A Cloud Healthcare API não tem acesso automático a outros Google Cloud recursos no seu projeto, como contentores do Cloud Storage e conjuntos de dados do BigQuery. Quando acede a estes recursos, a Cloud Healthcare API usa um agente de serviço denominado agente de serviço do Cloud Healthcare.
Para realizar operações como notificar tópicos do Pub/Sub de alterações, importar dados de contentores do Cloud Storage, exportar dados para conjuntos de dados do BigQuery, etc., tem de conceder primeiro à conta de serviço as autorizações de gestão de identidades e acessos (IAM) necessárias para aceder aos recursos fora da Cloud Healthcare API. Esta página descreve as autorizações necessárias para várias operações e como concedê-las.
Para saber mais sobre a utilização da IAM para configurar autorizações na Cloud Healthcare API, consulte o artigo Controlo de acesso.
O agente de serviço do Cloud Healthcare
A conta de serviço do agente de serviço do Cloud Healthcare é criada automaticamente depois de ativar a Cloud Healthcare API. O nome do membro é
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
Para encontrar o PROJECT_NUMBER do seu Google Cloud projeto,
consulte o artigo Identificar projetos.
Pode ver informações detalhadas sobre a conta de serviço do agente do Cloud Healthcare Service, como as funções que lhe foram concedidas, na página de gestão de identidade e de acesso naGoogle Cloud consola.
Para saber mais sobre o agente do serviço Cloud Healthcare e a respetiva interação com as funções e as autorizações da gestão de identidade e de acesso (IAM), consulte o artigo Controlo de acesso.
Autorizações de CMEK do conjunto de dados
Pode usar uma chave de encriptação gerida pelo cliente (CMEK) quando criar um conjunto de dados da Cloud Healthcare API. Para permitir que a conta de serviço do agente de serviço do Cloud Healthcare encripte e desencripte objetos usando a chave CMEK, conceda à conta de serviço a função de encriptar/desencriptar do CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter).
Consola
Na Google Cloud consola, aceda à página IAM.
Selecione a caixa de verificação Incluir concessões de funções fornecidas pela Google.
Certifique-se de que o separador Ver por diretores está selecionado. Localize a linha que contém a conta de serviço Cloud Healthcare Service Agent e clique em Editar principal nessa linha. É apresentado o painel Editar autorizações.
Clique em Adicionar outra função.
No menu pendente Selecionar uma função, pesquise e, de seguida, clique em CryptoKey Encrypter/Decrypter.
Clique em Guardar.
Autorizações do Pub/Sub para DICOM, FHIR e HL7v2
As alterações nas lojas DICOM, FHIR e HL7v2 podem ser enviadas para um tópico do Pub/Sub. Para mais informações, consulte o artigo Usar o Cloud Pub/Sub para notificações.
Os métodos nestas lojas requerem autorizações adicionais na conta de serviço do agente do serviço Cloud Healthcare para publicar alterações num tópico do Pub/Sub.
Use a Google Cloud consola ou a CLI gcloud para adicionar a função pubsub.publisher à conta de serviço do seu projeto:
Consola
- Certifique-se de que ativou a Cloud Healthcare API.
- Na página IAM
na Google Cloud consola, verifique se a função Agente do serviço de saúde
aparece na coluna Função para a conta de serviço Agente do serviço de saúde do Google Cloud.
O identificador da conta de serviço é
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Na coluna Herança que corresponde à função, clique no ícone de lápis. É aberto o painel Editar autorizações.
- Clique em Adicionar outra função e, de seguida, pesquise a função Publicador do Pub/Sub.
