer una política de IAM a nivel de un almacén de consentimientos, realiza una solicitud POST
y proporciona el nombre del conjunto de datos, el nombre del almacén de consentimientos, la política y un token de acceso.
En el siguiente ejemplo, se muestra una solicitud POST
mediante Windows PowerShell para otorgar a un usuario nuevo la función roles/healthcare.consentReader
existente.
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.consentStoreAdmin', 'members': [ 'user:user-1@example.com', ] }, { 'role': 'roles/healthcare.consentReader', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:setIamPolicy" | Select-Object -Expand Content
La respuesta es la siguiente:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
Usa IAM con conjuntos de datos
En las siguientes secciones, se muestra cómo obtener, modificar y establecer una política para un conjunto de datos. En estas secciones, se usa la siguiente política de ejemplo como punto de partida:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Obtén una política
En los siguientes ejemplos, se muestra cómo leer una política de IAM a nivel de un conjunto de datos. Para obtener más información, consulta projects.locations.datasets.getIamPolicy
curl
Para ver la política de IAM de un conjunto de datos, realiza una solicitud GET
y proporciona el nombre del conjunto de datos y un token de acceso.
En el siguiente ejemplo, se muestra una solicitud GET
mediante curl
:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID:getIamPolicy"
La respuesta es la siguiente:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
PowerShell
Para ver la política de IAM de un conjunto de datos, realiza una solicitud GET
y proporciona el nombre del conjunto de datos y un token de acceso.
En el siguiente ejemplo, se muestra una solicitud GET
mediante Windows PowerShell.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Get ` -Headers $headers ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID:getIamPolicy" | Select-Object -Expand Content
La respuesta es la siguiente:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Consola
Para ver la política de IAM de un conjunto de datos, haz lo siguiente:- En la consola de Google Cloud, ve a la página Conjuntos de datos.
- Selecciona un conjunto de datos y, luego, haz clic en Mostrar panel de información.
- Para ver los principales asignados a una función, expande la función.
gcloud
Para ver la política de IAM de un conjunto de datos, ejecuta el comando gcloud healthcare datasets get-iam-policy
. Especifica el nombre del conjunto de datos y la ubicación.
gcloud healthcare datasets get-iam-policy DATASET_ID \ --location=LOCATION
Si la solicitud es exitosa, se muestran las vinculaciones.
bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.datasetViewer etag: bytes version: VERSION_NUMBER
Go
Java
Node.js
Python
Modifica una política
En los siguientes ejemplos, se otorga a un usuario nuevo la función roles/healthcare.datasetViewer
.
Establece una política
Console
Para establecer una política de IAM a nivel de un conjunto de datos, completa los siguientes pasos:
- En la consola de Google Cloud, ve a la página Conjuntos de datos.
- Selecciona el conjunto de datos para el que deseas establecer una política y haz clic en Mostrar panel de información.
- Haz clic en Agregar principal.
- En el campo Nuevos principales, ingresa una o más identidades que necesiten acceso al conjunto de datos.
- En la lista Seleccionar una función, en Cloud Healthcare, selecciona el permiso que deseas otorgar. Por ejemplo, el visor de conjuntos de datos de Healthcare.
- Haz clic en Guardar.
gcloud
Para otorgar funciones a los usuarios o revocarlas, modifica la política que recuperaste mediante un editor de texto o de manera programática. El valor etag
cambia cuando cambia la política, por lo que debes especificar el valor actual.
Para otorgar la función a un usuario nuevo, agrega su dirección de correo electrónico al arreglo members
en la vinculación roles/healthcare.datasetViewer
:
{ "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para revocar el acceso desde el último principal que tiene un rol, borra el arreglo bindings
del rol. No puedes tener un array bindings
vacío en tu política.
Después de modificar la política para otorgar las funciones aplicables, ejecuta el comando set-iam-policy
adecuado a fin de realizar los cambios. Para establecer una política a nivel de un conjunto de datos, ejecuta el comando gcloud healthcare datasets set-iam-policy
. Especifica el nombre del conjunto de datos, la ubicación y la ruta de acceso al archivo de política que creaste.
gcloud healthcare datasets set-iam-policy DATASET_ID \ --location=LOCATION \ POLICY_FILE_NAME
Si la solicitud es exitosa, se mostrarán el nombre del conjunto de datos y las vinculaciones.
