L'API Cloud Healthcare ne dispose pas d'un accès automatique aux autres ressources Google Cloud de votre projet, telles que les buckets Cloud Storage et les ensembles de données BigQuery. Pour accéder à ces ressources, l'API Cloud Healthcare utilise un compte de service géré par Google appelé Agent de service Cloud Healthcare.
Pour effectuer des opérations comme notifier des modifications dans sujets Cloud Pub/Sub, importer des données à partir de buckets Cloud Storage, exporter des données vers des ensembles de données BigQuery, etc., vous devez d'abord accorder au compte de service les autorisations Cloud IAM (Cloud Identity and Access Management) nécessaires pour accéder aux ressources en dehors de l'API Cloud Healthcare. Cette page décrit les autorisations requises pour diverses opérations et explique comment les accorder.
Pour en savoir plus sur l'utilisation de Cloud IAM pour configurer des autorisations dans l'API Cloud Healthcare, consultez la page Contrôle des accès.
Agent de service Cloud Healthcare
Le compte de service Agent de service Cloud Healthcareest automatiquement créé lorsque vous activez l'API Cloud Healthcare. Son nom de membre est service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
Pour trouver le PROJECT_NUMBER de votre projet Google Cloud, consultez la page Identifier des projets.
Vous pouvez afficher des informations détaillées sur le compte de service Agent de service Cloud Healthcare, telles que les rôles qui lui ont été attribués, sur la page Identity and Access Management de la console Google Cloud.
Pour en savoir plus sur l'agent de service Cloud Healthcare et son interaction avec les rôles et les autorisations Cloud IAM (Cloud Identity and Access Management), consultez la page Contrôle des accès.
Autorisations Cloud Pub/Sub pour les datastores DICOM, FHIR et HL7v2.
Les modifications apportées aux datastores DICOM, FHIR et HL7v2 peuvent être envoyées à un sujet Cloud Pub/Sub. Pour en savoir plus, consultez la page Utiliser Cloud Pub/Sub pour les notifications.
Les méthodes disponibles dans ces datastores nécessitent des autorisations supplémentaires sur le compte de service Agent de service Cloud Healthcare permettant de publier des modifications dans un sujet Cloud Pub/Sub.
Utilisez la console Google Cloud ou la gcloud CLI pour ajouter le rôle pubsub.publisher au compte de service de votre projet:
Console
- Assurez-vous d'avoir activé l'API Cloud Healthcare.
- Sur la page IAM de la console Google Cloud, vérifiez que le rôle Agent de service Healthcare apparaît dans la colonne Rôle du compte de service Agent de service Cloud Healthcare.
L'identifiant de compte de service est
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Dans la colonne Héritage correspondant au rôle, cliquez sur l'icône en forme de crayon. Le volet Modifier les autorisations s'affiche.
- Cliquez sur Ajouter un autre rôle, puis recherchez le rôle Éditeur Cloud Pub/Sub.
- Sélectionnez le rôle, puis cliquez sur Enregistrer. Le rôle
pubsub.publisherest ajouté au compte de service.
gcloud
Pour ajouter les autorisations de compte de service, exécutez la commande gcloud projects add-iam-policy-binding. Pour trouver les informations PROJECT_ID et PROJECT_NUMBER, consultez la section Identifier des projets.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/pubsub.publisher
Configurer des autorisations Pub/Sub entre des projets
Pour publier des notifications Pub/Sub dans un sujet d'un autre projet, accordez au compte de service Agent de service Cloud Healthcare le rôle pubsub.publisher sur le sujet. Pour en savoir plus, consultez les sections Contrôler les accès via la console Google Cloud et Contrôler les accès via l'API IAM.
Pour obtenir un exemple de publication de notifications Pub/Sub entre des projets, consultez la section Exemple de cas d'utilisation: communication entre projets.
Autorisations Cloud Storage pour les datastores DICOM
Les méthodes projects.locations.datasets.dicomStores.import et projects.locations.datasets.dicomStores.export nécessitent des autorisations supplémentaires sur le compte de service Agent de service Cloud Healthcare pour importer et exporter des données depuis et vers Cloud Storage.