- Selecione a função e, de seguida, clique em Guardar. A função
pubsub.publisheré adicionada à conta de serviço.
gcloud
Para adicionar as autorizações da conta de serviço, execute o comando
gcloud projects add-iam-policy-binding. Para encontrar o PROJECT_ID e o PROJECT_NUMBER,
consulte o artigo Identificar projetos.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/pubsub.publisher
Configure autorizações do Pub/Sub entre projetos
Para publicar notificações do Pub/Sub num tópico noutro projeto,
conceda à conta de serviço do agente do serviço Cloud Healthcare a função
pubsub.publisher no tópico. Para mais informações, consulte os artigos Controle o acesso através da Google Cloud consola
e Controle o acesso através da API IAM.
Para ver um exemplo de publicação de notificações Pub/Sub entre projetos, consulte o Exemplo de utilização: comunicação entre projetos.
Autorizações do Cloud Storage da loja DICOM
Os métodos projects.locations.datasets.dicomStores.import
e projects.locations.datasets.dicomStores.export
requerem autorizações adicionais na conta de serviço do agente do serviço Cloud Healthcare
para importar dados do Cloud Storage e exportar
dados para o Cloud Storage.
Importar dados do Cloud Storage
Pode usar a Google Cloud consola ou a CLI gcloud para adicionar a funçãostorage.objectViewer necessária à conta de serviço do seu projeto.
Consola
- Certifique-se de que ativou a Cloud Healthcare API.
- Na página IAM na Google Cloud consola, verifique se a função
Agente de serviço de cuidados de saúde aparece na coluna Função para a conta de serviço
do agente de serviço de cuidados de saúde do Google Cloud.
O identificador da conta de serviço é
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Na coluna Herança que corresponde à função, clique no ícone de lápis. É aberto o painel Editar autorizações.
- Clique em Adicionar outra função e, de seguida, procure a função Visualizador de objetos de armazenamento.
- Selecione a função e, de seguida, clique em Guardar. Em seguida, a função
storage.objectVieweré adicionada à conta de serviço.
gcloud
Para adicionar as autorizações da conta de serviço, execute o comandogcloud projects add-iam-policy-binding. Para encontrar o PROJECT_ID e o PROJECT_NUMBER,
consulte o artigo Identificar projetos.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectViewer
Exportar dados para o Cloud Storage
Pode usar a Google Cloud consola ou a CLI gcloud para adicionar a função
storage.objectAdmin necessária à conta de serviço do seu projeto:
Consola
- Certifique-se de que ativou a Cloud Healthcare API.
- Na página IAM
na Google Cloud consola, verifique se a função Agente de serviço de cuidados de saúde
aparece na coluna Função para a conta de serviço
do agente de serviço do Cloud Healthcare.
O identificador da conta de serviço é
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Na coluna Herança que corresponde à função, clique no ícone de lápis. É aberto o painel Editar autorizações.
- Clique em Adicionar outra função e, de seguida, pesquise a função Administrador de objetos de armazenamento.
- Selecione a função e, de seguida, clique em Guardar. Em seguida, a função
storage.objectAdminé adicionada à conta de serviço.
gcloud
Para adicionar as autorizações da conta de serviço, execute o comando gcloud projects add-iam-policy-binding. Para encontrar o PROJECT_ID e o PROJECT_NUMBER,
consulte o artigo Identificar projetos.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectAdmin
Autorizações do BigQuery do DICOM Store
O método projects.locations.datasets.dicomStores.export
requer autorizações adicionais na conta de serviço do agente do serviço Cloud Healthcare
para exportar metadados DICOM para o
BigQuery. Também tem de conceder acesso WRITER ao
conjunto de dados do BigQuery
à conta de serviço do agente do Cloud Healthcare Service.
Conceder autorizações à conta de serviço do agente do serviço Cloud Healthcare
Pode usar a Google Cloud consola ou a CLI gcloud para adicionar as funções
bigquery.dataEditor e bigquery.jobUser necessárias à conta de serviço do seu projeto.
Consola
- Certifique-se de que ativou a Cloud Healthcare API.
- Na página IAM na Google Cloud consola, verifique se a função
Agente de serviço de cuidados de saúde aparece na coluna Função para a conta de serviço
do agente de serviço de cuidados de saúde do Google Cloud.