Updated IAM policy for dataset [DATASET_ID]. bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.datasetAdmin - user:user-1@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.datasetViewer etag: bytes version: VERSION_NUMBER
curl
Para otorgar funciones a los usuarios o revocarlas, modifica la política que recuperaste mediante un editor de texto o de manera programática. El valor etag
cambia cuando cambia la política, por lo que debes especificar el valor actual.
Para otorgar la función a un usuario nuevo, agrega su dirección de correo electrónico al arreglo members
en la vinculación roles/healthcare.datasetViewer
:
{ "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para revocar el acceso desde el último principal que tiene un rol, borra el arreglo bindings
del rol. No puedes tener un array bindings
vacío en tu política.
Después de modificar la política para otorgar las funciones aplicables, llama a projects.locations.datasets.setIamPolicy
a fin de realizar las actualizaciones.
Para configurar una política de IAM a nivel de un conjunto de datos, realiza una solicitud POST
y proporciona el nombre del conjunto de datos, la política y un token de acceso.
En el siguiente ejemplo, se muestra una solicitud POST
que usa curl
para otorgar a un usuario nuevo la función roles/healthcare.datasetViewer
existente.
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.datasetAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.datasetViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID:setIamPolicy"
La respuesta es la siguiente:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
PowerShell
Para otorgar funciones a los usuarios o revocarlas, modifica la política que recuperaste mediante un editor de texto o de manera programática. El valor etag
cambia cuando cambia la política, por lo que debes especificar el valor actual.
Para otorgar la función a un usuario nuevo, agrega su dirección de correo electrónico al arreglo members
en la vinculación roles/healthcare.datasetViewer
:
{ "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para revocar el acceso desde el último principal que tiene un rol, borra el arreglo bindings
del rol. No puedes tener un array bindings
vacío en tu política.
Después de modificar la política para otorgar las funciones aplicables, llama a projects.locations.datasets.setIamPolicy
a fin de realizar las actualizaciones.
Para configurar una política de IAM a nivel de un conjunto de datos, realiza una solicitud POST
y proporciona el nombre del conjunto de datos, la política y un token de acceso.
En el siguiente ejemplo, se muestra una solicitud POST
mediante Windows PowerShell para otorgar a un usuario nuevo la función roles/healthcare.datasetViewer
existente.
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.datasetAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role': 'roles/healthcare.datasetViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID:setIamPolicy" | Select-Object -Expand Content
La respuesta es la siguiente:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
Go
Java
Node.js
Python
Usa IAM con almacenes de DICOM
En las siguientes secciones, se muestra cómo obtener, modificar y establecer una política para un almacén de DICOM. En estas secciones, se usa la siguiente política de ejemplo como punto de partida:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Obtén una política
En los ejemplos siguientes, se muestra cómo leer una política de IAM a nivel de un almacén de DICOM. Para obtener más información, consulta projects.locations.datasets.dicomStores.getIamPolicy
Console
Para ver la política de Cloud IAM de un almacén de DICOM, haz lo siguiente:
- En la consola de Google Cloud, ve a la página Conjuntos de datos.
- Haz clic en el ID del conjunto de datos que contiene el almacén de DICOM y, luego, selecciona el almacén de DICOM para el que deseas obtener una política.
- Haz clic en Mostrar panel de información.
- Para ver los principales asignados a una función, expande la función.
gcloud
Para ver la política de IAM de un almacén de DICOM, ejecuta el comando gcloud healthcare dicom-stores get-iam-policy
. Especifica el nombre del almacén de DICOM, el nombre del conjunto de datos y la ubicación.
gcloud healthcare dicom-stores get-iam-policy DICOM_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION
Si la solicitud es exitosa, se muestran las vinculaciones.
bindings: - members: - user:user-1@example.com role: roles/healthcare.dicomStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.dicomViewer etag: bytes version: VERSION_NUMBER
Go
Java
Node.js
Python
curl
Para leer la política de IAM de un almacén de DICOM, realiza una solicitud GET
y proporciona el nombre del conjunto de datos, el nombre del almacén de DICOM y un token de acceso.
En el siguiente ejemplo, se muestra una solicitud GET
mediante curl
:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/dicomStores/DICOM_STORE_ID:getIamPolicy"
La respuesta es la siguiente:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
PowerShell
Para leer la política de IAM de un almacén de DICOM, realiza una solicitud GET
y proporciona el nombre del conjunto de datos, el nombre del almacén de DICOM y un token de acceso.
