Gestione delle autorizzazioni tra l'API Cloud Healthcare e altri prodotti Google Cloud

L'API Cloud Healthcare non ha accesso automatico ad altri alle risorse Google Cloud nel tuo progetto, come bucket Cloud Storage e set di dati BigQuery. Quando accedi a questi Cloud Healthcare, l'API Cloud Healthcare utilizza agente di servizio chiamato agente di servizio Cloud Healthcare.

Eseguire operazioni come la notifica agli argomenti Pub/Sub di importando dati dai bucket Cloud Storage, esportando i dati set di dati BigQuery e così via, devi prima concedere il metodo all'account di servizio Le autorizzazioni IAM (Identity and Access Management) necessarie per accedere alle risorse all'esterno API Cloud Healthcare. In questa pagina vengono descritte le autorizzazioni richiesti per le varie operazioni e come concederle.

Per scoprire di più su utilizzando IAM per configurare le autorizzazioni all'interno per l'API Cloud Healthcare, consulta Controllo dell'accesso.

Agente di servizio Cloud Healthcare

L'account di servizio dell'agente di servizio Cloud Healthcare. viene creato automaticamente dopo aver abilitato l'API Cloud Healthcare. Il suo nome è service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. Per trovare il PROJECT_NUMBER per il tuo progetto Google Cloud: consulta Identificazione dei progetti.

Puoi visualizzare informazioni dettagliate sull'agente di servizio Cloud Healthcare dell'account di servizio, come i ruoli che gli sono stati concessi, Pagina Identity and Access Management in nella console Google Cloud.

Per saperne di più sull'agente di servizio Cloud Healthcare e sulla sua interazione con ruoli e autorizzazioni di Identity and Access Management (IAM), consulta Controllo dell'accesso.

Autorizzazioni CMEK del set di dati

Puoi utilizzare una chiave di crittografia gestita dal cliente (CMEK) quando creazione di un set di dati dell'API Cloud Healthcare. Per consentire a L'account di servizio dell'agente di servizio Cloud Healthcare cripta e decripta gli oggetti usando la chiave CMEK, concedi all'account di servizio Autore crittografia/decrittografia CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) ruolo.

Console

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a IAM

  2. Seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.

  3. Assicurati che sia selezionata la scheda Visualizza per entità. Individua la riga contenente il servizio Cloud Healthcare Service Agent. l'account e fai clic su Modifica entità in quella riga. Viene visualizzato il riquadro Modifica autorizzazioni.

  4. Fai clic su Aggiungi un altro ruolo.

  5. Nel menu a discesa Seleziona un ruolo, cerca e fai clic su Autore crittografia/decrittografia CryptoKey.

  6. Fai clic su Salva.

Autorizzazioni Pub/Sub per archivi DICOM, FHIR e HL7v2

Le modifiche all'interno degli archivi DICOM, FHIR e HL7v2 possono essere inviate a un Argomento Pub/Sub. Per ulteriori informazioni, vedi Utilizzo di Cloud Pub/Sub per le notifiche.

I metodi all'interno di questi archivi richiedono autorizzazioni aggiuntive nella Account di servizio dell'agente di servizio Cloud Healthcare per pubblicare le modifiche in un argomento Pub/Sub.

Utilizza la console Google Cloud o gcloud CLI per aggiungere pubsub.publisher all'account di servizio del progetto:

Console

  1. Assicurati di aver abilitato l'API Cloud Healthcare.
  2. Nella pagina IAM Nella console Google Cloud, verifica che il ruolo Agente di servizio sanitario viene visualizzato nella colonna Ruolo per l'agente di servizio Cloud Healthcare l'account di servizio. L'identificatore dell'account di servizio è service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
  4. Fai clic su Aggiungi un altro ruolo e cerca il publisher Pub/Sub ruolo.
  5. Seleziona il ruolo e fai clic su Salva. Il ruolo pubsub.publisher è è stato aggiunto all'account di servizio.

gcloud

Per aggiungere le autorizzazioni dell'account di servizio, esegui gcloud projects add-iam-policy-binding . Per trovare PROJECT_ID e PROJECT_NUMBER, consulta Identificazione dei progetti.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/pubsub.publisher

Configura le autorizzazioni Pub/Sub tra i progetti

Per pubblicare notifiche Pub/Sub in un argomento in un altro progetto, concedi all'account di servizio dell'agente di servizio Cloud Healthcare la pubsub.publisher sull'argomento. Per saperne di più, consulta Controllare l'accesso tramite la console Google Cloud e Controllare l'accesso tramite l'API IAM.