O identificador da conta de serviço é
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Na coluna Herança que corresponde à função, clique no ícone de lápis. É aberto o painel Editar autorizações.
- Clique em Adicionar outra função e, de seguida, pesquise as funções Editor de dados do BigQuery e Utilizador da tarefa do BigQuery.
- Selecione cada função e, de seguida, clique em Guardar. As funções
bigquery.dataEditorebigquery.jobUsersão adicionadas à conta de serviço.
gcloud
Para adicionar as autorizações da conta de serviço, execute o comando gcloud projects add-iam-policy-binding. Para encontrar o PROJECT_ID e o PROJECT_NUMBER,
consulte o artigo Identificar projetos.
Conceda a função de
roles/bigquery.dataEditor:Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
- PROJECT_ID: o ID do seu Google Cloud projeto
- PROJECT_NUMBER: o número do seu Google Cloud projeto
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditor
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.dataEditor
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.dataEditor
Deve receber uma resposta semelhante à seguinte:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.dataEditor ... etag: ETAG version: VERSION
Conceda a função de
roles/bigquery.jobUser:Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
- PROJECT_ID: o ID do seu Google Cloud projeto
- PROJECT_NUMBER: o número do seu Google Cloud projeto
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUser
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.jobUser
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.jobUser
Deve receber uma resposta semelhante à seguinte:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.jobUser ... etag: ETAG version: VERSION
Conceder WRITER acesso ao conjunto de dados do BigQuery
Se adicionou as funções bigquery.dataEditor e bigquery.jobUser à conta de serviço do seu projeto, tem acesso WRITER a todos os conjuntos de dados do BigQuery. No entanto, se não tiver adicionado estas funções e precisar de
WRITER acesso a um único conjunto de dados do BigQuery, pode conceder
WRITER acesso apenas para esse conjunto de dados.
Para conceder WRITER acesso a um conjunto de dados do BigQuery, conclua os seguintes passos:
- Navegue para Controlar o acesso a um conjunto de dados.
- Usando um dos métodos disponíveis, conceda ao endereço de email do agente do serviço Cloud Healthcare acesso ao conjunto de dados do BigQuery.
WRITER(Procure o endereço de email que termina em@gcp-sa-healthcare.iam.gserviceaccount.com).
Por exemplo, se o endereço de email do agente do Cloud Healthcare Service for
service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com e se estiver a usar a IU Web do BigQuery, deve:
- Siga as instruções da consola.
- No campo Adicionar responsáveis, introduza
service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.come selecione a funçãobigquery.dataEditor.
Exportar metadados DICOM em Google Cloud projetos
Para exportar metadados DICOM de um arquivo DICOM num projeto para uma tabela do BigQuery num projeto diferente, tem de adicionar a conta de serviço do agente de serviço do Cloud Healthcare do projeto de origem ao projeto de destino e conceder à conta de serviço as funções bigquery.dataEditor e bigquery.jobUser no projeto de destino.
Para encontrar a conta de serviço do agente do serviço Cloud Healthcare do projeto de origem, conclua os seguintes passos:
- Certifique-se de que ativou a Cloud Healthcare API.
- Na página IAM na Google Cloud consola, verifique se a função
Agente do serviço de cuidados de saúde aparece na coluna Função para a conta de serviço Agente do serviço de cuidados de saúde do Google Cloud.
O identificador da conta de serviço é
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. Tome nota deste endereço no projeto de origem, uma vez que vai ser usado nos passos seguintes.
Adicione a conta de serviço do agente do serviço Cloud Healthcare do projeto de origem ao projeto de destino e conceda à conta de serviço as autorizações do BigQuery necessárias ao concluir os seguintes passos:
Consola
- Abra a página do IAM do projeto de destino na Google Cloud consola.
- Clique em Adicionar.