Importer des données à partir de Cloud Storage
Vous pouvez utiliser la console Google Cloud ou la gcloud CLI pour ajouter le rôlestorage.objectViewer requis au compte de service de votre projet.
Console
- Assurez-vous d'avoir activé l'API Cloud Healthcare.
- Sur la page IAM de la console Google Cloud, vérifiez que le rôle Agent de service Healthcare apparaît dans la colonne Rôle du compte de service Agent de service Cloud Healthcare.
L'identifiant de compte de service est
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Dans la colonne Héritage correspondant au rôle, cliquez sur l'icône en forme de crayon. Le volet Modifier les autorisations s'affiche.
- Cliquez sur Ajouter un autre rôle, puis recherchez le rôle Lecteur des objets Storage.
- Sélectionnez le rôle, puis cliquez sur Enregistrer. Le rôle
storage.objectViewerest ajouté au compte de service.
gcloud
Pour ajouter les autorisations de compte de service, exécutez la commandegcloud projects add-iam-policy-binding. Pour trouver les informations PROJECT_ID et PROJECT_NUMBER, consultez la section Identifier des projets.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/storage.objectViewer
Exporter des données vers Cloud Storage
Vous pouvez utiliser la console Google Cloud ou gcloud CLI pour ajouter le rôle storage.objectAdmin requis au compte de service de votre projet :
Console
- Assurez-vous d'avoir activé l'API Cloud Healthcare.
- Sur la page IAM de la console Google Cloud, vérifiez que le rôle Agent de service Healthcare apparaît dans la colonne Rôle du compte de service Agent de service Cloud Healthcare.
L'identifiant de compte de service est
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Dans la colonne Héritage correspondant au rôle, cliquez sur l'icône en forme de crayon. Le volet Modifier les autorisations s'affiche.
- Cliquez sur Ajouter un autre rôle, puis recherchez le rôle Administrateur des objets Storage.
- Sélectionnez le rôle, puis cliquez sur Enregistrer. Le rôle
storage.objectAdminest ajouté au compte de service.
gcloud
Pour ajouter les autorisations de compte de service, exécutez la commande gcloud projects add-iam-policy-binding. Pour trouver les informations PROJECT_ID et PROJECT_NUMBER, consultez la section Identifier des projets.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/storage.objectAdmin
Autorisations BigQuery pour les datastores DICOM
La méthode projects.locations.datasets.dicomStores.export nécessite des autorisations supplémentaires sur le compte de service Agent de service Cloud Healthcare pour exporter des métadonnées DICOM vers BigQuery. Vous devez également accorder l'accès WRITER pour l'ensemble de données BigQuery au compte de service Agent de service Cloud Healthcare.
Accorder des autorisations au compte de service "Agent de service Cloud Healthcare"
Vous pouvez utiliser la console Google Cloud ou la gcloud CLI pour ajouter les rôles bigquery.dataEditor et bigquery.jobUser requis au compte de service de votre projet.
Console
- Assurez-vous d'avoir activé l'API Cloud Healthcare.
- Sur la page IAM de la console Google Cloud, vérifiez que le rôle Agent de service Healthcare apparaît dans la colonne Rôle du compte de service Agent de service Cloud Healthcare.
L'identifiant de compte de service est
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Dans la colonne Héritage correspondant au rôle, cliquez sur l'icône en forme de crayon. Le volet Modifier les autorisations s'affiche.
- Cliquez sur Ajouter un autre rôle, puis recherchez les rôles Éditeur de données BigQuery et Utilisateur de tâche BigQuery.
- Sélectionnez chaque rôle, puis cliquez sur Enregistrer. Les rôles
bigquery.dataEditoretbigquery.jobUsersont ajoutés au compte de service.
gcloud
Pour ajouter les autorisations de compte de service, exécutez la commande gcloud projects add-iam-policy-binding. Pour trouver les informations PROJECT_ID et PROJECT_NUMBER, consultez la section Identifier des projets.
Attribuez le rôle
roles/bigquery.dataEditor:Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
- PROJECT_ID : ID de votre projet Google Cloud
- PROJECT_NUMBER: numéro de votre projet Google Cloud
Exécutez la commande suivante:
Linux, macOS ou Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditorWindows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.dataEditorWindows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.dataEditorVous devriez obtenir un résultat semblable à celui-ci :
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.dataEditor ... etag: ETAG version: VERSION
Attribuez le rôle
roles/bigquery.jobUser:Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
- PROJECT_ID : ID de votre projet Google Cloud
- PROJECT_NUMBER: numéro de votre projet Google Cloud
Exécutez la commande suivante:
Linux, macOS ou Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUserWindows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.jobUserWindows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.jobUserVous devriez obtenir un résultat semblable à celui-ci :
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.jobUser ... etag: ETAG version: VERSION
Accorder l'accès WRITER à l'ensemble de données BigQuery
Si vous avez ajouté les rôles bigquery.dataEditor et bigquery.jobUser au compte de service de votre projet, vous disposez d'un accès WRITER pour tous les ensembles de données BigQuery. Toutefois, si vous n'avez pas ajouté ces rôles et que vous avez besoin d'un accès WRITER à un seul ensemble de données BigQuery, vous pouvez n'accorder l'accès WRITER qu'à cet ensemble de données.
Pour autoriser WRITER à accéder à un ensemble de données BigQuery, procédez comme suit :- Accédez à la section Contrôler l'accès à un ensemble de données.
- À l'aide de l'une des méthodes disponibles, accordez à l'adresse e-mail de l'agent de service Cloud Healthcare l'accès
WRITERà l'ensemble de données BigQuery. (Recherchez l'adresse e-mail se terminant par@gcp-sa-healthcare.iam.gserviceaccount.com.)
Par exemple, si l'adresse e-mail de votre agent de service Cloud Healthcare est service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com et que vous utilisez l'interface utilisateur Web de BigQuery, procédez comme suit :
- Suivez les instructions de la console.
- Dans le champ Ajouter des comptes principaux, saisissez
service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.comet sélectionnez le rôlebigquery.dataEditor.
Exporter des métadonnées DICOM vers des projets Google Cloud
Pour exporter des métadonnées DICOM d'un datastore DICOM d'un projet vers une table BigQuery d'un autre projet, vous devez ajouter le compte de service Agent de service Cloud Healthcare du projet source au projet de destination, puis accorder au compte de service les rôles bigquery.dataEditor et bigquery.jobUser dans le projet de destination.
Pour trouver le compte de service Agent de service Cloud Healthcare du projet source, procédez comme suit :
- Assurez-vous d'avoir activé l'API Cloud Healthcare.
- Sur la page IAM de la console Google Cloud Console, vérifiez que le rôle Agent de service Healthcare apparaît dans la colonne Rôle du compte de service Agent de service Cloud Healthcare.
L'identifiant de compte de service est
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. Notez cette adresse dans le projet source, car vous l'utiliserez lors des étapes suivantes.
Ajoutez le compte de service Agent de service Cloud Healthcare du projet source au projet de destination et accordez-lui les autorisations BigQuery nécessaires en procédant comme suit :
Console
- Ouvrez la page IAM du projet de destination dans la console Google Cloud.
- Cliquez sur Add (Ajouter).
- Dans le champ Nouveaux membres, saisissez l'adresse du compte de service Agent de service Cloud Healthcare du projet source.
- Cliquez sur Ajouter un autre rôle, puis recherchez les rôles Éditeur de données BigQuery et Utilisateur de tâche BigQuery.
- Sélectionnez le rôle, puis cliquez sur Enregistrer. Le compte de service Agent de service Cloud Healthcare du projet source dispose désormais des rôles
bigquery.dataEditoretbigquery.jobUsersur le projet de destination.
gcloud
Pour ajouter le compte de service Agent de service Cloud Healthcare du projet source au projet de destination et accorder au compte de service les autorisations BigQuery nécessaires, exécutez la commande gcloud projects add-iam-policy-binding. Pour trouver l'ID et le numéro de projet de vos projets source et de destination, consultez la section Identifier des projets.
gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \
--member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/bigquery.dataEditor
gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \
--member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/bigquery.jobUser
Suivez les étapes décrites dans la section Accorder l'accès WRITER à l'ensemble de données BigQuery pour permettre au projet source d'écrire dans l'ensemble de données de destination.
Autorisations Cloud Storage pour les datastores FHIR
Les sections suivantes décrivent les méthodes FHIR qui nécessitent des autorisations supplémentaires sur l'agent de service Cloud Healthcare pour lire ou écrire des données dans Cloud Storage.
Importer des ressources FHIR depuis Cloud Storage
La méthode projects.locations.datasets.fhirStores.import nécessite les autorisations suivantes sur le compte de service Agent de service Cloud Healthcare:
storage.objects.getstorage.objects.list
Ces autorisations sont incluses dans le rôle storage.objectViewer prédéfini.
Vous pouvez également ajouter les autorisations à un rôle personnalisé ou les inclure dans d'autres rôles de base.
Vous pouvez utiliser la console Google Cloud ou la gcloud CLI pour ajouter le rôlestorage.objectViewer requis au compte de service de votre projet.
Console
- Assurez-vous d'avoir activé l'API Cloud Healthcare.
- Sur la page IAM de la console Google Cloud, vérifiez que le rôle Agent de service Healthcare apparaît dans la colonne Rôle du compte de service Agent de service Cloud Healthcare.
L'identifiant de compte de service est
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Dans la colonne Héritage correspondant au rôle, cliquez sur l'icône en forme de crayon. Le volet Modifier les autorisations s'affiche.
- Cliquez sur Ajouter un autre rôle, puis recherchez le rôle Lecteur des objets Storage.
- Sélectionnez le rôle, puis cliquez sur Enregistrer. Le rôle
storage.objectViewerest ajouté au compte de service.
gcloud
Pour ajouter les autorisations de compte de service, exécutez la commandegcloud projects add-iam-policy-binding. Pour trouver les informations PROJECT_ID et PROJECT_NUMBER, consultez la section Identifier des projets.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/storage.objectViewer
Exporter des ressources FHIR vers Cloud Storage
Pour utiliser la méthode projects.locations.datasets.fhirStores.export, vous devez disposer des autorisations suivantes sur le compte de service Agent de service Cloud Healthcare:
storage.objects.createstorage.objects.deletestorage.objects.list
Ces autorisations sont incluses dans le rôle storage.objectAdmin prédéfini.
Vous pouvez également ajouter les autorisations à un rôle personnalisé ou les inclure dans d'autres rôles de base.
Pour accorder le rôle storage.objectAdmin au compte de service, procédez comme suit:
Console
- Assurez-vous d'avoir activé l'API Cloud Healthcare.
- Sur la page IAM de la console Google Cloud, vérifiez que le rôle Agent de service Healthcare apparaît dans la colonne Rôle du compte de service Agent de service Cloud Healthcare.
L'identifiant de compte de service est
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Dans la colonne Héritage correspondant au rôle, cliquez sur l'icône en forme de crayon. Le volet Modifier les autorisations s'affiche.
- Cliquez sur Ajouter un autre rôle, puis recherchez le rôle Créateur d'objet Storage.
- Sélectionnez le rôle, puis cliquez sur Enregistrer. Le rôle
storage.objectAdminest ajouté au compte de service.
gcloud
Pour ajouter les autorisations de compte de service, exécutez la commande gcloud projects add-iam-policy-binding. Pour trouver les informations PROJECT_ID et PROJECT_NUMBER, consultez la section Identifier des projets.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/storage.objectAdmin
Lire les fichiers de filtre à partir de Cloud Storage
La méthode projects.locations.datasets.fhirStores.rollback nécessite les autorisations suivantes sur le compte de service Agent de service Cloud Healthcare pour lire les fichiers de filtre à partir de Cloud Storage:
storage.objects.getstorage.objects.list
Ces autorisations sont incluses dans le rôle storage.objectViewer prédéfini.
Vous pouvez également ajouter les autorisations à un rôle personnalisé ou les inclure dans d'autres rôles de base.
Pour accorder le rôle storage.objectViewer au compte de service, procédez comme suit:
Écrire des fichiers de sortie dans Cloud Storage
La méthode projects.locations.datasets.fhirStores.rollback nécessite les autorisations suivantes sur le compte de service Agent de service Cloud Healthcare pour écrire des fichiers de sortie dans Cloud Storage:
storage.objects.createstorage.objects.deletestorage.objects.getstorage.objects.list
Ces autorisations sont incluses dans le rôle storage.objectAdmin prédéfini.
Vous pouvez également ajouter les autorisations à un rôle personnalisé ou les inclure dans d'autres rôles de base.
Pour accorder le rôle storage.objectAdmin au compte de service, procédez comme suit:
Autorisations BigQuery pour les datastores FHIR
La méthode projects.locations.datasets.fhirStores.export nécessite des autorisations supplémentaires sur le compte de service Agent de service Cloud Healthcare pour exporter des ressources FHIR vers BigQuery. Vous devez également accorder l'accès WRITER pour l'ensemble de données BigQuery au compte de service Agent de service Cloud Healthcare.
Accorder des autorisations au compte de service "Agent de service Cloud Healthcare"
Console
- Assurez-vous d'avoir activé l'API Cloud Healthcare.
- Sur la page IAM de la console Google Cloud, vérifiez que le rôle Agent de service Healthcare apparaît dans la colonne Rôle du compte de service Agent de service Cloud Healthcare.
L'identifiant de compte de service est
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Dans la colonne Héritage correspondant au rôle, cliquez sur l'icône en forme de crayon. Le volet Modifier les autorisations s'affiche.
- Cliquez sur Ajouter un autre rôle, puis recherchez les rôles Éditeur de données BigQuery et Utilisateur de tâche BigQuery.
- Sélectionnez chaque rôle, puis cliquez sur Enregistrer. Les rôles
bigquery.dataEditoretbigquery.jobUsersont ajoutés au compte de service.
gcloud
Pour ajouter les autorisations de compte de service, exécutez la commande gcloud projects add-iam-policy-binding. Pour trouver les informations PROJECT_ID et PROJECT_NUMBER, consultez la section Identifier des projets.
Attribuez le rôle
roles/bigquery.dataEditor:Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
- PROJECT_ID : ID de votre projet Google Cloud
- PROJECT_NUMBER: numéro de votre projet Google Cloud
Exécutez la commande suivante:
Linux, macOS ou Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditorWindows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.dataEditorWindows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.dataEditorVous devriez obtenir un résultat semblable à celui-ci :
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.dataEditor ... etag: ETAG version: VERSION
Attribuez le rôle
roles/bigquery.jobUser:Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
- PROJECT_ID : ID de votre projet Google Cloud
- PROJECT_NUMBER: numéro de votre projet Google Cloud
Exécutez la commande suivante:
Linux, macOS ou Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUserWindows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.jobUserWindows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.jobUserVous devriez obtenir un résultat semblable à celui-ci :
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.jobUser ... etag: ETAG version: VERSION
Accorder l'accès WRITER à l'ensemble de données BigQuery
Si vous avez ajouté les rôles bigquery.dataEditor et bigquery.jobUser au compte de service de votre projet, vous disposez d'un accès WRITER pour tous les ensembles de données BigQuery. Toutefois, si vous n'avez pas ajouté ces rôles et que vous avez besoin d'un accès WRITER à un seul ensemble de données BigQuery, vous pouvez n'accorder l'accès WRITER qu'à cet ensemble de données.
Pour autoriser WRITER à accéder à un ensemble de données BigQuery, procédez comme suit :- Accédez à la section Contrôler l'accès à un ensemble de données.
- À l'aide de l'une des méthodes disponibles, accordez à l'adresse e-mail de l'agent de service Cloud Healthcare l'accès
WRITERà l'ensemble de données BigQuery. (Recherchez l'adresse e-mail se terminant par@gcp-sa-healthcare.iam.gserviceaccount.com.)
Par exemple, si l'adresse e-mail de votre agent de service Cloud Healthcare est service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com et que vous utilisez l'interface utilisateur Web de BigQuery, procédez comme suit :
- Suivez les instructions de la console.
- Dans le champ Ajouter des comptes principaux, saisissez
service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.comet sélectionnez le rôlebigquery.dataEditor.
Autorisations Cloud Storage pour les datastores HL7v2
Les méthodes projects.locations.datasets.hl7V2Stores.import et projects.locations.datasets.hl7V2Stores.export nécessitent des autorisations supplémentaires sur le compte de service Agent de service Cloud Healthcare pour importer et exporter des messages HL7v2 depuis et vers Cloud Storage.
Déterminez les autorisations requises par le compte de service en fonction des actions effectuées par l'application :
- Si l'application importe des messages HL7v2 depuis Cloud Storage vers un magasin HL7v2, le compte de service nécessite les autorisations
storage.objects.getetstorage.objects.list, incluses dans le rôlestorage.objectViewer. - Si l'application exporte des messages HL7v2 depuis un magasin HL7v2 vers Cloud Storage, le compte de service nécessite les autorisations
storage.objects.create,storage.objects.deleteetstorage.objects.list, incluses dans le rôlestorage.objectCreator.
Importer des messages HL7v2 à partir de Cloud Storage
Vous pouvez utiliser la console Google Cloud ou la gcloud CLI pour ajouter le rôlestorage.objectViewer requis au compte de service de votre projet.
Console
- Assurez-vous d'avoir activé l'API Cloud Healthcare.
- Sur la page IAM de la console Google Cloud, vérifiez que le rôle Agent de service Healthcare apparaît dans la colonne Rôle du compte de service Agent de service Cloud Healthcare.
L'identifiant de compte de service est
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Dans la colonne Héritage correspondant au rôle, cliquez sur l'icône en forme de crayon. Le volet Modifier les autorisations s'affiche.
- Cliquez sur Ajouter un autre rôle, puis recherchez le rôle Lecteur des objets Storage.
- Sélectionnez le rôle, puis cliquez sur Enregistrer. Le rôle
storage.objectViewerest ajouté au compte de service.
gcloud
Pour ajouter les autorisations de compte de service, exécutez la commandegcloud projects add-iam-policy-binding. Pour trouver les informations PROJECT_ID et PROJECT_NUMBER, consultez la section Identifier des projets.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/storage.objectViewer
Exporter des messages HL7v2 vers Cloud Storage
Vous pouvez utiliser la console Google Cloud ou gcloud CLI pour ajouter le rôle storage.objectCreator requis au compte de service de votre projet :
Console
- Assurez-vous d'avoir activé l'API Cloud Healthcare.
- Sur la page IAM de la console Google Cloud, vérifiez que le rôle Agent de service Healthcare apparaît dans la colonne Rôle du compte de service Agent de service Cloud Healthcare.
L'identifiant de compte de service est
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Dans la colonne Héritage correspondant au rôle, cliquez sur l'icône en forme de crayon. Le volet Modifier les autorisations s'affiche.
- Cliquez sur Ajouter un autre rôle, puis recherchez le rôle Créateur d'objet Storage.
- Sélectionnez le rôle, puis cliquez sur Enregistrer. Le rôle
storage.objectCreatorest ajouté au compte de service.
gcloud
Pour ajouter les autorisations de compte de service, exécutez la commande gcloud projects add-iam-policy-binding. Pour trouver les informations PROJECT_ID et PROJECT_NUMBER, consultez la section Identifier des projets.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/storage.objectCreator