Nesta página, descrevemos como controlar o acesso a conjuntos de dados e armazenamentos de dados na API Cloud Healthcare usando permissões de gerenciamento de identidade e acesso (IAM, na sigla em inglês). O IAM permite controlar quem tem acesso aos seus conjuntos e armazenamentos de dados. Para saber mais sobre o IAM para a API Cloud Healthcare, consulte Controle de acesso.
Visão geral das políticas do IAM
O acesso a um recurso é gerenciado por meio de uma política do IAM. Uma política contém uma matriz chamada bindings
. Essa matriz contém uma coleção de vinculações, que são associações entre principais, como uma conta de usuário ou de serviço, e um papel. As políticas são representadas com JSON ou YAML.
A política de amostra a seguir mostra que user-1@example.com
recebeu o
papel roles/healthcare.datasetAdmin
e que user-2@example.com
e
service-account-13@appspot.gserviceaccount.com
receberam o
papel roles/healthcare.datasetViewer
:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Para atualizar uma política para um recurso, use o padrão de leitura-modificação-gravação. Não há métodos separados para criar, modificar e revogar o acesso do usuário.
Para atualizar uma política, siga estas etapas:
- Leia a política atual chamando o método
getIamPolicy()
do recurso. Por exemplo, para ler a política atual de um conjunto de dados, chameprojects.locations.datasets.getIamPolicy
. - Edite a política retornada, com um editor de texto ou de maneira programática, para adicionar ou remover qualquer principal e as concessões de papel a ele atribuídas.
- Grave a política atualizada chamando o método
setIamPolicy()
do recurso. Por exemplo, para gravar a política atualizada de um conjunto de dados, chameprojects.locations.datasets.setIamPolicy
.
Como usar o IAM com armazenamentos de consentimento
As seções a seguir mostram como consultar, modificar e definir uma política para um armazenamento de consentimento. Elas usam o seguinte exemplo de política como ponto de partida:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Como receber uma política
Os exemplos a seguir mostram como ler uma política do IAM no nível do repositório de consentimentos. Para ver mais informações, consulte projects.locations.datasets.consentStores.getIamPolicy
.
Console
Para conferir a política do IAM de uma loja de consentimentos:
- No console do Google Cloud, acesse a página "Conjuntos de dados".
- Clique no ID do conjunto de dados que contém o repositório de consentimentos e selecione o repositório de consentimentos que receberá uma política.
- Clique em Mostrar painel de informações.
- Expanda a função para visualizar os principais atribuídos a uma função.
gcloud
Para conferir a política do IAM de uma loja de consentimento, execute o comando
gcloud healthcare consent-stores get-iam-policy
. Especifique o nome do repositório de consentimentos, o nome do conjunto de dados e o local.
gcloud healthcare consent-stores get-iam-policy CONSENT_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION
Se a solicitação for bem-sucedida, as vinculações serão exibidas.
bindings: - members: - user:user-1@example.com role: roles/healthcare.consentStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.consentReader etag: bytes version: VERSION_NUMBER
Node.js
Python
curl
Para ler a política de IAM de um repositório de consentimento, faça uma solicitação GET
e
especifique o nome do conjunto de dados, o nome do repositório de consentimento e um token de
acesso.
O exemplo a seguir mostra uma solicitação GET
usando curl
.
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:getIamPolicy"
A resposta é esta:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
PowerShell
Para ler a política de IAM de um repositório de consentimento, faça uma solicitação GET
e
especifique o nome do conjunto de dados, o nome do repositório de consentimento e um token de
acesso.
O exemplo a seguir mostra uma solicitação GET
usando o Windows PowerShell.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Get ` -Headers $headers ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:getIamPolicy" | Select-Object -Expand Content
A resposta é esta:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Como modificar uma política
Os exemplos a seguir concedem a um novo usuário o papel roles/healthcare.consentReader
. Para ver mais informações, consulte projects.locations.datasets.consentStores.setIamPolicy
.
Como definir uma política
Console
Para definir uma política do IAM no nível do armazenamento de consentimento, siga estas etapas:
- No console do Google Cloud, acesse a página "Conjuntos de dados".
- Clique no ID do conjunto de dados que contém o repositório de consentimentos e selecione o repositório de consentimentos para o qual você quer definir uma política.
- Clique em Mostrar painel de informações.
- Clique em Adicionar principal.
- No campo Novos principais, insira uma ou mais identidades que precisam de acesso à loja de consentimento.
- Na lista Selecione um papel, em Cloud Healthcare, selecione a permissão que você quer conceder. Por exemplo, "Leitor de repositório de consentimentos do Healthcare".
- Clique em Salvar.
gcloud
Conceda ou revogue funções aos usuários modificando a política que você recuperou, programaticamente ou usando um editor de texto. O valor etag
é alterado quando a política é alterada. Portanto, você precisa especificar o valor atual.
Para conceder o papel a um novo usuário, anexe o endereço de e-mail dele à matriz members
na vinculação roles/healthcare.consentReader
:
{ "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para
revogar o acesso do último principal que tem uma função, exclua a matriz bindings
da
função. Não é possível ter uma matriz bindings
vazia na sua política.