- No campo Novos membros, introduza o endereço da conta de serviço do agente do serviço Cloud Healthcare do projeto de origem.
- Clique em Adicionar outra função e, de seguida, pesquise as funções Editor de dados do BigQuery e Utilizador da tarefa do BigQuery.
- Selecione a função e, de seguida, clique em Guardar. A conta de serviço do agente do serviço Cloud Healthcare do projeto de origem tem agora as funções
bigquery.dataEditorebigquery.jobUserno projeto de destino.
gcloud
Para adicionar a conta de serviço do agente do Cloud Healthcare Service do projeto de origem ao projeto de destino e conceder à conta de serviço as autorizações do BigQuery necessárias, execute o comando gcloud projects add-iam-policy-binding. Para encontrar o ID e o número do projeto de origem e de destino, consulte o artigo Identificar projetos.
gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \ --member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditor
gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \ --member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUser
Conclua os passos em Conceder acesso de WRITER ao conjunto de dados do BigQuery
para permitir que o projeto de origem escreva no conjunto de dados de destino.
Autorizações do Cloud Storage da loja FHIR
As secções seguintes descrevem os métodos FHIR que requerem autorizações adicionais no agente do serviço Cloud Healthcare para ler ou escrever no Cloud Storage.
Importar recursos FHIR do Cloud Storage
O método projects.locations.datasets.fhirStores.import
requer as seguintes autorizações na conta de serviço do agente do Cloud Healthcare Service:
storage.objects.getstorage.objects.list
Estas autorizações estão incluídas na função storage.objectViewer predefinida.
Também pode adicionar as autorizações a uma função personalizada ou podem estar incluídas noutras funções básicas.
Pode usar a Google Cloud consola ou a CLI gcloud para adicionar a funçãostorage.objectViewer necessária à conta de serviço do seu projeto.
Consola
- Certifique-se de que ativou a Cloud Healthcare API.
- Na página IAM na Google Cloud consola, verifique se a função
Agente de serviço de cuidados de saúde aparece na coluna Função para a conta de serviço
do agente de serviço de cuidados de saúde do Google Cloud.
O identificador da conta de serviço é
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Na coluna Herança que corresponde à função, clique no ícone de lápis. É aberto o painel Editar autorizações.
- Clique em Adicionar outra função e, de seguida, procure a função Visualizador de objetos de armazenamento.
- Selecione a função e, de seguida, clique em Guardar. Em seguida, a função
storage.objectVieweré adicionada à conta de serviço.
gcloud
Para adicionar as autorizações da conta de serviço, execute o comandogcloud projects add-iam-policy-binding. Para encontrar o PROJECT_ID e o PROJECT_NUMBER,
consulte o artigo Identificar projetos.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectViewer
Exportar recursos FHIR para o Cloud Storage
A utilização do método projects.locations.datasets.fhirStores.export
requer as seguintes autorizações na conta de serviço do agente do Cloud Healthcare Service:
storage.objects.createstorage.objects.deletestorage.objects.list
Estas autorizações estão incluídas na função storage.objectAdmin predefinida.
Também pode adicionar as autorizações a uma função personalizada ou podem estar incluídas noutras funções básicas.
Para conceder à conta de serviço a função storage.objectAdmin, siga estes passos:
Consola
- Certifique-se de que ativou a Cloud Healthcare API.
- Na página IAM
na Google Cloud consola, verifique se a função Agente de serviço de cuidados de saúde
aparece na coluna Função para a conta de serviço
do agente de serviço do Cloud Healthcare.
O identificador da conta de serviço é
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Na coluna Herança que corresponde à função, clique no ícone de lápis. É aberto o painel Editar autorizações.
- Clique em Adicionar outra função e, de seguida, pesquise a função Storage Object Creator.