En el siguiente ejemplo, se muestra una solicitud GET
mediante Windows PowerShell.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Get ` -Headers $headers ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/dicomStores/DICOM_STORE_ID:getIamPolicy" | Select-Object -Expand Content
La respuesta es la siguiente:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Modifica una política
En los siguientes ejemplos, se otorga a un usuario nuevo la función roles/healthcare.dicomViewer
. Para obtener más información, consulta projects.locations.datasets.dicomStores.setIamPolicy
.
Establece una política
Console
Para configurar una política de IAM a nivel de un almacén de DICOM, completa los siguientes pasos:
- En la consola de Google Cloud, ve a la página Conjuntos de datos.
- Haz clic en el ID del conjunto de datos que contiene el almacén de DICOM y, luego, selecciona el almacén de DICOM para el que deseas establecer una política.
- Haz clic en Mostrar panel de información.
- Haz clic en Agregar principal.
- En el campo Nuevos principales, ingresa una o más identidades que necesiten acceso al almacén de DICOM.
- En la lista Seleccionar una función, en Cloud Healthcare, selecciona el permiso que deseas otorgar. Por ejemplo, el visor del almacén de DICOM de Healthcare.
- Haz clic en Guardar.
gcloud
Para otorgar funciones a los usuarios o revocarlas, modifica la política que recuperaste mediante un editor de texto o de manera programática. El valor etag
cambia cuando cambia la política, por lo que debes especificar el valor actual.
Para otorgar la función a un usuario nuevo, agrega su dirección de correo electrónico al arreglo members
en la vinculación roles/healthcare.dicomViewer
:
{ "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para revocar el acceso desde el último principal que tiene un rol, borra el arreglo bindings
del rol. No puedes tener un array bindings
vacío en tu política.
Después de modificar la política para otorgar las funciones aplicables, ejecuta el comando set-iam-policy
adecuado a fin de realizar los cambios. Para establecer una política de nivel de un almacén de DICOM, ejecuta el comando gcloud healthcare dicom-stores set-iam-policy
. Especifica el nombre del almacén de DICOM, el nombre del conjunto de datos, la ubicación y la ruta de acceso al archivo de política que creaste.
gcloud healthcare dicom-stores set-iam-policy DICOM_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION \ POLICY_FILE_NAME
Si la solicitud es exitosa, se mostrarán el nombre del almacén de DICOM y las vinculaciones.
Updated IAM policy for dicomStore [DICOM_STORE_ID]. bindings: - members: - user:user-1@example.com role: roles/healthcare.dicomStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.dicomViewer etag: bytes version: VERSION_NUMBER
Go
Java
Node.js
Python
curl
Para otorgar funciones a los usuarios o revocarlas, modifica la política que recuperaste mediante un editor de texto o de manera programática. El valor etag
cambia cuando cambia la política, por lo que debes especificar el valor actual.
Para otorgar la función a un usuario nuevo, agrega su dirección de correo electrónico al arreglo members
en la vinculación roles/healthcare.dicomViewer
:
{ "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para revocar el acceso desde el último principal que tiene un rol, borra el arreglo bindings
del rol. No puedes tener un array bindings
vacío en tu política.
Después de modificar la política para otorgar las funciones aplicables, llama a projects.locations.datasets.dicomStores.setIamPolicy
a fin de realizar las actualizaciones.
Para configurar una política de IAM a nivel de un almacén de DICOM, realiza una solicitud POST
y proporciona el nombre del conjunto de datos, el nombre del almacén de DICOM, la política y un token de acceso.
En el siguiente ejemplo, se muestra una solicitud POST
que usa curl
para otorgar a un usuario nuevo la función roles/healthcare.dicomViewer
existente.
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.dicomStoreAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.dicomViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/dicomStores/DICOM_STORE_ID:setIamPolicy"
La respuesta es la siguiente:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
PowerShell
Para otorgar funciones a los usuarios o revocarlas, modifica la política que recuperaste mediante un editor de texto o de manera programática. El valor etag
cambia cuando cambia la política, por lo que debes especificar el valor actual.
Para otorgar la función a un usuario nuevo, agrega su dirección de correo electrónico al arreglo members
en la vinculación roles/healthcare.dicomViewer
:
{ "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para revocar el acceso desde el último principal que tiene un rol, borra el arreglo bindings
del rol. No puedes tener un array bindings
vacío en tu política.