Depois de modificar a política para conceder os papéis aplicáveis, execute o comando set-iam-policy
apropriado para fazer as alterações. Para definir uma política de consentimento
no nível da loja, execute o comando
gcloud healthcare consent-stores set-iam-policy
. Especifique o nome da loja de consentimento, o nome do conjunto de dados, o local e o
caminho para o arquivo de política que você criou.
gcloud healthcare consent-stores set-iam-policy CONSENT_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION \ POLICY_FILE_NAME
Se a solicitação for bem-sucedida, o nome da loja de consentimento e as vinculações serão exibidas.
Updated IAM policy for consentStore [CONSENT_STORE_ID]. bindings: - members: - user:user-1@example.com role: roles/healthcare.consentStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.consentReader etag: bytes version: VERSION_NUMBER
Node.js
Python
curl
Conceda ou revogue funções aos usuários modificando a política que você recuperou, programaticamente ou usando um editor de texto. O valor etag
é alterado quando a política é alterada. Portanto, você precisa especificar o valor atual.
Para conceder o papel a um novo usuário, anexe o endereço de e-mail dele à matriz members
na vinculação roles/healthcare.consentReader
:
{ "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para
revogar o acesso do último principal que tem uma função, exclua a matriz bindings
da
função. Não é possível ter uma matriz bindings
vazia na sua política.
Depois de modificar a política para conceder os papéis aplicáveis, chame projects.locations.datasets.consentStores.setIamPolicy
para fazer as atualizações.
Para definir uma política de IAM no nível do armazenamento de consentimento, faça uma solicitação POST
e especifique o nome do conjunto de dados, o nome do armazenamento de consentimento, a
política e um token de acesso.
O exemplo a seguir mostra uma solicitação POST
usando curl
para conceder a um novo usuário
o papel roles/healthcare.consentReader
existente:
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.consentStoreAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.consentReader', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:setIamPolicy"
A resposta é esta:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
PowerShell
Conceda ou revogue funções aos usuários modificando a política que você recuperou, programaticamente ou usando um editor de texto. O valor etag
é alterado quando a política é alterada. Portanto, você precisa especificar o valor atual.
Para conceder o papel a um novo usuário, anexe o endereço de e-mail dele à matriz members
na vinculação roles/healthcare.consentReader
:
{ "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para
revogar o acesso do último principal que tem uma função, exclua a matriz bindings
da
função. Não é possível ter uma matriz bindings
vazia na sua política.
Depois de modificar a política para conceder os papéis aplicáveis, chame projects.locations.datasets.consentStores.setIamPolicy
para fazer as atualizações.
Para definir uma política de IAM no nível do armazenamento de consentimento, faça uma solicitação POST
e especifique o nome do conjunto de dados, o nome do armazenamento de consentimento, a política e um token de acesso.
O exemplo a seguir mostra uma solicitação POST
usando o Windows PowerShell para conceder a
um novo usuário o papel roles/healthcare.consentReader
existente:
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.consentStoreAdmin', 'members': [ 'user:user-1@example.com', ] }, { 'role': 'roles/healthcare.consentReader', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:setIamPolicy" | Select-Object -Expand Content
A resposta é esta:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
Como usar o IAM com conjuntos de dados
As seções a seguir mostram como receber, modificar e definir uma política para um conjunto de dados. Elas usam o seguinte exemplo de política como ponto de partida:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Como receber uma política
Os exemplos a seguir mostram como ler uma política do IAM no nível do conjunto de dados. Para ver mais informações, consulte projects.locations.datasets.getIamPolicy
.
curl
Para ler a política de IAM de um conjunto de dados, faça uma solicitação GET
e
especifique o nome do conjunto de dados e um token de acesso.
O exemplo a seguir mostra uma solicitação GET
usando curl
.
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID:getIamPolicy"
A resposta é esta:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
PowerShell
Para visualizar a política de IAM de um conjunto de dados, faça uma solicitação GET
e
especifique o nome do conjunto de dados e um token de acesso.
O exemplo a seguir mostra uma solicitação GET
usando o Windows PowerShell.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Get ` -Headers $headers ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID:getIamPolicy" | Select-Object -Expand Content
A resposta é esta:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Console
Para conferir a política do IAM de um conjunto de dados:- No console do Google Cloud, acesse a página "Conjuntos de dados".
- Selecione um conjunto de dados e clique em Mostrar painel de informações.
- Expanda a função para visualizar os principais atribuídos a uma função.
gcloud
Para ver a política do IAM de um conjunto de dados, execute o comando gcloud healthcare datasets get-iam-policy
. Especifique o nome e o local do conjunto de dados.
gcloud healthcare datasets get-iam-policy DATASET_ID \ --location=LOCATION
Se a solicitação for bem-sucedida, as vinculações serão exibidas.
bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.datasetViewer etag: bytes version: VERSION_NUMBER
Go
Java
Node.js
Python
Como modificar uma política
Os exemplos a seguir concedem a um novo usuário o papel
roles/healthcare.datasetViewer
:
Como definir uma política
Console
Para definir uma política do IAM no nível do conjunto de dados, siga estas etapas:
- No console do Google Cloud, acesse a página "Conjuntos de dados".