Per un esempio di pubblicazione di notifiche Pub/Sub tra progetti, consulta Caso d'uso di esempio: comunicazione tra progetti.

Autorizzazioni Cloud Storage per gli archivi DICOM

La projects.locations.datasets.dicomStores.import e projects.locations.datasets.dicomStores.export richiedono autorizzazioni aggiuntive per l'agente di servizio Cloud Healthcare account di servizio da cui importare ed esportare i dati in Cloud Storage.

Importazione dei dati da Cloud Storage

Puoi utilizzare la console Google Cloud o gcloud CLI per aggiungere Ruolo storage.objectViewer al servizio del progetto .

Console

  1. Assicurati di aver abilitato l'API Cloud Healthcare.
  2. Nella pagina IAM della console Google Cloud, verifica che il ruolo L'agente di servizio Healthcare viene visualizzato nella colonna Ruolo dell'agente di servizio Cloud Healthcare. l'account di servizio. L'identificatore dell'account di servizio è service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Nella colonna Ereditarietà corrispondente al ruolo, fai clic sull'icona a forma di matita. Viene visualizzato il riquadro Modifica autorizzazioni.
  4. Fai clic su Aggiungi un altro ruolo e cerca il ruolo Visualizzatore oggetti Storage.
  5. Seleziona il ruolo e fai clic su Salva. storage.objectViewer viene aggiunto all'account di servizio.

gcloud

Per aggiungere le autorizzazioni dell'account di servizio, esegui gcloud projects add-iam-policy-binding . Per trovare PROJECT_ID e PROJECT_NUMBER, consulta Identificazione dei progetti. 
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/storage.objectViewer 

Esportazione dei dati in Cloud Storage

Puoi utilizzare la console Google Cloud o gcloud CLI per aggiungere storage.objectAdmin all'account di servizio del progetto:

Console

  1. Assicurati di aver abilitato l'API Cloud Healthcare.
  2. Nella pagina IAM Nella console Google Cloud, verifica che il ruolo Agente di servizio sanitario Viene visualizzato nella colonna Ruolo per l'agente di servizio Cloud Healthcare. l'account di servizio. L'identificatore dell'account di servizio è service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
  4. Fai clic su Aggiungi un altro ruolo e cerca Amministratore oggetti Storage ruolo.
  5. Seleziona il ruolo e fai clic su Salva. Il ruolo storage.objectAdmin è quindi aggiunto all'account di servizio.

gcloud

Per aggiungere le autorizzazioni dell'account di servizio, esegui gcloud projects add-iam-policy-binding . Per trovare PROJECT_ID e PROJECT_NUMBER, consulta Identificazione dei progetti.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/storage.objectAdmin

Autorizzazioni BigQuery per gli archivi DICOM

La projects.locations.datasets.dicomStores.export richiede autorizzazioni aggiuntive per l'agente di servizio Cloud Healthcare l'account di servizio per esportare i metadati DICOM in BigQuery. Devi anche concedere a WRITER l'accesso per Set di dati BigQuery all'agente di servizio Cloud Healthcare". l'account di servizio.

Concessione delle autorizzazioni all'account di servizio dell'agente di servizio Cloud Healthcare

Puoi utilizzare la console Google Cloud o gcloud CLI per aggiungere Ruoli bigquery.dataEditor e bigquery.jobUser al servizio del progetto .

Console

  1. Assicurati di aver abilitato l'API Cloud Healthcare.
  2. Nella pagina IAM della console Google Cloud, verifica che il ruolo L'agente di servizio Healthcare viene visualizzato nella colonna Ruolo dell'agente di servizio Cloud Healthcare. l'account di servizio. L'identificatore dell'account di servizio è service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Nella colonna Ereditarietà corrispondente al ruolo, fai clic sull'icona a forma di matita. Viene visualizzato il riquadro Modifica autorizzazioni.
  4. Fai clic su Aggiungi un altro ruolo e cerca l'Editor dati BigQuery. e Utente job BigQuery.
  5. Seleziona ciascun ruolo e fai clic su Salva. Le bigquery.dataEditor e Vengono quindi aggiunti i ruoli bigquery.jobUser all'account di servizio.

gcloud

Per aggiungere le autorizzazioni dell'account di servizio, esegui gcloud projects add-iam-policy-binding . Per trovare PROJECT_ID e PROJECT_NUMBER, consulta Identificazione dei progetti.

  1. Concedi il ruolo roles/bigquery.dataEditor:

    Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

    • PROJECT_ID: l'ID del tuo progetto Google Cloud
    • PROJECT_NUMBER: il numero del tuo progetto Google Cloud

    Esegui la persone che seguo :

    Linux, macOS o Cloud Shell

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/bigquery.dataEditor

    Windows (PowerShell)

    gcloud projects add-iam-policy-binding PROJECT_ID `
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com `
    --role=roles/bigquery.dataEditor

    Windows (cmd.exe)

    gcloud projects add-iam-policy-binding PROJECT_ID ^
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^
    --role=roles/bigquery.dataEditor

    Dovresti ricevere una risposta simile alla seguente:

    Updated IAM policy for project [PROJECT_ID].
bindings:
...
- members:
  - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
  role: roles/bigquery.dataEditor
...
etag: ETAG
version: VERSION

  2. Concedi il ruolo roles/bigquery.jobUser:

    Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

    • PROJECT_ID: l'ID del tuo progetto Google Cloud
    • PROJECT_NUMBER: il numero del tuo progetto Google Cloud

    Esegui la persone che seguo :

    Linux, macOS o Cloud Shell

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/bigquery.jobUser

    Windows (PowerShell)

    gcloud projects add-iam-policy-binding PROJECT_ID `
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com `
    --role=roles/bigquery.jobUser

    Windows (cmd.exe)

    gcloud projects add-iam-policy-binding PROJECT_ID ^
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^
    --role=roles/bigquery.jobUser

    Dovresti ricevere una risposta simile alla seguente:

    Updated IAM policy for project [PROJECT_ID].
bindings:
...
- members:
  - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
  role: roles/bigquery.jobUser
...
etag: ETAG
version: VERSION

Concessione dell'accesso a WRITER al set di dati BigQuery

Se hai aggiunto i ruoli bigquery.dataEditor e bigquery.jobUser a per l'account di servizio del progetto, avrai accesso WRITER per tutti set di dati BigQuery. Tuttavia, se non hai aggiunto questi ruoli e hai bisogno WRITER a un singolo set di dati BigQuery, puoi concedere WRITER solo per quel set di dati. Per concedere a WRITER l'accesso a un set di dati BigQuery, completa segui questi passaggi:
  1. Vai a Controllo dell'accesso a un set di dati.
  2. Utilizza uno dei metodi disponibili per concedere la classe all'agente di servizio Cloud Healthcare dall'indirizzo email WRITER con accesso al set di dati BigQuery. Cerca l'indirizzo email che termina con @gcp-sa-healthcare.iam.gserviceaccount.com.

Ad esempio, se l'indirizzo email dell'agente di servizio Cloud Healthcare è service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com e se utilizzi UI web di BigQuery, devi:

  1. Segui la console istruzioni.
  2. Nel campo Aggiungi entità, inserisci service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com e seleziona bigquery.dataEditor.

Esportazione dei metadati DICOM nei progetti Google Cloud

a esportare i metadati DICOM da un archivio DICOM in un progetto a un tabella BigQuery in un altro progetto, devi aggiungere dall'account di servizio dell'agente di servizio Cloud Healthcare del progetto di origine alla nel progetto di destinazione e concedere all'account di servizio Ruoli bigquery.dataEditor e bigquery.jobUser nella destinazione progetto.

Per trovare l'account di servizio dell'agente di servizio Cloud Healthcare del progetto di origine, completa i seguenti passaggi:

  1. Assicurati di aver abilitato l'API Cloud Healthcare.
  2. Nella pagina IAM della console Google Cloud, verifica che il ruolo L'agente di servizio Healthcare viene visualizzato nella colonna Ruolo per l'agente di servizio Cloud Healthcare. l'account di servizio. L'identificatore dell'account di servizio è service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. Prendi nota di questo indirizzo nel progetto di origine, poiché verrà utilizzato nei passaggi successivi.

Aggiungi l'account di servizio dell'agente di servizio Cloud Healthcare dall'origine. al progetto di destinazione e concedere all'account di servizio il necessario Autorizzazioni BigQuery completando i seguenti passaggi:

Console

  1. Apri la pagina IAM del progetto di destinazione nella console Google Cloud.
  2. Fai clic su Aggiungi.
  3. Nel campo Nuovi membri, inserisci l'indirizzo dell'origine l'account di servizio dell'agente di servizio Cloud Healthcare del progetto.
  4. Fai clic su Aggiungi un altro ruolo e cerca l'Editor dati BigQuery. e Utente job BigQuery.
  5. Seleziona il ruolo e fai clic su Salva. Nel progetto di origine L'account di servizio dell'agente di servizio Cloud Healthcare ora ha Ruoli bigquery.dataEditor e bigquery.jobUser nella destinazione progetto.

gcloud

Per aggiungere l'account di servizio dell'agente di servizio Cloud Healthcare dall'origine: al progetto di destinazione e concedere all'account di servizio il necessario autorizzazioni BigQuery, esegui gcloud projects add-iam-policy-binding . Per trovare l'ID e il numero del progetto di origine e progetti di destinazione, consulta Identificazione dei progetti.

gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \
    --member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/bigquery.dataEditor

gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \
    --member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/bigquery.jobUser

Completa i passaggi descritti in Concedere a WRITER l'accesso al set di dati BigQuery per consentire al progetto di origine di scrivere sul set di dati di destinazione.

Autorizzazioni Cloud Storage per gli archivi FHIR

Le seguenti sezioni descrivono i metodi FHIR che richiedono ulteriori autorizzazioni sull'agente di servizio Cloud Healthcare per la lettura o la scrittura di archiviazione ideale in Cloud Storage.

Importazione delle risorse FHIR da Cloud Storage

La projects.locations.datasets.fhirStores.import richiede le seguenti autorizzazioni per l'agente di servizio Cloud Healthcare account di servizio:

  • storage.objects.get
  • storage.objects.list

Queste autorizzazioni sono incluse nel ruolo predefinito storage.objectViewer.

Puoi anche aggiungere le autorizzazioni a un ruolo personalizzato, oppure potrebbero essere inclusi in altri ruoli di base.

Puoi utilizzare la console Google Cloud o gcloud CLI per aggiungere Ruolo storage.objectViewer al servizio del progetto .

Console

  1. Assicurati di aver abilitato l'API Cloud Healthcare.
  2. Nella pagina IAM della console Google Cloud, verifica che il ruolo L'agente di servizio Healthcare viene visualizzato nella colonna Ruolo dell'agente di servizio Cloud Healthcare. l'account di servizio. L'identificatore dell'account di servizio è service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Nella colonna Ereditarietà corrispondente al ruolo, fai clic sull'icona a forma di matita. Viene visualizzato il riquadro Modifica autorizzazioni.
  4. Fai clic su Aggiungi un altro ruolo e cerca il ruolo Visualizzatore oggetti Storage.
  5. Seleziona il ruolo e fai clic su Salva. storage.objectViewer viene aggiunto all'account di servizio.

gcloud

Per aggiungere le autorizzazioni dell'account di servizio, esegui gcloud projects add-iam-policy-binding . Per trovare PROJECT_ID e PROJECT_NUMBER, consulta Identificazione dei progetti. 
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/storage.objectViewer 

Esportazione delle risorse FHIR in Cloud Storage

Per utilizzare la projects.locations.datasets.fhirStores.export richiede le seguenti autorizzazioni per l'agente di servizio Cloud Healthcare account di servizio:

  • storage.objects.create
  • storage.objects.delete
  • storage.objects.list

Queste autorizzazioni sono incluse nel ruolo predefinito storage.objectAdmin.

Puoi anche aggiungere le autorizzazioni a un ruolo personalizzato, oppure potrebbero essere inclusi in altri ruoli di base.

Per concedere all'account di servizio il ruolo storage.objectAdmin, segui questi passaggi:

Console

  1. Assicurati di aver abilitato l'API Cloud Healthcare.
  2. Nella pagina IAM Nella console Google Cloud, verifica che il ruolo Agente di servizio sanitario Viene visualizzato nella colonna Ruolo per l'agente di servizio Cloud Healthcare. l'account di servizio. L'identificatore dell'account di servizio è service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
  4. Fai clic su Aggiungi un altro ruolo e cerca Creatore oggetti Storage. ruolo.
  5. Seleziona il ruolo e fai clic su Salva. Il ruolo storage.objectAdmin è quindi aggiunto all'account di servizio.

gcloud

Per aggiungere le autorizzazioni dell'account di servizio, esegui gcloud projects add-iam-policy-binding . Per trovare PROJECT_ID e PROJECT_NUMBER, consulta Identificazione dei progetti.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/storage.objectAdmin

Leggi i file di filtro da Cloud Storage

La projects.locations.datasets.fhirStores.rollback richiede le seguenti autorizzazioni per l'agente di servizio Cloud Healthcare account di servizio per leggere i file di filtro da Cloud Storage:

  • storage.objects.get
  • storage.objects.list

Queste autorizzazioni sono incluse nel ruolo predefinito storage.objectViewer.

Puoi anche aggiungere le autorizzazioni a un ruolo personalizzato, oppure potrebbero essere inclusi in altri ruoli di base.

Per concedere il ruolo storage.objectViewer all'account di servizio, segui questi passaggi:

Scrivi i file di output in Cloud Storage

La projects.locations.datasets.fhirStores.rollback richiede le seguenti autorizzazioni per l'agente di servizio Cloud Healthcare account di servizio per scrivere file di output in Cloud Storage:

  • storage.objects.create
  • storage.objects.delete
  • storage.objects.get
  • storage.objects.list

Queste autorizzazioni sono incluse nel ruolo predefinito storage.objectAdmin.

Puoi anche aggiungere le autorizzazioni a un ruolo personalizzato, oppure potrebbero essere inclusi in altri ruoli di base.

Per concedere il ruolo storage.objectAdmin all'account di servizio, segui questi passaggi:

Autorizzazioni BigQuery per gli archivi FHIR

La projects.locations.datasets.fhirStores.export richiede autorizzazioni aggiuntive per l'agente di servizio Cloud Healthcare account di servizio per esportare le risorse FHIR in BigQuery. Devi anche concedere a WRITER l'accesso per Set di dati BigQuery all'agente di servizio Cloud Healthcare". l'account di servizio.

Concessione delle autorizzazioni all'account di servizio dell'agente di servizio Cloud Healthcare

Console

  1. Assicurati di aver abilitato l'API Cloud Healthcare.
  2. Nella pagina IAM della console Google Cloud, verifica che il ruolo L'agente di servizio Healthcare viene visualizzato nella colonna Ruolo dell'agente di servizio Cloud Healthcare. l'account di servizio. L'identificatore dell'account di servizio è service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Nella colonna Ereditarietà corrispondente al ruolo, fai clic sull'icona a forma di matita. Viene visualizzato il riquadro Modifica autorizzazioni.
  4. Fai clic su Aggiungi un altro ruolo e cerca l'Editor dati BigQuery. e Utente job BigQuery.
  5. Seleziona ciascun ruolo e fai clic su Salva. Le bigquery.dataEditor e Vengono quindi aggiunti i ruoli bigquery.jobUser all'account di servizio.

gcloud

Per aggiungere le autorizzazioni dell'account di servizio, esegui gcloud projects add-iam-policy-binding . Per trovare PROJECT_ID e PROJECT_NUMBER, consulta Identificazione dei progetti.

  1. Concedi il ruolo roles/bigquery.dataEditor:

    Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

    • PROJECT_ID: l'ID del tuo progetto Google Cloud
    • PROJECT_NUMBER: il numero del tuo progetto Google Cloud

    Esegui la persone che seguo :

    Linux, macOS o Cloud Shell

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/bigquery.dataEditor

    Windows (PowerShell)

    gcloud projects add-iam-policy-binding PROJECT_ID `
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com `
    --role=roles/bigquery.dataEditor

    Windows (cmd.exe)

    gcloud projects add-iam-policy-binding PROJECT_ID ^
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^
    --role=roles/bigquery.dataEditor

    Dovresti ricevere una risposta simile alla seguente:

    Updated IAM policy for project [PROJECT_ID].
bindings:
...
- members:
  - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
  role: roles/bigquery.dataEditor
...
etag: ETAG
version: VERSION

  2. Concedi il ruolo roles/bigquery.jobUser:

    Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

    • PROJECT_ID: l'ID del tuo progetto Google Cloud
    • PROJECT_NUMBER: il numero del tuo progetto Google Cloud

    Esegui la persone che seguo :

    Linux, macOS o Cloud Shell

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/bigquery.jobUser

    Windows (PowerShell)

    gcloud projects add-iam-policy-binding PROJECT_ID `
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com `
    --role=roles/bigquery.jobUser

    Windows (cmd.exe)

    gcloud projects add-iam-policy-binding PROJECT_ID ^
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^
    --role=roles/bigquery.jobUser

    Dovresti ricevere una risposta simile alla seguente:

    Updated IAM policy for project [PROJECT_ID].
bindings:
...
- members:
  - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
  role: roles/bigquery.jobUser
...
etag: ETAG
version: VERSION

Concessione dell'accesso a WRITER al set di dati BigQuery

Se hai aggiunto i ruoli bigquery.dataEditor e bigquery.jobUser a per l'account di servizio del progetto, avrai accesso WRITER per tutti set di dati BigQuery. Tuttavia, se non hai aggiunto questi ruoli e hai bisogno WRITER a un singolo set di dati BigQuery, puoi concedere WRITER solo per quel set di dati. Per concedere a WRITER l'accesso a un set di dati BigQuery, completa segui questi passaggi:
  1. Vai a Controllo dell'accesso a un set di dati.
  2. Utilizza uno dei metodi disponibili per concedere la classe all'agente di servizio Cloud Healthcare dall'indirizzo email WRITER con accesso al set di dati BigQuery. Cerca l'indirizzo email che termina con @gcp-sa-healthcare.iam.gserviceaccount.com.

Ad esempio, se l'indirizzo email dell'agente di servizio Cloud Healthcare è service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com e se utilizzi UI web di BigQuery, devi:

  1. Segui la console istruzioni.
  2. Nel campo Aggiungi entità, inserisci service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com e seleziona bigquery.dataEditor.

Autorizzazioni Cloud Storage per gli archivi HL7v2

La projects.locations.datasets.hl7V2Stores.import e projects.locations.datasets.hl7V2Stores.export richiedono autorizzazioni aggiuntive per l'agente di servizio Cloud Healthcare account di servizio da cui importare i messaggi HL7v2 ed esportare i messaggi HL7v2 in Cloud Storage.

Determina le autorizzazioni richieste dall'account di servizio in base alle azioni eseguite dall'applicazione:

  • Se l'applicazione importa messaggi HL7v2 da Cloud Storage a un HL7v2, l'account di servizio richiede storage.objects.get e storage.objects.list, che sono incluse nelle storage.objectViewer.
  • Se l'applicazione esporta messaggi HL7v2 da un archivio HL7v2 a Cloud Storage, l'account di servizio richiede storage.objects.create, storage.objects.delete e storage.objects.list autorizzazioni incluse nel ruolo storage.objectCreator.

Importazione di messaggi HL7v2 da Cloud Storage

Puoi utilizzare la console Google Cloud o gcloud CLI per aggiungere Ruolo storage.objectViewer al servizio del progetto .

Console

  1. Assicurati di aver abilitato l'API Cloud Healthcare.
  2. Nella pagina IAM della console Google Cloud, verifica che il ruolo L'agente di servizio Healthcare viene visualizzato nella colonna Ruolo dell'agente di servizio Cloud Healthcare. l'account di servizio. L'identificatore dell'account di servizio è service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Nella colonna Ereditarietà corrispondente al ruolo, fai clic sull'icona a forma di matita. Viene visualizzato il riquadro Modifica autorizzazioni.
  4. Fai clic su Aggiungi un altro ruolo e cerca il ruolo Visualizzatore oggetti Storage.
  5. Seleziona il ruolo e fai clic su Salva. storage.objectViewer viene aggiunto all'account di servizio.

gcloud

Per aggiungere le autorizzazioni dell'account di servizio, esegui gcloud projects add-iam-policy-binding . Per trovare PROJECT_ID e PROJECT_NUMBER, consulta Identificazione dei progetti. 
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/storage.objectViewer 

Esportazione di messaggi HL7v2 in Cloud Storage

Puoi utilizzare la console Google Cloud o gcloud CLI per aggiungere È necessario il ruolo storage.objectCreator per l'account di servizio del progetto:

Console

  1. Assicurati di aver abilitato l'API Cloud Healthcare.
  2. Nella pagina IAM Nella console Google Cloud, verifica che il ruolo Agente di servizio sanitario Viene visualizzato nella colonna Ruolo per l'agente di servizio Cloud Healthcare. l'account di servizio. L'identificatore dell'account di servizio è service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
  4. Fai clic su Aggiungi un altro ruolo e cerca Creatore oggetti Storage. ruolo.
  5. Seleziona il ruolo e fai clic su Salva. Il ruolo storage.objectCreator è quindi aggiunto all'account di servizio.

gcloud

Per aggiungere le autorizzazioni dell'account di servizio, esegui gcloud projects add-iam-policy-binding . Per trovare PROJECT_ID e PROJECT_NUMBER, consulta Identificazione dei progetti.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/storage.objectCreator