Después de modificar la política para otorgar las funciones aplicables, llama a projects.locations.datasets.dicomStores.setIamPolicy
a fin de realizar las actualizaciones.
Para configurar una política de IAM a nivel de un almacén de DICOM, realiza una solicitud POST
y proporciona el nombre del conjunto de datos, el nombre del almacén de DICOM, la política y un token de acceso.
En el siguiente ejemplo, se muestra una solicitud POST
mediante Windows PowerShell para otorgar a un usuario nuevo la función roles/healthcare.dicomViewer
existente.
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.dicomStoreAdmin', 'members': [ 'user:user-1@example.com', ] }, { 'role': 'roles/healthcare.dicomViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/dicomStores/DICOM_STORE_ID:setIamPolicy" | Select-Object -Expand Content
La respuesta es la siguiente:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
Usa IAM con almacenes de FHIR
En las siguientes secciones, se muestra cómo obtener, modificar y establecer una política para un almacén de FHIR. En estas secciones, se usa la siguiente política de ejemplo como punto de partida:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Obtén una política
En los siguientes ejemplos, se muestra cómo leer una política de IAM a nivel de un almacén de FHIR. Para obtener más información, consulta projects.locations.datasets.fhirStores.getIamPolicy
Console
Para ver la política de Cloud IAM de un almacén de FHIR, haz lo siguiente:
- En la consola de Google Cloud, ve a la página Conjuntos de datos.
- Haz clic en el ID del conjunto de datos que contiene el almacén de FHIR y, luego, selecciona el almacén de FHIR para el que deseas obtener una política.
- Haz clic en Mostrar panel de información.
- Para ver los principales asignados a una función, expande la función.
gcloud
Para ver la política de IAM de un almacén de FHIR, ejecuta el comando gcloud healthcare fhir-stores get-iam-policy
. Especifica el nombre de la tienda FHIR, el nombre del conjunto de datos y la ubicación.
gcloud healthcare fhir-stores get-iam-policy FHIR_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION
Si la solicitud es exitosa, se muestran las vinculaciones.
bindings: - members: - user:user-1@example.com role: roles/healthcare.fhirStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.fhirResourceReader etag: bytes version: VERSION_NUMBER
Go
Java
Node.js
Python
curl
Para leer la política de IAM de un almacén de FHIR, realiza una solicitud POST
y proporciona el nombre del conjunto de datos, el nombre del almacén de FHIR y un token de acceso.
En el siguiente ejemplo, se muestra una solicitud POST
mediante curl
:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/fhirStores/FHIR_STORE_ID:getIamPolicy"
La respuesta es la siguiente:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
PowerShell
Para leer la política de IAM de un almacén de DICOM, realiza una solicitud POST
y proporciona el nombre del conjunto de datos, el nombre del almacén de FHIR y un token de acceso.
En el siguiente ejemplo, se muestra una solicitud POST
mediante Windows PowerShell.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/fhirStores/FHIR_STORE_ID:getIamPolicy" | Select-Object -Expand Content
La respuesta es la siguiente:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Modifica una política
En los siguientes ejemplos, se otorga a un usuario nuevo la función roles/healthcare.fhirResourceReader
. Para obtener más información, consulta projects.locations.datasets.fhirStores.setIamPolicy
.
Establece una política
Console
Para establecer una política de IAM a nivel del almacén de FHIR, completa los siguientes pasos:
- En la consola de Google Cloud, ve a la página Conjuntos de datos.
- Haz clic en el ID del conjunto de datos que contiene el almacén de FHIR y, luego, selecciona el almacén de FHIR para el que deseas establecer una política.
- Haz clic en Mostrar panel de información.
- Haz clic en Agregar principal.
- En el campo Nuevos principales, ingresa una o más identidades que necesiten acceso al almacén de FHIR.
- En la lista Seleccionar una función, en Cloud Healthcare, selecciona el permiso que deseas otorgar. Por ejemplo, el lector de recursos de FHIR de Healthcare.
- Haz clic en Guardar.
gcloud
Para otorgar funciones a los usuarios o revocarlas, modifica la política que recuperaste mediante un editor de texto o de manera programática. El valor etag
cambia cuando cambia la política, por lo que debes especificar el valor actual.