- Selecione o conjunto de dados que terá uma política definida e clique em Mostrar painel de informações.
- Clique em Adicionar principal.
- No campo Novos principais, insira uma ou mais identidades que precisam de acesso ao conjunto de dados.
- Na lista Selecione um papel, em Cloud Healthcare, selecione a permissão que você quer conceder. Por exemplo, "Leitor do conjunto de dados da Cloud Healthcare API".
- Clique em Salvar.
gcloud
Conceda ou revogue funções aos usuários modificando a política que você recuperou, programaticamente ou usando um editor de texto. O valor etag
é alterado quando a política é alterada. Portanto, você precisa especificar o valor atual.
Para conceder o papel a um novo usuário, anexe o endereço de e-mail dele à matriz members
na vinculação roles/healthcare.datasetViewer
:
{ "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para
revogar o acesso do último principal que tem uma função, exclua a matriz bindings
da
função. Não é possível ter uma matriz bindings
vazia na sua política.
Depois de modificar a política para conceder os papéis aplicáveis, execute o comando set-iam-policy
apropriado para fazer as alterações. Para definir uma política no nível do conjunto de dados, execute o comando gcloud healthcare datasets set-iam-policy
. Especifique o nome do conjunto de dados, o local e o caminho para o arquivo de política que você criou.
gcloud healthcare datasets set-iam-policy DATASET_ID \ --location=LOCATION \ POLICY_FILE_NAME
Se a solicitação for bem-sucedida, o nome do conjunto de dados e as vinculações serão exibidos.
Updated IAM policy for dataset [DATASET_ID]. bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.datasetAdmin - user:user-1@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.datasetViewer etag: bytes version: VERSION_NUMBER
curl
Conceda ou revogue funções aos usuários modificando a política que você recuperou, programaticamente ou usando um editor de texto. O valor etag
é alterado quando a política é alterada. Portanto, você precisa especificar o valor atual.
Para conceder o papel a um novo usuário, anexe o endereço de e-mail dele à matriz members
na vinculação roles/healthcare.datasetViewer
:
{ "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para
revogar o acesso do último principal que tem uma função, exclua a matriz bindings
da
função. Não é possível ter uma matriz bindings
vazia na sua política.
Depois de modificar a política para conceder os papéis aplicáveis, chame projects.locations.datasets.setIamPolicy
para fazer as atualizações.
Para definir uma política do IAM no nível do conjunto de
dados, faça uma solicitação POST
e especifique o nome do conjunto de dados, a política e um
token de acesso.
O exemplo a seguir mostra uma solicitação POST
usando curl
para conceder a um novo usuário
o papel roles/healthcare.datasetViewer
existente:
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.datasetAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.datasetViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID:setIamPolicy"
A resposta é esta:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
PowerShell
Conceda ou revogue funções aos usuários modificando a política que você recuperou, programaticamente ou usando um editor de texto. O valor etag
é alterado quando a política é alterada. Portanto, você precisa especificar o valor atual.
Para conceder o papel a um novo usuário, anexe o endereço de e-mail dele à matriz members
na vinculação roles/healthcare.datasetViewer
:
{ "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para
revogar o acesso do último principal que tem uma função, exclua a matriz bindings
da
função. Não é possível ter uma matriz bindings
vazia na sua política.
Depois de modificar a política para conceder os papéis aplicáveis, chame projects.locations.datasets.setIamPolicy
para fazer as atualizações.
Para definir uma política do IAM no nível do conjunto de
dados, faça uma solicitação POST
e especifique o nome do conjunto de dados, a política e um
token de acesso.
O exemplo a seguir mostra uma solicitação POST
usando o Windows PowerShell para conceder a
um novo usuário o papel roles/healthcare.datasetViewer
existente:
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.datasetAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role': 'roles/healthcare.datasetViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID:setIamPolicy" | Select-Object -Expand Content
A resposta é esta:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
Go
Java
Node.js
Python
Como usar o IAM com armazenamentos DICOM
Nas seções a seguir, mostramos como consultar, modificar e definir uma política para um armazenamento DICOM. Elas usam o seguinte exemplo de política como ponto de partida:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Como receber uma política
Os exemplos a seguir mostram como ler uma política do IAM no nível do armazenamento DICOM. Para ver mais informações,
consulte projects.locations.datasets.dicomStores.getIamPolicy
.
Console
Para ver a política do IAM de um armazenamento DICOM:
- No console do Google Cloud, acesse a página "Conjuntos de dados".
- Clique no ID do conjunto de dados que contém o armazenamento DICOM e selecione o armazenamento DICOM que receberá uma política.
- Clique em Mostrar painel de informações.
- Expanda a função para visualizar os principais atribuídos a uma função.
gcloud
Para ver a política do IAM para um armazenamento DICOM, execute o comando gcloud healthcare dicom-stores get-iam-policy
. Especifique o nome do armazenamento DICOM, o nome do conjunto de dados e o local.
gcloud healthcare dicom-stores get-iam-policy DICOM_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION
Se a solicitação for bem-sucedida, as vinculações serão exibidas.
bindings: - members: - user:user-1@example.com role: roles/healthcare.dicomStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.dicomViewer etag: bytes version: VERSION_NUMBER
Go
Java
Node.js
Python
curl
Para ler a política de IAM de um armazenamento DICOM, faça uma solicitação GET
e
especifique o nome do conjunto de dados, o nome do armazenamento DICOM e um token de
acesso.