- Selecione a função e, de seguida, clique em Guardar. Em seguida, a função
storage.objectAdminé adicionada à conta de serviço.
gcloud
Para adicionar as autorizações da conta de serviço, execute o comando gcloud projects add-iam-policy-binding. Para encontrar o PROJECT_ID e o PROJECT_NUMBER,
consulte o artigo Identificar projetos.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectAdmin
Ler ficheiros de filtros do Cloud Storage
O método projects.locations.datasets.fhirStores.rollback
requer as seguintes autorizações na conta de serviço do agente do Cloud Healthcare Service
para ler ficheiros de filtro
do Cloud Storage:
storage.objects.getstorage.objects.list
Estas autorizações estão incluídas na função storage.objectViewer predefinida.
Também pode adicionar as autorizações a uma função personalizada ou podem estar incluídas noutras funções básicas.
Para conceder a função storage.objectViewer à conta de serviço, siga
estes passos:
Escrever ficheiros de saída no Cloud Storage
O método projects.locations.datasets.fhirStores.rollback
requer as seguintes autorizações na conta de serviço do agente do Cloud Healthcare Service
para escrever ficheiros de saída
no Cloud Storage:
storage.objects.createstorage.objects.deletestorage.objects.getstorage.objects.list
Estas autorizações estão incluídas na função storage.objectAdmin predefinida.
Também pode adicionar as autorizações a uma função personalizada ou podem estar incluídas noutras funções básicas.
Para conceder a função storage.objectAdmin à conta de serviço, siga
estes passos:
Autorizações do BigQuery para a loja FHIR
O método projects.locations.datasets.fhirStores.export
requer autorizações adicionais na conta de serviço do agente do serviço Cloud Healthcare
para exportar recursos FHIR para o
BigQuery. Também tem de conceder acesso WRITER ao
conjunto de dados do BigQuery
à conta de serviço do agente do Cloud Healthcare Service.
Conceder autorizações à conta de serviço do agente do serviço Cloud Healthcare
Consola
- Certifique-se de que ativou a Cloud Healthcare API.
- Na página IAM na Google Cloud consola, verifique se a função
Agente de serviço de cuidados de saúde aparece na coluna Função para a conta de serviço
do agente de serviço de cuidados de saúde do Google Cloud.
O identificador da conta de serviço é
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Na coluna Herança que corresponde à função, clique no ícone de lápis. É aberto o painel Editar autorizações.
- Clique em Adicionar outra função e, de seguida, pesquise as funções Editor de dados do BigQuery e Utilizador da tarefa do BigQuery.
- Selecione cada função e, de seguida, clique em Guardar. As funções
bigquery.dataEditorebigquery.jobUsersão adicionadas à conta de serviço.
gcloud
Para adicionar as autorizações da conta de serviço, execute o comando gcloud projects add-iam-policy-binding. Para encontrar o PROJECT_ID e o PROJECT_NUMBER,
consulte o artigo Identificar projetos.
Conceda a função de
roles/bigquery.dataEditor:Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
- PROJECT_ID: o ID do seu Google Cloud projeto
- PROJECT_NUMBER: o número do seu Google Cloud projeto
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditor
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.dataEditor
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.dataEditor
Deve receber uma resposta semelhante à seguinte:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.dataEditor ... etag: ETAG version: VERSION
Conceda a função de
roles/bigquery.jobUser:Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
- PROJECT_ID: o ID do seu Google Cloud projeto
- PROJECT_NUMBER: o número do seu Google Cloud projeto
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUser
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.jobUser
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.jobUser
Deve receber uma resposta semelhante à seguinte:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.jobUser ... etag: ETAG version: VERSION
Conceder WRITER acesso ao conjunto de dados do BigQuery
Se adicionou as funções bigquery.dataEditor e bigquery.jobUser à conta de serviço do seu projeto, tem acesso WRITER a todos os conjuntos de dados do BigQuery. No entanto, se não tiver adicionado estas funções e precisar de
WRITER acesso a um único conjunto de dados do BigQuery, pode conceder
WRITER acesso apenas para esse conjunto de dados.