Para otorgar la función a un usuario nuevo, agrega su dirección de correo electrónico al arreglo members
en la vinculación roles/healthcare.fhirResourceReader
:
{ "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para revocar el acceso desde el último principal que tiene un rol, borra el arreglo bindings
del rol. No puedes tener un array bindings
vacío en tu política.
Después de modificar la política para otorgar las funciones aplicables, ejecuta el comando set-iam-policy
adecuado a fin de realizar los cambios.
Para establecer una política a nivel de un almacén de FHIR, ejecuta el comando gcloud healthcare fhir-stores set-iam-policy
. Especifica el nombre del almacén de FHIR, el nombre del conjunto de datos, la ubicación y la ruta de acceso al archivo de la política que creaste.
gcloud healthcare fhir-stores set-iam-policy FHIR_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION \ POLICY_FILE_NAME
Si la solicitud es exitosa, se mostrarán el nombre del almacén de FHIR y las vinculaciones.
Updated IAM policy for fhirStore [FHIR_STORE_ID]. bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.fhirResourceReader etag: bytes version: VERSION_NUMBER
Go
Java
Node.js
Python
curl
Para otorgar funciones a los usuarios o revocarlas, modifica la política que recuperaste mediante un editor de texto o de manera programática. El valoretag
cambia cuando cambia la política, por lo que debes especificar el valor actual.
Para otorgar la función a un usuario nuevo, agrega su dirección de correo electrónico al arreglo members
en la vinculación roles/healthcare.fhirResourceReader
:
{ "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para revocar el acceso desde el último principal que tiene un rol, borra el arreglo bindings
del rol. No puedes tener un array bindings
vacío en tu política.
Después de modificar la política para otorgar las funciones aplicables, llama a projects.locations.datasets.fhirStores.setIamPolicy
a fin de realizar las actualizaciones.
Para establecer una política de IAM a nivel de un almacén de FHIR, realiza una solicitud POST
y proporciona el nombre del conjunto de datos, el nombre del almacén de FHIR, la política y un token de acceso.
En el siguiente ejemplo, se muestra una solicitud POST
que usa curl
para otorgar a un usuario nuevo la función roles/healthcare.fhirResourceReader
existente.
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.fhirStoreAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.fhirResourceReader', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/fhirStores/FHIR_STORE_ID:setIamPolicy"
La respuesta es la siguiente:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
PowerShell
Para otorgar funciones a los usuarios o revocarlas, modifica la política que recuperaste mediante un editor de texto o de manera programática. El valor etag
cambia cuando cambia la política, por lo que debes especificar el valor actual.
Para otorgar la función a un usuario nuevo, agrega su dirección de correo electrónico al arreglo members
en la vinculación roles/healthcare.fhirResourceReader
:
{ "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para revocar el acceso desde el último principal que tiene un rol, borra el arreglo bindings
del rol. No puedes tener un array bindings
vacío en tu política.
Después de modificar la política para otorgar las funciones aplicables, llama a projects.locations.datasets.fhirStores.setIamPolicy
a fin de realizar las actualizaciones.
Para establecer una política de IAM a nivel de un almacén de FHIR, realiza una solicitud POST
y proporciona el nombre del conjunto de datos, el nombre del almacén de FHIR, la política y un token de acceso.
En el siguiente ejemplo, se muestra una solicitud POST
mediante Windows PowerShell para otorgar a un usuario nuevo la función roles/healthcare.fhirResourceReader
existente.
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.fhirStoreAdmin', 'members': [ 'user:user-1@example.com', ] }, { 'role': 'roles/healthcare.fhirResourceReader', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/fhirStores/FHIR_STORE_ID:setIamPolicy" | Select-Object -Expand Content
La respuesta es la siguiente:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
Usa IAM con almacenes de HL7v2
En las siguientes secciones, se muestra cómo obtener, modificar y establecer una política para un almacén de HL7v2. En estas secciones, se usa la siguiente política de ejemplo como punto de partida:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Obtén una política
En los siguientes ejemplos, se muestra cómo leer una política de IAM a nivel de un almacén de HL7v2. Para obtener más información, consulta projects.locations.datasets.hl7V2Stores.getIamPolicy
Console
Para ver la política de Cloud IAM de un almacén de HL7v2, haz lo siguiente:
- En la consola de Google Cloud, ve a la página Conjuntos de datos.
- Haz clic en el ID del conjunto de datos que contiene el almacén de HL7v2 y, luego, selecciona el almacén de HL7v2 para el que deseas obtener una política.
- Haz clic en Mostrar panel de información.
- Para ver los principales asignados a una función, expande la función.
gcloud
Para ver la política de IAM de un almacén de HL7v2, ejecuta el comando hl7v2-stores get-iam-policy
. Especifica el nombre del almacén de HL7v2, el nombre del conjunto de datos y la ubicación.
gcloud healthcare hl7v2-stores get-iam-policy HL7V2_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION
Si la solicitud es exitosa, se muestran las vinculaciones.
bindings: - members: - user:user-1@example.com role: roles/healthcare.hl7v2StoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.hl7v2Consumer etag: bytes version: VERSION_NUMBER
curl
Para leer la política de IAM de un almacén de HL7v2, realiza una solicitud GET
y proporciona el nombre del conjunto de datos, el nombre del almacén de HL7v2 y un token de acceso.
En el siguiente ejemplo, se muestra una solicitud GET
mediante curl
:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/hl7V2Stores/HL7V2_STORE_ID:getIamPolicy"
La respuesta es la siguiente:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
PowerShell
Para leer la política de IAM de un almacén de HL7v2, realiza una solicitud GET
y proporciona el nombre del conjunto de datos, el nombre del almacén de HL7v2 y un token de acceso.
En el siguiente ejemplo, se muestra una solicitud GET
mediante Windows PowerShell.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Get ` -Headers $headers ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/hl7V2Stores/HL7V2_STORE_ID:getIamPolicy" | Select-Object -Expand Content
La respuesta es la siguiente:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Go
Java
Node.js
Python
Modifica una política
En los siguientes ejemplos, se otorga a un usuario nuevo la función roles/healthcare.hl7V2Consumer
. Para obtener más información, consulta projects.locations.datasets.hl7V2Stores.setIamPolicy
.
Establece una política
Console
Para establecer una política de IAM a nivel de un almacén de HL7v2, completa los siguientes pasos:
- En la consola de Google Cloud, ve a la página Conjuntos de datos.
- Haz clic en el ID del conjunto de datos que contiene el almacén de HL7v2 y, luego, selecciona el almacén de HL7v2 para el que deseas establecer una política.
- Haz clic en Mostrar panel de información.
- Haz clic en Agregar principal.
- En el campo Nuevos miembros, ingresa una o más identidades que necesiten acceso al almacén de HL7v2.
- En la lista Seleccionar una función, en Cloud Healthcare, selecciona el permiso que deseas otorgar. Por ejemplo, el consumidor de mensajes HL7v2 de Healthcare.
- Haz clic en Guardar.
gcloud
Para otorgar funciones a los usuarios o revocarlas, modifica la política que recuperaste mediante un editor de texto o de manera programática. El valor etag
cambia cuando cambia la política, por lo que debes especificar el valor actual.
Para otorgar la función a un usuario nuevo, agrega su dirección de correo electrónico al arreglo members
en la vinculación roles/healthcare.hl7V2Consumer
:
{ "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para revocar el acceso desde el último principal que tiene un rol, borra el arreglo bindings
del rol. No puedes tener un array bindings
vacío en tu política.
Después de modificar la política para otorgar las funciones aplicables, ejecuta el comando set-iam-policy
adecuado a fin de realizar los cambios.
Para establecer una política a nivel de un almacén de HL7v2, ejecuta el comando gcloud healthcare hl7v2-stores set-iam-policy
. Especifica el nombre del almacén de HL7v2, el nombre del conjunto de datos, la ubicación y la ruta de acceso al archivo de la política que creaste.
gcloud healthcare hl7v2-stores set-iam-policy HL7V2_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION \ POLICY_FILE_NAME
Si la solicitud es exitosa, se mostrarán el nombre del almacén de HL7v2 y las vinculaciones.
Updated IAM policy for hl7v2Store [HL7V2_STORE_ID]. bindings: - members: - user:user-1@example.com role: roles/healthcare.hl7v2StoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.hl7v2Consumer etag: bytes version: VERSION_NUMBER
curl
Para otorgar funciones a los usuarios o revocarlas, modifica la política que recuperaste mediante un editor de texto o de manera programática. El valor etag
cambia cuando cambia la política, por lo que debes especificar el valor actual.
Para otorgar la función a un usuario nuevo, agrega su dirección de correo electrónico al arreglo members
en la vinculación roles/healthcare.hl7V2Consumer
:
{ "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para revocar el acceso desde el último principal que tiene un rol, borra el arreglo bindings
del rol. No puedes tener un array bindings
vacío en tu política.
Después de modificar la política para otorgar las funciones aplicables, llama a projects.locations.datasets.hl7V2Stores.setIamPolicy
a fin de realizar las actualizaciones.
Para configurar una política de IAM a nivel de un almacén de HL7v2, realiza una solicitud POST
y proporciona el nombre del conjunto de datos, el nombre del almacén HL7v2, la política y un token de acceso.
En el siguiente ejemplo, se muestra una solicitud POST
que usa curl
para otorgar a un usuario nuevo la función roles/healthcare.hl7V2Consumer
existente.
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.hl7V2StoreAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.hl7V2Consumer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/hl7V2Stores/HL7V2_STORE_ID:setIamPolicy"
La respuesta es la siguiente:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
PowerShell
Para otorgar funciones a los usuarios o revocarlas, modifica la política que recuperaste mediante un editor de texto o de manera programática. El valor etag
cambia cuando cambia la política, por lo que debes especificar el valor actual.
Para otorgar la función a un usuario nuevo, agrega su dirección de correo electrónico al arreglo members
en la vinculación roles/healthcare.hl7V2Consumer
:
{ "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para revocar el acceso desde el último principal que tiene un rol, borra el arreglo bindings
del rol. No puedes tener un array bindings
vacío en tu política.
Después de modificar la política para otorgar las funciones aplicables, llama a projects.locations.datasets.hl7V2Stores.setIamPolicy
a fin de realizar las actualizaciones.
Para configurar una política de IAM a nivel de un almacén de HL7v2, realiza una solicitud POST
y proporciona el nombre del conjunto de datos, el nombre del almacén HL7v2, la política y un token de acceso.
En el siguiente ejemplo, se muestra una solicitud POST
que usa curl
para otorgar a un usuario nuevo la función roles/healthcare.hl7V2Consumer
existente.
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.hl7V2StoreAdmin', 'members': [ 'user:user-1@example.com', ] }, { 'role': 'roles/healthcare.hl7V2Consumer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/hl7V2Stores/HL7V2_STORE_ID:setIamPolicy" | Select-Object -Expand Content
La respuesta es la siguiente:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
Go
Java
Node.js
Python
Usa IAM con la API de Healthcare Natural Language
En las siguientes secciones, se muestra cómo obtener, modificar y configurar una política para la API de Healthcare Natural Language. En estas secciones, se usa la siguiente política de ejemplo como punto de partida:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com" ] } ] }
Obtén una política
En los siguientes ejemplos, se muestra cómo leer una política de IAM a nivel de un conjunto de datos. Para obtener más información, consulta el método projects.getIamPolicy
.
curl
Para leer la política de IAM de un proyecto, realiza una solicitud POST
y proporciona el nombre del proyecto y un token de acceso.
En el siguiente ejemplo, se muestra una solicitud POST
mediante curl
:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy"
La respuesta es la siguiente:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com" ] } ] }
PowerShell
Para ver la política de IAM de un proyecto, realiza una solicitud POST
y proporciona el nombre del proyecto y un token de acceso.
En el siguiente ejemplo, se muestra una solicitud POST
mediante Windows PowerShell.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method POST ` -Headers $headers ` -Uri "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy" | Select-Object -Expand Content
La respuesta es la siguiente:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com" ] } ] }
Consola
Para ver la política de IAM de un proyecto, completa los siguientes pasos:
- En la consola de Google Cloud, ve a la página IAM.
- Para ver los principales asignados a un rol, haz clic en Roles y, luego, expande el rol.
gcloud
Para ver la política de IAM de un proyecto, ejecuta el comando gcloud projects get-iam-policy
. Especifica el nombre del proyecto en la solicitud.
gcloud projects get-iam-policy PROJECT_ID
Si la solicitud es exitosa, se muestran las vinculaciones.
bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com role: roles/healthcare.nlpServiceViewer etag: bytes version: VERSION_NUMBER
Modifica una política
En los siguientes ejemplos, se otorga a un servicio el rol roles/healthcare.nlpServiceViewer
. Para obtener más información, consulta projects.setIamPolicy
.
Establece una política
Console
Para establecer una política de IAM a nivel del proyecto, completa los siguientes pasos:
- En la consola de Google Cloud, ve a la página IAM.
- Haz clic en el botón Editar junto al principal o haz clic en Agregar principal y, luego, en el campo Principales nuevos, ingresa una o más identidades que necesitan acceso al proyecto.
- En la lista Seleccionar un rol, en Cloud Healthcare, selecciona Visualizador de servicios de Healthcare Natural Language.
- Haz clic en Guardar.
gcloud
Para otorgar funciones a los usuarios o revocarlas, modifica la política que recuperaste mediante un editor de texto o de manera programática. El valor etag
cambia cuando cambia la política, por lo que debes especificar el valor actual.
Para otorgar el rol a una cuenta de servicio nueva, agrega la dirección de correo electrónico de la cuenta de servicio al arreglo members
en la vinculación roles/healthcare.nlpServiceViewer
:
{ "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "serviceAccount:NEW_SERVICE_ACCOUNT_EMAIL_ADDRESS" ] }
members
. Para revocar el acceso desde el último principal que tiene un rol, borra el arreglo bindings
del rol. No puedes tener un array bindings
vacío en tu política.
Después de modificar la política para otorgar los roles aplicables, ejecuta el comando gcloud projects set-iam-policy
a fin de realizar los cambios. Especifica el proyecto y la ruta de acceso al archivo de política que creaste.
gcloud projects set-iam-policy PROJECT_STORE_ID \ POLICY_FILE_NAME
Si la solicitud es exitosa, se mostrarán el nombre del conjunto de datos y las vinculaciones.
Updated IAM policy for project [PROJECT_ID]. bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com - serviceAccount:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.nlpServiceViewer etag: bytes version: VERSION_NUMBER
curl
Para otorgar funciones a los usuarios o revocarlas, modifica la política que recuperaste mediante un editor de texto o de manera programática. El valor etag
cambia cuando cambia la política, por lo que debes especificar el valor actual.
Para otorgar el rol a una cuenta de servicio nueva, agrega la dirección de correo electrónico de la cuenta de servicio al arreglo members
en la vinculación roles/healthcare.nlpServiceViewer
:
{ "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "serviceAccount:NEW_SERVICE_ACCOUNT_EMAIL_ADDRESS" ] }
members
. Para revocar el acceso desde el último principal que tiene un rol, borra el arreglo bindings
del rol. No puedes tener un array bindings
vacío en tu política.
Después de modificar la política para otorgar las funciones aplicables, llama a projects.setIamPolicy
a fin de realizar las actualizaciones.
Para establecer una política de IAM a nivel del proyecto, realiza una solicitud POST
y especifica el nombre del proyecto, la política y un token de acceso.
En el siguiente ejemplo, se muestra una solicitud POST
que usa curl
para otorgar a un usuario nuevo la función roles/healthcare.nlpServiceViewer
existente.
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.nlpServiceViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com' ] } ] } }" "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy"
La respuesta es la siguiente:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com" ] } ] }
PowerShell
Para otorgar funciones a los usuarios o revocarlas, modifica la política que recuperaste mediante un editor de texto o de manera programática. El valor etag
cambia cuando cambia la política, por lo que debes especificar el valor actual.
Para otorgar el rol a una cuenta de servicio nueva, agrega la dirección de correo electrónico de la cuenta de servicio al arreglo members
en la vinculación roles/healthcare.nlpServiceViewer
:
{ "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "serviceAccount:NEW_SERVICE_ACCOUNT_EMAIL_ADDRESS" ] }
members
. Para revocar el acceso desde el último principal que tiene un rol, borra el arreglo bindings
del rol. No puedes tener un array bindings
vacío en tu política.
Después de modificar la política para otorgar las funciones aplicables, llama a projects.setIamPolicy
a fin de realizar las actualizaciones.
Para establecer una política de IAM a nivel del proyecto, realiza una solicitud POST
y especifica el nombre del proyecto, la política y un token de acceso.
En el siguiente ejemplo, se muestra una solicitud POST
que usa curl
para otorgar a un usuario nuevo la función roles/healthcare.nlpServiceViewer
existente.
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.nlpServiceViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'serviceAccount:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy" | Select-Object -Expand Content
La respuesta es la siguiente:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "serviceAccount:NEW_USER_EMAIL_ADDRESS" ] } ] }
¿Qué sigue?
- Lee sobre el patrón de lectura, modificación y escritura mediante las políticas de IAM.
- Consulta las funciones disponibles de la API de Cloud Healthcare.