O exemplo a seguir mostra uma solicitação GET
usando curl
.
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/dicomStores/DICOM_STORE_ID:getIamPolicy"
A resposta é esta:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
PowerShell
Para ler a política de IAM de um armazenamento DICOM, faça uma solicitação GET
e
especifique o nome do conjunto de dados, o nome do armazenamento DICOM e um token de
acesso.
O exemplo a seguir mostra uma solicitação GET
usando o Windows PowerShell.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Get ` -Headers $headers ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/dicomStores/DICOM_STORE_ID:getIamPolicy" | Select-Object -Expand Content
A resposta é esta:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Como modificar uma política
Os exemplos a seguir concedem a um novo usuário o papel roles/healthcare.dicomViewer
. Para ver mais informações, consulte projects.locations.datasets.dicomStores.setIamPolicy
.
Como definir uma política
Console
Para definir uma política de IAM no nível de armazenamento DICOM, conclua as etapas a seguir:
- No console do Google Cloud, acesse a página "Conjuntos de dados".
- Clique no ID do conjunto de dados que contém o armazenamento DICOM e selecione o armazenamento para o qual você quer definir uma política.
- Clique em Mostrar painel de informações.
- Clique em Adicionar principal.
- No campo Novos principais, insira uma ou mais identidades que precisam de acesso ao armazenamento DICOM.
- Na lista Selecione um papel, em Cloud Healthcare, selecione a permissão que você quer conceder. Por exemplo, "Leitor de repositório DICOM da API Cloud Healthcare".
- Clique em Salvar.
gcloud
Conceda ou revogue funções aos usuários modificando a política que você recuperou, programaticamente ou usando um editor de texto. O valor etag
é alterado quando a política é alterada. Portanto, você precisa especificar o valor atual.
Para conceder o papel a um novo usuário, anexe o endereço de e-mail dele à matriz members
na vinculação roles/healthcare.dicomViewer
:
{ "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para
revogar o acesso do último principal que tem uma função, exclua a matriz bindings
da
função. Não é possível ter uma matriz bindings
vazia na sua política.
Depois de modificar a política para conceder os papéis aplicáveis, execute o comando set-iam-policy
apropriado para fazer as alterações. Para definir uma política no nível do armazenamento DICOM, execute o comando gcloud healthcare dicom-stores set-iam-policy
. Especifique o nome do armazenamento DICOM, o nome do conjunto de dados, o local e o caminho para o arquivo de política que você criou.
gcloud healthcare dicom-stores set-iam-policy DICOM_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION \ POLICY_FILE_NAME
Se a solicitação for bem-sucedida, o nome do armazenamento DICOM e as vinculações serão exibidos.
Updated IAM policy for dicomStore [DICOM_STORE_ID]. bindings: - members: - user:user-1@example.com role: roles/healthcare.dicomStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.dicomViewer etag: bytes version: VERSION_NUMBER
Go
Java
Node.js
Python
curl
Conceda ou revogue funções aos usuários modificando a política que você recuperou, programaticamente ou usando um editor de texto. O valor etag
é alterado quando a política é alterada. Portanto, você precisa especificar o valor atual.
Para conceder o papel a um novo usuário, anexe o endereço de e-mail dele à matriz members
na vinculação roles/healthcare.dicomViewer
:
{ "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para
revogar o acesso do último principal que tem uma função, exclua a matriz bindings
da
função. Não é possível ter uma matriz bindings
vazia na sua política.
Depois de modificar a política para conceder os papéis aplicáveis, chame projects.locations.datasets.dicomStores.setIamPolicy
para fazer as atualizações.
Para definir uma política de IAM no nível de armazenamento DICOM,
faça uma solicitação POST
e especifique o nome do conjunto de dados, o nome do armazenamento
DICOM, a política e um token de acesso.
O exemplo a seguir mostra uma solicitação POST
usando curl
para conceder a um novo usuário
o papel roles/healthcare.dicomViewer
existente:
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.dicomStoreAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.dicomViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/dicomStores/DICOM_STORE_ID:setIamPolicy"
A resposta é esta:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
PowerShell
Conceda ou revogue funções aos usuários modificando a política que você recuperou, programaticamente ou usando um editor de texto. O valor etag
é alterado quando a política é alterada. Portanto, você precisa especificar o valor atual.
Para conceder o papel a um novo usuário, anexe o endereço de e-mail dele à matriz members
na vinculação roles/healthcare.dicomViewer
:
{ "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para
revogar o acesso do último principal que tem uma função, exclua a matriz bindings
da
função. Não é possível ter uma matriz bindings
vazia na sua política.
Depois de modificar a política para conceder os papéis aplicáveis, chame projects.locations.datasets.dicomStores.setIamPolicy
para fazer as atualizações.
Para definir uma política de IAM no nível de armazenamento DICOM,
faça uma solicitação POST
e especifique o nome do conjunto de dados, o nome do armazenamento
DICOM, a política e um token de acesso.
O exemplo a seguir mostra uma solicitação POST
usando o Windows PowerShell para conceder a
um novo usuário o papel roles/healthcare.dicomViewer
existente:
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.dicomStoreAdmin', 'members': [ 'user:user-1@example.com', ] }, { 'role': 'roles/healthcare.dicomViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/dicomStores/DICOM_STORE_ID:setIamPolicy" | Select-Object -Expand Content
A resposta é esta:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
Como usar o IAM com armazenamentos FHIR
Nas seções a seguir, mostramos como consultar, modificar e definir uma política para um armazenamento FHIR. Elas usam o seguinte exemplo de política como ponto de partida:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Como receber uma política
Os exemplos a seguir mostram como ler uma política do IAM no nível do armazenamento FHIR. Para ver mais informações,
consulte projects.locations.datasets.fhirStores.getIamPolicy
.
Console
Para ver a política do IAM de um armazenamento FHIR:
- No console do Google Cloud, acesse a página "Conjuntos de dados".
- Clique no ID do conjunto de dados que contém o armazenamento FHIR e selecione o armazenamento FHIR que receberá uma política.
- Clique em Mostrar painel de informações.
- Expanda a função para visualizar os principais atribuídos a uma função.
gcloud
Para ver a política do IAM de um armazenamento FHIR, execute o comando gcloud healthcare fhir-stores get-iam-policy
. Especifique o nome do armazenamento FHIR, o nome do conjunto de dados e o local.
gcloud healthcare fhir-stores get-iam-policy FHIR_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION
Se a solicitação for bem-sucedida, as vinculações serão exibidas.
bindings: - members: - user:user-1@example.com role: roles/healthcare.fhirStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.fhirResourceReader etag: bytes version: VERSION_NUMBER
Go
Java
Node.js
Python
curl
Para ler a política de IAM de um armazenamento de FHIR, faça uma
solicitação POST
e especifique o nome do conjunto de dados, o nome do armazenamento de FHIR e
um token de acesso.
O exemplo a seguir mostra uma solicitação POST
usando curl
.
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/fhirStores/FHIR_STORE_ID:getIamPolicy"
A resposta é esta:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
PowerShell
Para ler a política de IAM de um armazenamento de FHIR, faça uma solicitação POST
e
especifique o nome do conjunto de dados, o nome do armazenamento de FHIR e um token de
acesso.
O exemplo a seguir mostra uma solicitação POST
usando o Windows PowerShell.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/fhirStores/FHIR_STORE_ID:getIamPolicy" | Select-Object -Expand Content
A resposta é esta:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Como modificar uma política
Os exemplos a seguir concedem a um novo usuário o papel roles/healthcare.fhirResourceReader
. Para ver mais informações, consulte projects.locations.datasets.fhirStores.setIamPolicy
.
Como definir uma política
Console
Para definir uma política do IAM no nível do armazenamento de FHIR, conclua as etapas a seguir:
- No console do Google Cloud, acesse a página "Conjuntos de dados".
- Clique no ID do conjunto de dados que contém o armazenamento FHIR e selecione o armazenamento FHIR para o qual você quer definir uma política.
- Clique em Mostrar painel de informações.
- Clique em Adicionar principal.
- No campo Novos principais, insira uma ou mais identidades que precisam de acesso ao armazenamento FHIR.
- Na lista Selecionar um papel, em Cloud Healthcare, selecione a permissão que você quer conceder. Por exemplo, "Leitor de recursos do FHIR do Healthcare".
- Clique em Salvar.
gcloud
Conceda ou revogue funções aos usuários modificando a política que você recuperou, programaticamente ou usando um editor de texto. O valor etag
é alterado quando a política é alterada. Portanto, você precisa especificar o valor atual.
Para conceder o papel a um novo usuário, anexe o endereço de e-mail dele à matriz members
na vinculação roles/healthcare.fhirResourceReader
:
{ "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para
revogar o acesso do último principal que tem uma função, exclua a matriz bindings
da
função. Não é possível ter uma matriz bindings
vazia na sua política.
Depois de modificar a política para conceder os papéis aplicáveis, execute o comando set-iam-policy
apropriado para fazer as alterações.
Para definir uma política no nível do armazenamento FHIR, execute o comando gcloud healthcare fhir-stores set-iam-policy
. Especifique o nome do armazenamento FHIR, o nome do conjunto de dados, o local e o caminho para o arquivo de política que você criou.
gcloud healthcare fhir-stores set-iam-policy FHIR_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION \ POLICY_FILE_NAME
Se a solicitação for bem-sucedida, o nome do armazenamento de FHIR e as vinculações serão exibidos.
Updated IAM policy for fhirStore [FHIR_STORE_ID]. bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.fhirResourceReader etag: bytes version: VERSION_NUMBER
Go
Java
Node.js
Python
curl
Conceda ou revogue funções aos usuários modificando a política que você recuperou, programaticamente ou usando um editor de texto. O valoretag
é alterado quando a política é alterada. Portanto, você precisa especificar o valor atual.
Para conceder o papel a um novo usuário, anexe o endereço de e-mail dele à matriz members
na vinculação roles/healthcare.fhirResourceReader
:
{ "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para
revogar o acesso do último principal que tem uma função, exclua a matriz bindings
da
função. Não é possível ter uma matriz bindings
vazia na sua política.
Depois de modificar a política para conceder os papéis aplicáveis, chame projects.locations.datasets.fhirStores.setIamPolicy
para fazer as atualizações.
Para definir uma política do IAM no nível do armazenamento
de FHIR, faça uma solicitação POST
e especifique o nome do conjunto de dados, o nome do armazenamento de FHIR, a política
e um token de acesso.
O exemplo a seguir mostra uma solicitação POST
usando curl
para conceder a um novo usuário
o papel roles/healthcare.fhirResourceReader
existente:
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.fhirStoreAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.fhirResourceReader', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/fhirStores/FHIR_STORE_ID:setIamPolicy"
A resposta é esta:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
PowerShell
Conceda ou revogue funções aos usuários modificando a política que você recuperou, programaticamente ou usando um editor de texto. O valor etag
é alterado quando a política é alterada. Portanto, você precisa especificar o valor atual.
Para conceder o papel a um novo usuário, anexe o endereço de e-mail dele à matriz members
na vinculação roles/healthcare.fhirResourceReader
:
{ "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para
revogar o acesso do último principal que tem uma função, exclua a matriz bindings
da
função. Não é possível ter uma matriz bindings
vazia na sua política.
Depois de modificar a política para conceder os papéis aplicáveis, chame projects.locations.datasets.fhirStores.setIamPolicy
para fazer as atualizações.
Para definir uma política do IAM no nível do armazenamento
de FHIR, faça uma solicitação POST
e especifique o nome do conjunto de dados, o nome do armazenamento de FHIR, a política
e um token de acesso.
O exemplo a seguir mostra uma solicitação POST
usando o Windows PowerShell para conceder a
um novo usuário o papel roles/healthcare.fhirResourceReader
existente:
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.fhirStoreAdmin', 'members': [ 'user:user-1@example.com', ] }, { 'role': 'roles/healthcare.fhirResourceReader', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/fhirStores/FHIR_STORE_ID:setIamPolicy" | Select-Object -Expand Content
A resposta é esta:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
Como usar o IAM com armazenamentos HL7v2
Nas seções a seguir, mostramos como consultar, modificar e definir uma política para um armazenamento HL7v2. Elas usam o seguinte exemplo de política como ponto de partida:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Como receber uma política
Os exemplos a seguir mostram como ler uma política do IAM no nível do armazenamento HL7v2. Para ver mais informações,
consulte projects.locations.datasets.hl7V2Stores.getIamPolicy
.
Console
Para ver a política do IAM de um armazenamento HL7v2:
- No console do Google Cloud, acesse a página "Conjuntos de dados".
- Clique no ID do conjunto de dados que contém o armazenamento HL7v2 e selecione o armazenamento HL7v2 para que receberá uma política.
- Clique em Mostrar painel de informações.
- Expanda a função para visualizar os principais atribuídos a uma função.
gcloud
Para ver a política do IAM de um armazenamento HL7v2, execute o comando hl7v2-stores get-iam-policy
. Especifique o nome do armazenamento HL7v2, o nome do conjunto de dados e o local.
gcloud healthcare hl7v2-stores get-iam-policy HL7V2_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION
Se a solicitação for bem-sucedida, as vinculações serão exibidas.
bindings: - members: - user:user-1@example.com role: roles/healthcare.hl7v2StoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.hl7v2Consumer etag: bytes version: VERSION_NUMBER
curl
Para ler a política de IAM de um armazenamento HL7v2, faça uma solicitação GET
e
especifique o nome do conjunto de dados, o nome do armazenamento HL7v2 e um token de
acesso.
O exemplo a seguir mostra uma solicitação GET
usando curl
.
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/hl7V2Stores/HL7V2_STORE_ID:getIamPolicy"
A resposta é esta:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
PowerShell
Para ler a política de IAM de um armazenamento HL7v2, faça uma solicitação GET
e
especifique o nome do conjunto de dados, o nome do armazenamento HL7v2 e um token de
acesso.
O exemplo a seguir mostra uma solicitação GET
usando o Windows PowerShell.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Get ` -Headers $headers ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/hl7V2Stores/HL7V2_STORE_ID:getIamPolicy" | Select-Object -Expand Content
A resposta é esta:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Go
Java
Node.js
Python
Como modificar uma política
Os exemplos a seguir concedem a um novo usuário o papel roles/healthcare.hl7V2Consumer
. Para ver mais informações, consulte projects.locations.datasets.hl7V2Stores.setIamPolicy
.
Como definir uma política
Console
Para definir uma política do IAM no nível de armazenamento HL7v2, conclua as etapas a seguir:
- No console do Google Cloud, acesse a página "Conjuntos de dados".
- Clique no código do conjunto de dados que contém o armazenamento HL7v2 e selecione o armazenamento HL7v2 que terá uma política definida.
- Clique em Mostrar painel de informações.
- Clique em Adicionar principal.
- No campo Novos principais, insira uma ou mais identidades que precisam de acesso ao armazenamento HL7v2.
- Na lista Selecione um papel, em Cloud Healthcare, selecione a permissão que você quer conceder. Por exemplo, "Consumidor de mensagens de HL7v2 da API Cloud Healthcare".
- Clique em Salvar.
gcloud
Conceda ou revogue funções aos usuários modificando a política que você recuperou, programaticamente ou usando um editor de texto. O valor etag
é alterado quando a política é alterada. Portanto, você precisa especificar o valor atual.
Para conceder o papel a um novo usuário, anexe o endereço de e-mail dele à matriz members
na vinculação roles/healthcare.hl7V2Consumer
:
{ "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para
revogar o acesso do último principal que tem uma função, exclua a matriz bindings
da
função. Não é possível ter uma matriz bindings
vazia na sua política.
Depois de modificar a política para conceder os papéis aplicáveis, execute o comando set-iam-policy
apropriado para fazer as alterações.
Para definir uma política no nível do armazenamento HL7v2, execute o comando gcloud healthcare hl7v2-stores set-iam-policy
. Especifique o nome do armazenamento HL7v2, o nome do conjunto de dados, o local e o caminho para o arquivo de política que você criou.
gcloud healthcare hl7v2-stores set-iam-policy HL7V2_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION \ POLICY_FILE_NAME
Se a solicitação for bem-sucedida, o nome do armazenamento HL7v2 e as vinculações serão exibidos.
Updated IAM policy for hl7v2Store [HL7V2_STORE_ID]. bindings: - members: - user:user-1@example.com role: roles/healthcare.hl7v2StoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.hl7v2Consumer etag: bytes version: VERSION_NUMBER
curl
Conceda ou revogue funções aos usuários modificando a política que você recuperou, programaticamente ou usando um editor de texto. O valor etag
é alterado quando a política é alterada. Portanto, você precisa especificar o valor atual.
Para conceder o papel a um novo usuário, anexe o endereço de e-mail dele à matriz members
na vinculação roles/healthcare.hl7V2Consumer
:
{ "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para
revogar o acesso do último principal que tem uma função, exclua a matriz bindings
da
função. Não é possível ter uma matriz bindings
vazia na sua política.
Depois de modificar a política para conceder os papéis aplicáveis, chame projects.locations.datasets.hl7V2Stores.setIamPolicy
para fazer as atualizações.
Para definir uma política de IAM no nível de armazenamento
HL7v2, faça uma solicitação POST
e especifique o nome do conjunto de dados, o nome do armazenamento HL7v2, a política e
um token de acesso.
O exemplo a seguir mostra uma solicitação POST
usando curl
para conceder a um novo usuário
o papel roles/healthcare.hl7V2Consumer
existente.
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.hl7V2StoreAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.hl7V2Consumer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/hl7V2Stores/HL7V2_STORE_ID:setIamPolicy"
A resposta é esta:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
PowerShell
Conceda ou revogue funções aos usuários modificando a política que você recuperou, programaticamente ou usando um editor de texto. O valor etag
é alterado quando a política é alterada. Portanto, você precisa especificar o valor atual.
Para conceder o papel a um novo usuário, anexe o endereço de e-mail dele à matriz members
na vinculação roles/healthcare.hl7V2Consumer
:
{ "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Para
revogar o acesso do último principal que tem uma função, exclua a matriz bindings
da
função. Não é possível ter uma matriz bindings
vazia na sua política.
Depois de modificar a política para conceder os papéis aplicáveis, chame projects.locations.datasets.hl7V2Stores.setIamPolicy
para fazer as atualizações.
Para definir uma política de IAM no nível de armazenamento
HL7v2, faça uma solicitação POST
e especifique o nome do conjunto de dados, o nome do armazenamento HL7v2, a política e
um token de acesso.
O exemplo a seguir mostra uma solicitação POST
usando curl
para conceder a um novo usuário
o papel roles/healthcare.hl7V2Consumer
existente:
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.hl7V2StoreAdmin', 'members': [ 'user:user-1@example.com', ] }, { 'role': 'roles/healthcare.hl7V2Consumer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/hl7V2Stores/HL7V2_STORE_ID:setIamPolicy" | Select-Object -Expand Content
A resposta é esta:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
Go
Java
Node.js
Python
Como usar o IAM com a API Healthcare Natural Language
Veja nas seções a seguir como receber, modificar e definir uma política para a API Healthcare Natural Language. Elas usam o seguinte exemplo de política como ponto de partida:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com" ] } ] }
Como receber uma política
Os exemplos a seguir mostram como ler uma política do IAM no nível do conjunto
de dados. Para mais informações, consulte o
método
projects.getIamPolicy
.
curl
Para ler a política de IAM de um projeto, faça uma solicitação POST
e
especifique o nome do projeto e um token de acesso.
O exemplo a seguir mostra uma solicitação POST
usando curl
.
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy"
A resposta é esta:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com" ] } ] }
PowerShell
Para visualizar a política de IAM de um projeto, faça uma solicitação POST
e
especifique o nome do projeto e um token de acesso.
O exemplo a seguir mostra uma solicitação POST
usando o Windows PowerShell.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method POST ` -Headers $headers ` -Uri "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy" | Select-Object -Expand Content
A resposta é esta:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com" ] } ] }
Console
Para visualizar a política de IAM de um projeto, conclua as etapas a seguir:
- No console do Google Cloud, abra a página IAM.
- Para visualizar os principais atribuídos a um papel, clique em Papéis e expanda o papel.
gcloud
Para ver a política do IAM de um conjunto de dados, execute o comando
gcloud projects get-iam-policy
. Especifique o nome do projeto na solicitação.
gcloud projects get-iam-policy PROJECT_ID
Se a solicitação for bem-sucedida, as vinculações serão exibidas.
bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com role: roles/healthcare.nlpServiceViewer etag: bytes version: VERSION_NUMBER
Como modificar uma política
Os exemplos a seguir concedem a um serviço o papel
roles/healthcare.nlpServiceViewer
. Para mais informações, consulte projects.setIamPolicy
.
Como definir uma política
Console
Para definir uma política do IAM aos envolvidos no projeto, conclua as etapas a seguir:
- No console do Google Cloud, abra a página IAM.
- Clique no botão Editar ao lado do principal ou em Adicionar principal. Depois, no campo Novos principais, insira um ou mais identidades que precisam acessar o projeto.
- Na lista Selecionar um papel, em Cloud Healthcare, selecione Leitor de serviços do Cloud Natural Language.
- Clique em Salvar.
gcloud
Conceda ou revogue funções aos usuários modificando a política que você recuperou, programaticamente ou usando um editor de texto. O valor etag
é alterado quando a política é alterada. Portanto, você precisa especificar o valor atual.
Para conceder o papel de uma nova conta de serviço, adicione o endereço de
e-mail correspondente à matriz members
na vinculação
roles/healthcare.nlpServiceViewer
:
{ "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "serviceAccount:NEW_SERVICE_ACCOUNT_EMAIL_ADDRESS" ] }
members
. Para
revogar o acesso do último principal que tem uma função, exclua a matriz bindings
da
função. Não é possível ter uma matriz bindings
vazia na sua política.
Depois de modificar a política para conceder os papéis aplicáveis, execute o comando
gcloud projects set-iam-policy
apropriado para fazer as alterações. Especifique o projeto e o caminho para o arquivo de política
que você criou.
gcloud projects set-iam-policy PROJECT_STORE_ID \ POLICY_FILE_NAME
Se a solicitação for bem-sucedida, o nome do conjunto de dados e as vinculações serão exibidos.
Updated IAM policy for project [PROJECT_ID]. bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com - serviceAccount:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.nlpServiceViewer etag: bytes version: VERSION_NUMBER
curl
Conceda ou revogue funções aos usuários modificando a política que você recuperou, programaticamente ou usando um editor de texto. O valor etag
é alterado quando a política é alterada. Portanto, você precisa especificar o valor atual.
Para conceder o papel de uma nova conta de serviço, adicione o endereço de
e-mail correspondente à matriz members
na vinculação
roles/healthcare.nlpServiceViewer
:
{ "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "serviceAccount:NEW_SERVICE_ACCOUNT_EMAIL_ADDRESS" ] }
members
. Para
revogar o acesso do último principal que tem uma função, exclua a matriz bindings
da
função. Não é possível ter uma matriz bindings
vazia na sua política.
Depois de modificar a política para conceder os papéis aplicáveis, chame projects.setIamPolicy
para fazer as atualizações.
Para definir uma política do IAM para envolvidos no projeto,
faça uma solicitação POST
e especifique o nome do projeto, a política e um token de acesso.
O exemplo a seguir mostra uma solicitação POST
usando curl
para conceder a um novo usuário
o papel roles/healthcare.nlpServiceViewer
existente:
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.nlpServiceViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com' ] } ] } }" "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy"
A resposta é esta:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com" ] } ] }
PowerShell
Conceda ou revogue funções aos usuários modificando a política que você recuperou, programaticamente ou usando um editor de texto. O valor etag
é alterado quando a política é alterada. Portanto, você precisa especificar o valor atual.
Para conceder o papel de uma nova conta de serviço, adicione o endereço de
e-mail correspondente à matriz members
na vinculação
roles/healthcare.nlpServiceViewer
:
{ "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "serviceAccount:NEW_SERVICE_ACCOUNT_EMAIL_ADDRESS" ] }
members
. Para
revogar o acesso do último principal que tem uma função, exclua a matriz bindings
da
função. Não é possível ter uma matriz bindings
vazia na sua política.
Depois de modificar a política para conceder os papéis aplicáveis, chame projects.setIamPolicy
para fazer as atualizações.
Para definir uma política do IAM para envolvidos no projeto,
faça uma solicitação POST
e especifique o nome do projeto, a política e um token de acesso.
O exemplo a seguir mostra uma solicitação POST
usando curl
para conceder a um novo usuário
o papel roles/healthcare.nlpServiceViewer
existente:
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.nlpServiceViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'serviceAccount:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy" | Select-Object -Expand Content
A resposta é esta:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "serviceAccount:NEW_USER_EMAIL_ADDRESS" ] } ] }
A seguir
- Leia sobre o padrão "leitura, modificação e gravação" usando políticas do IAM.
- Veja os papéis disponíveis da API Cloud Healthcare.