Para conceder WRITER acesso a um conjunto de dados do BigQuery, conclua os seguintes passos:
- Navegue para Controlar o acesso a um conjunto de dados.
- Usando um dos métodos disponíveis, conceda ao endereço de email do agente do serviço Cloud Healthcare acesso ao conjunto de dados do BigQuery.
WRITER(Procure o endereço de email que termina em@gcp-sa-healthcare.iam.gserviceaccount.com).
Por exemplo, se o endereço de email do agente do Cloud Healthcare Service for
service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com e se estiver a usar a IU Web do BigQuery, deve:
- Siga as instruções da consola.
- No campo Adicionar responsáveis, introduza
service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.come selecione a funçãobigquery.dataEditor.
Autorizações do Cloud Storage do armazenamento HL7v2
Os métodos projects.locations.datasets.hl7V2Stores.import e projects.locations.datasets.hl7V2Stores.export requerem autorizações adicionais na conta de serviço Agente do serviço Cloud Healthcare para importar mensagens HL7v2 de e exportar mensagens HL7v2 para o Cloud Storage.
Determine as autorizações que a conta de serviço requer com base nas ações que a aplicação realiza:
- Se a aplicação importar mensagens HL7v2 do Cloud Storage para uma loja HL7v2, a conta de serviço requer as autorizações
storage.objects.getestorage.objects.list, que estão incluídas na funçãostorage.objectViewer. - Se a aplicação exportar mensagens HL7v2 de um arquivo HL7v2 para o Cloud Storage, a conta de serviço requer as autorizações
storage.objects.create,storage.objects.deleteestorage.objects.list, que estão incluídas na funçãostorage.objectCreator.
Importar mensagens HL7v2 do Cloud Storage
Pode usar a Google Cloud consola ou a CLI gcloud para adicionar a funçãostorage.objectViewer necessária à conta de serviço do seu projeto.
Consola
- Certifique-se de que ativou a Cloud Healthcare API.
- Na página IAM na Google Cloud consola, verifique se a função
Agente de serviço de cuidados de saúde aparece na coluna Função para a conta de serviço
do agente de serviço de cuidados de saúde do Google Cloud.
O identificador da conta de serviço é
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Na coluna Herança que corresponde à função, clique no ícone de lápis. É aberto o painel Editar autorizações.
- Clique em Adicionar outra função e, de seguida, procure a função Visualizador de objetos de armazenamento.
- Selecione a função e, de seguida, clique em Guardar. Em seguida, a função
storage.objectVieweré adicionada à conta de serviço.
gcloud
Para adicionar as autorizações da conta de serviço, execute o comandogcloud projects add-iam-policy-binding. Para encontrar o PROJECT_ID e o PROJECT_NUMBER,
consulte o artigo Identificar projetos.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectViewer
Exportar mensagens HL7v2 para o Cloud Storage
Pode usar a Google Cloud consola ou a CLI gcloud para adicionar a função storage.objectCreator necessária à conta de serviço do seu projeto:
Consola
- Certifique-se de que ativou a Cloud Healthcare API.
- Na página IAM
na Google Cloud consola, verifique se a função Agente de serviço de cuidados de saúde
aparece na coluna Função para a conta de serviço
do agente de serviço do Cloud Healthcare.
O identificador da conta de serviço é
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Na coluna Herança que corresponde à função, clique no ícone de lápis. É aberto o painel Editar autorizações.
- Clique em Adicionar outra função e, de seguida, pesquise a função Storage Object Creator.
- Selecione a função e, de seguida, clique em Guardar. Em seguida, a função
storage.objectCreatoré adicionada à conta de serviço.
gcloud
Para adicionar as autorizações da conta de serviço, execute o comando gcloud projects add-iam-policy-binding. Para encontrar o PROJECT_ID e o PROJECT_NUMBER,
consulte o artigo Identificar projetos.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectCreator