Mengelola izin antara Cloud Healthcare API dan produk Google Cloud lainnya

Cloud Healthcare API tidak memiliki akses otomatis ke resource Google Cloud lainnya di project Anda, seperti bucket Cloud Storage dan set data BigQuery. Saat mengakses resource ini, Cloud Healthcare API menggunakan agen layanan yang disebut Agen Layanan Cloud Healthcare.

Untuk melakukan operasi seperti memberi tahu topik Pub/Sub tentang perubahan, mengimpor data dari bucket Cloud Storage, mengekspor data ke set data BigQuery, dan sebagainya, Anda harus terlebih dahulu memberikan izin Identity and Access Management (IAM) yang diperlukan untuk mengakses resource di luar Cloud Healthcare API kepada akun layanan. Halaman ini menjelaskan izin yang diperlukan untuk berbagai operasi, dan cara memberikannya.

Untuk mempelajari lebih lanjut cara menggunakan IAM untuk mengonfigurasi izin dalam Cloud Healthcare API, lihat Kontrol akses.

Cloud Healthcare Service Agent

Akun layanan Agen Layanan Cloud Healthcare otomatis dibuat setelah Anda mengaktifkan Cloud Healthcare API. Nama anggotanya adalah service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. Untuk menemukan PROJECT_NUMBER untuk project Google Cloud Anda, lihat Mengidentifikasi project.

Anda dapat melihat informasi mendetail tentang akun layanan Cloud Healthcare Service Agent, seperti peran yang telah diberikan, di halaman Identity and Access Management di konsol Google Cloud.

Untuk mempelajari Agen Layanan Kesehatan Cloud dan interaksinya dengan peran dan izin Identity and Access Management (IAM) lebih lanjut, lihat Kontrol akses.

Izin CMEK set data

Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) saat membuat set data Cloud Healthcare API. Agar akun layanan Cloud Healthcare Service Agent dapat mengenkripsi dan mendekripsi objek menggunakan kunci CMEK, berikan peran CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) kepada akun layanan tersebut.

Konsol

  1. Di konsol Google Cloud, buka halaman IAM.

    Buka IAM

  2. Pilih kotak centang Sertakan pemberian peran yang disediakan Google.

  3. Pastikan tab Lihat menurut akun utama dipilih. Temukan baris yang berisi akun layanan Cloud Healthcare Service Agent, lalu klik Edit akun utama di baris tersebut. Panel Edit izin akan ditampilkan.

  4. Klik Add another role.

  5. Dari menu drop-down Select a role, telusuri, lalu klik CryptoKey Encrypter/Decrypter.

  6. Klik Simpan.

Izin Pub/Sub penyimpanan DICOM, FHIR, dan HL7v2

Perubahan dalam penyimpanan DICOM, FHIR, dan HL7v2 dapat dikirim ke topik Pub/Sub. Untuk mengetahui informasi selengkapnya, lihat Menggunakan Cloud Pub/Sub untuk Notifikasi.

Metode dalam penyimpanan ini memerlukan izin tambahan di akun layanan Cloud Healthcare Service Agent untuk memublikasikan perubahan ke topik Pub/Sub.

Gunakan konsol Google Cloud atau gcloud CLI untuk menambahkan peran pubsub.publisher ke akun layanan project Anda:

Konsol

  1. Pastikan Anda telah mengaktifkan Cloud Healthcare API.
  2. Di halaman IAM di konsol Google Cloud, pastikan peran Healthcare Service Agent muncul di kolom Role untuk akun layanan Cloud Healthcare Service Agent. ID akun layanan adalah service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Di kolom Pewarisan yang cocok dengan peran, klik ikon pensil. Panel Edit izin akan terbuka.
  4. Klik Tambahkan peran lain, lalu telusuri peran Pub/Sub Publisher.
  5. Pilih peran, lalu klik Simpan. Peran pubsub.publisher ditambahkan ke akun layanan.

gcloud

Untuk menambahkan izin akun layanan, jalankan perintah gcloud projects add-iam-policy-binding. Untuk menemukan PROJECT_ID dan PROJECT_NUMBER, lihat Mengidentifikasi project.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/pubsub.publisher

Mengonfigurasi izin Pub/Sub antar-project

Untuk memublikasikan notifikasi Pub/Sub ke topik di project lain, berikan peran pubsub.publisher pada topik tersebut kepada akun layanan Cloud Healthcare Service Agent. Untuk mengetahui informasi selengkapnya, lihat Mengontrol akses melalui konsol Google Cloud dan Mengontrol akses melalui IAM API.

Untuk contoh publikasi notifikasi Pub/Sub antar-project, lihat Contoh kasus penggunaan: komunikasi lintas project.

Izin Cloud Storage penyimpanan DICOM

Metode projects.locations.datasets.dicomStores.import dan projects.locations.datasets.dicomStores.export memerlukan izin tambahan di akun layanan Cloud Healthcare Service Agent untuk mengimpor data dari dan mengekspor data ke Cloud Storage.

Mengimpor data dari Cloud Storage

Anda dapat menggunakan konsol Google Cloud atau gcloud CLI untuk menambahkan peran storage.objectViewer yang diperlukan ke akun layanan project Anda.

Konsol

  1. Pastikan Anda telah mengaktifkan Cloud Healthcare API.
  2. Di halaman IAM di konsol Google Cloud, pastikan peran Healthcare Service Agent muncul di kolom Role untuk akun layanan Cloud Healthcare Service Agent. ID akun layanan adalah service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Di kolom Pewarisan yang cocok dengan peran, klik ikon pensil. Panel Edit izin akan terbuka.
  4. Klik Tambahkan peran lain, lalu telusuri peran Storage Object Viewer.
  5. Pilih peran, lalu klik Simpan. Peran storage.objectViewer kemudian ditambahkan ke akun layanan.

gcloud

Untuk menambahkan izin akun layanan, jalankan perintah gcloud projects add-iam-policy-binding. Untuk menemukan PROJECT_ID dan PROJECT_NUMBER, lihat Mengidentifikasi project. 
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/storage.objectViewer 

Mengekspor data ke Cloud Storage

Anda dapat menggunakan konsol Google Cloud atau gcloud CLI untuk menambahkan peran storage.objectAdmin yang diperlukan ke akun layanan project Anda:

Konsol

  1. Pastikan Anda telah mengaktifkan Cloud Healthcare API.
  2. Di halaman IAM di Konsol Google Cloud, pastikan peran Healthcare Service Agent muncul di kolom Role untuk akun layanan Cloud Healthcare Service Agent. ID akun layanan adalah service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Di kolom Pewarisan yang cocok dengan peran, klik ikon pensil. Panel Edit izin akan terbuka.
  4. Klik Tambahkan peran lain, lalu telusuri peran Storage Object Admin.
  5. Pilih peran, lalu klik Simpan. Peran storage.objectAdmin kemudian ditambahkan ke akun layanan.

gcloud

Untuk menambahkan izin akun layanan, jalankan perintah gcloud projects add-iam-policy-binding. Untuk menemukan PROJECT_ID dan PROJECT_NUMBER, lihat Mengidentifikasi project.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/storage.objectAdmin

Izin BigQuery penyimpanan DICOM

Metode projects.locations.datasets.dicomStores.export memerlukan izin tambahan di akun layanan Cloud Healthcare Service Agent untuk mengekspor metadata DICOM ke BigQuery. Anda juga harus memberikan akses WRITER untuk set data BigQuery ke akun layanan Cloud Healthcare Service Agent.

Memberikan izin ke akun layanan Cloud Healthcare Service Agent

Anda dapat menggunakan konsol Google Cloud atau gcloud CLI untuk menambahkan peran bigquery.dataEditor dan bigquery.jobUser yang diperlukan ke akun layanan project Anda.

Konsol

  1. Pastikan Anda telah mengaktifkan Cloud Healthcare API.
  2. Di halaman IAM di konsol Google Cloud, pastikan peran Healthcare Service Agent muncul di kolom Role untuk akun layanan Cloud Healthcare Service Agent. ID akun layanan adalah service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Di kolom Pewarisan yang cocok dengan peran, klik ikon pensil. Panel Edit izin akan terbuka.
  4. Klik Add another role, lalu telusuri peran BigQuery Data Editor dan BigQuery Job User.
  5. Pilih setiap peran, lalu klik Simpan. Peran bigquery.dataEditor dan bigquery.jobUser kemudian ditambahkan ke akun layanan.

gcloud

Untuk menambahkan izin akun layanan, jalankan perintah gcloud projects add-iam-policy-binding. Untuk menemukan PROJECT_ID dan PROJECT_NUMBER, lihat Mengidentifikasi project.

  1. Berikan peran roles/bigquery.dataEditor:

    Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

    • PROJECT_ID: ID project Google Cloud Anda
    • PROJECT_NUMBER: nomor project Google Cloud Anda

    Jalankan perintah berikut:

    Linux, macOS, atau Cloud Shell

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/bigquery.dataEditor

    Windows (PowerShell)

    gcloud projects add-iam-policy-binding PROJECT_ID `
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com `
    --role=roles/bigquery.dataEditor

    Windows (cmd.exe)

    gcloud projects add-iam-policy-binding PROJECT_ID ^
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^
    --role=roles/bigquery.dataEditor

    Anda akan melihat respons seperti berikut:

    Updated IAM policy for project [PROJECT_ID].
bindings:
...
- members:
  - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
  role: roles/bigquery.dataEditor
...
etag: ETAG
version: VERSION

  2. Berikan peran roles/bigquery.jobUser:

    Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

    • PROJECT_ID: ID project Google Cloud Anda
    • PROJECT_NUMBER: nomor project Google Cloud Anda

    Jalankan perintah berikut:

    Linux, macOS, atau Cloud Shell

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/bigquery.jobUser

    Windows (PowerShell)

    gcloud projects add-iam-policy-binding PROJECT_ID `
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com `
    --role=roles/bigquery.jobUser

    Windows (cmd.exe)

    gcloud projects add-iam-policy-binding PROJECT_ID ^
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^
    --role=roles/bigquery.jobUser

    Anda akan melihat respons seperti berikut:

    Updated IAM policy for project [PROJECT_ID].
bindings:
...
- members:
  - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
  role: roles/bigquery.jobUser
...
etag: ETAG
version: VERSION

Memberikan akses WRITER ke set data BigQuery

Jika telah menambahkan peran bigquery.dataEditor dan bigquery.jobUser ke akun layanan project, Anda akan memiliki akses WRITER untuk semua set data BigQuery. Namun, jika Anda belum menambahkan peran ini dan memerlukan akses WRITER ke satu set data BigQuery, Anda dapat memberikan akses WRITER hanya untuk set data tersebut. Untuk memberikan akses WRITER ke set data BigQuery, selesaikan langkah-langkah berikut:
  1. Buka Mengontrol akses ke set data.
  2. Dengan menggunakan salah satu metode yang tersedia, berikan akses ke set data BigQuery kepada alamat email WRITER Cloud Healthcare Service Agent. (Cari alamat email yang diakhiri dengan @gcp-sa-healthcare.iam.gserviceaccount.com).

Misalnya, jika alamat email Agen Layanan Kesehatan Cloud Anda adalah service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com, dan jika Anda menggunakan UI web BigQuery, Anda akan:

  1. Ikuti petunjuk Konsol.
  2. Di kolom Add principals, masukkan service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com dan pilih peran bigquery.dataEditor.

Mengekspor metadata DICOM di seluruh project Google Cloud

Untuk mengekspor metadata DICOM dari penyimpanan DICOM di satu project ke tabel BigQuery di project lain, Anda harus menambahkan akun layanan Cloud Healthcare Service Agent project sumber ke project tujuan dan memberikan peran bigquery.dataEditor dan bigquery.jobUser ke akun layanan tersebut di project tujuan.

Untuk menemukan akun layanan Cloud Healthcare Service Agent project sumber, selesaikan langkah-langkah berikut:

  1. Pastikan Anda telah mengaktifkan Cloud Healthcare API.
  2. Di halaman IAM di konsol Google Cloud, pastikan peran Healthcare Service Agent muncul di kolom Role untuk akun layanan Cloud Healthcare Service Agent. ID akun layanan adalah service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. Catat alamat ini di project sumber, karena akan digunakan pada langkah-langkah berikut.

Tambahkan akun layanan Cloud Healthcare Service Agent dari project sumber ke project tujuan dan berikan izin BigQuery yang diperlukan kepada akun layanan tersebut dengan menyelesaikan langkah-langkah berikut:

Konsol

  1. Buka halaman IAM project tujuan di konsol Google Cloud.
  2. Klik Tambahkan.
  3. Di kolom New members, masukkan alamat akun layanan Cloud Healthcare Service Agent project sumber.
  4. Klik Add another role, lalu telusuri peran BigQuery Data Editor dan BigQuery Job User.
  5. Pilih peran, lalu klik Simpan. Akun layanan Cloud Healthcare Service Agent project sumber kini memiliki peran bigquery.dataEditor dan bigquery.jobUser di project tujuan.

gcloud

Untuk menambahkan akun layanan Cloud Healthcare Service Agent dari project sumber ke project tujuan dan memberikan izin BigQuery yang diperlukan ke akun layanan, jalankan perintah gcloud projects add-iam-policy-binding. Untuk menemukan project ID dan nomor project untuk project sumber dan project tujuan, lihat Mengidentifikasi project.

gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \
    --member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/bigquery.dataEditor
 
gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \
    --member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/bigquery.jobUser

Selesaikan langkah-langkah di Memberikan akses WRITER ke set data BigQuery untuk mengizinkan project sumber menulis ke set data tujuan.

Izin Cloud Storage penyimpanan FHIR

Bagian berikut menjelaskan metode FHIR yang memerlukan izin tambahan di Agen Layanan Kesehatan Cloud untuk membaca dari atau menulis ke Cloud Storage.

Mengimpor resource FHIR dari Cloud Storage

Metode projects.locations.datasets.fhirStores.import memerlukan izin berikut di akun layanan Cloud Healthcare Service Agent:

  • storage.objects.get
  • storage.objects.list

Izin ini disertakan dalam peran storage.objectViewer yang telah ditetapkan.

Anda juga dapat menambahkan izin ke peran khusus, atau izin tersebut mungkin disertakan dalam peran dasar lainnya.

Anda dapat menggunakan konsol Google Cloud atau gcloud CLI untuk menambahkan peran storage.objectViewer yang diperlukan ke akun layanan project Anda.

Konsol

  1. Pastikan Anda telah mengaktifkan Cloud Healthcare API.
  2. Di halaman IAM di konsol Google Cloud, pastikan peran Healthcare Service Agent muncul di kolom Role untuk akun layanan Cloud Healthcare Service Agent. ID akun layanan adalah service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Di kolom Pewarisan yang cocok dengan peran, klik ikon pensil. Panel Edit izin akan terbuka.
  4. Klik Tambahkan peran lain, lalu telusuri peran Storage Object Viewer.
  5. Pilih peran, lalu klik Simpan. Peran storage.objectViewer kemudian ditambahkan ke akun layanan.

gcloud

Untuk menambahkan izin akun layanan, jalankan perintah gcloud projects add-iam-policy-binding. Untuk menemukan PROJECT_ID dan PROJECT_NUMBER, lihat Mengidentifikasi project. 
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/storage.objectViewer 

Mengekspor resource FHIR ke Cloud Storage

Untuk menggunakan metode projects.locations.datasets.fhirStores.export, Anda memerlukan izin berikut di akun layanan Cloud Healthcare Service Agent:

  • storage.objects.create
  • storage.objects.delete
  • storage.objects.list

Izin ini disertakan dalam peran storage.objectAdmin yang telah ditetapkan.

Anda juga dapat menambahkan izin ke peran khusus, atau izin tersebut mungkin disertakan dalam peran dasar lainnya.

Untuk memberikan peran storage.objectAdmin ke akun layanan, ikuti langkah-langkah berikut:

Konsol

  1. Pastikan Anda mengaktifkan Cloud Healthcare API.
  2. Di halaman IAM di Konsol Google Cloud, pastikan peran Healthcare Service Agent muncul di kolom Role untuk akun layanan Cloud Healthcare Service Agent. ID akun layanan adalah service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Di kolom Pewarisan yang cocok dengan peran, klik ikon pensil. Panel Edit izin akan terbuka.
  4. Klik Tambahkan peran lain, lalu telusuri peran Storage Object Creator.
  5. Pilih peran, lalu klik Simpan. Peran storage.objectAdmin kemudian ditambahkan ke akun layanan.

gcloud

Untuk menambahkan izin akun layanan, jalankan perintah gcloud projects add-iam-policy-binding. Untuk menemukan PROJECT_ID dan PROJECT_NUMBER, lihat Mengidentifikasi project.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/storage.objectAdmin

Membaca file filter dari Cloud Storage

Metode projects.locations.datasets.fhirStores.rollback memerlukan izin berikut di akun layanan Cloud Healthcare Service Agent untuk membaca file filter dari Cloud Storage:

  • storage.objects.get
  • storage.objects.list

Izin ini disertakan dalam peran storage.objectViewer yang telah ditetapkan.

Anda juga dapat menambahkan izin ke peran khusus, atau izin tersebut mungkin disertakan dalam peran dasar lainnya.

Untuk memberikan peran storage.objectViewer ke akun layanan, ikuti langkah-langkah berikut:

Menulis file output ke Cloud Storage

Metode projects.locations.datasets.fhirStores.rollback memerlukan izin berikut di akun layanan Cloud Healthcare Service Agent untuk menulis file output ke Cloud Storage:

  • storage.objects.create
  • storage.objects.delete
  • storage.objects.get
  • storage.objects.list

Izin ini disertakan dalam peran storage.objectAdmin yang telah ditetapkan.

Anda juga dapat menambahkan izin ke peran khusus, atau izin tersebut mungkin disertakan dalam peran dasar lainnya.

Untuk memberikan peran storage.objectAdmin ke akun layanan, ikuti langkah-langkah berikut:

Izin BigQuery penyimpanan FHIR

Metode projects.locations.datasets.fhirStores.export memerlukan izin tambahan di akun layanan Cloud Healthcare Service Agent untuk mengekspor resource FHIR ke BigQuery. Anda juga harus memberikan akses WRITER untuk set data BigQuery ke akun layanan Cloud Healthcare Service Agent.

Memberikan izin ke akun layanan Cloud Healthcare Service Agent

Konsol

  1. Pastikan Anda telah mengaktifkan Cloud Healthcare API.
  2. Di halaman IAM di konsol Google Cloud, pastikan peran Healthcare Service Agent muncul di kolom Role untuk akun layanan Cloud Healthcare Service Agent. ID akun layanan adalah service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Di kolom Pewarisan yang cocok dengan peran, klik ikon pensil. Panel Edit izin akan terbuka.
  4. Klik Add another role, lalu telusuri peran BigQuery Data Editor dan BigQuery Job User.
  5. Pilih setiap peran, lalu klik Simpan. Peran bigquery.dataEditor dan bigquery.jobUser kemudian ditambahkan ke akun layanan.

gcloud

Untuk menambahkan izin akun layanan, jalankan perintah gcloud projects add-iam-policy-binding. Untuk menemukan PROJECT_ID dan PROJECT_NUMBER, lihat Mengidentifikasi project.

  1. Berikan peran roles/bigquery.dataEditor:

    Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

    • PROJECT_ID: ID project Google Cloud Anda
    • PROJECT_NUMBER: nomor project Google Cloud Anda

    Jalankan perintah berikut:

    Linux, macOS, atau Cloud Shell

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/bigquery.dataEditor

    Windows (PowerShell)

    gcloud projects add-iam-policy-binding PROJECT_ID `
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com `
    --role=roles/bigquery.dataEditor

    Windows (cmd.exe)

    gcloud projects add-iam-policy-binding PROJECT_ID ^
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^
    --role=roles/bigquery.dataEditor

    Anda akan melihat respons seperti berikut:

    Updated IAM policy for project [PROJECT_ID].
bindings:
...
- members:
  - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
  role: roles/bigquery.dataEditor
...
etag: ETAG
version: VERSION

  2. Berikan peran roles/bigquery.jobUser:

    Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

    • PROJECT_ID: ID project Google Cloud Anda
    • PROJECT_NUMBER: nomor project Google Cloud Anda

    Jalankan perintah berikut:

    Linux, macOS, atau Cloud Shell

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/bigquery.jobUser

    Windows (PowerShell)

    gcloud projects add-iam-policy-binding PROJECT_ID `
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com `
    --role=roles/bigquery.jobUser

    Windows (cmd.exe)

    gcloud projects add-iam-policy-binding PROJECT_ID ^
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^
    --role=roles/bigquery.jobUser

    Anda akan melihat respons seperti berikut:

    Updated IAM policy for project [PROJECT_ID].
bindings:
...
- members:
  - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
  role: roles/bigquery.jobUser
...
etag: ETAG
version: VERSION

Memberikan akses WRITER ke set data BigQuery

Jika telah menambahkan peran bigquery.dataEditor dan bigquery.jobUser ke akun layanan project, Anda akan memiliki akses WRITER untuk semua set data BigQuery. Namun, jika Anda belum menambahkan peran ini dan memerlukan akses WRITER ke satu set data BigQuery, Anda dapat memberikan akses WRITER hanya untuk set data tersebut. Untuk memberikan akses WRITER ke set data BigQuery, selesaikan langkah-langkah berikut:
  1. Buka Mengontrol akses ke set data.
  2. Dengan menggunakan salah satu metode yang tersedia, berikan akses ke set data BigQuery kepada alamat email WRITER Cloud Healthcare Service Agent. (Cari alamat email yang diakhiri dengan @gcp-sa-healthcare.iam.gserviceaccount.com).

Misalnya, jika alamat email Agen Layanan Kesehatan Cloud Anda adalah service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com, dan jika Anda menggunakan UI web BigQuery, Anda akan:

  1. Ikuti petunjuk Konsol.
  2. Di kolom Add principals, masukkan service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com dan pilih peran bigquery.dataEditor.

Izin Cloud Storage penyimpanan HL7v2

Metode projects.locations.datasets.hl7V2Stores.import dan projects.locations.datasets.hl7V2Stores.export memerlukan izin tambahan di akun layanan Cloud Healthcare Service Agent untuk mengimpor pesan HL7v2 dari dan mengekspor pesan HL7v2 ke Cloud Storage.

Tentukan izin yang diperlukan akun layanan berdasarkan tindakan yang dilakukan aplikasi:

  • Jika aplikasi mengimpor pesan HL7v2 dari Cloud Storage ke penyimpanan HL7v2, akun layanan memerlukan izin storage.objects.get dan storage.objects.list, yang disertakan dalam peran storage.objectViewer.
  • Jika aplikasi mengekspor pesan HL7v2 dari penyimpanan HL7v2 ke Cloud Storage, akun layanan memerlukan izin storage.objects.create, storage.objects.delete, dan storage.objects.list, yang disertakan dalam peran storage.objectCreator.

Mengimpor pesan HL7v2 dari Cloud Storage

Anda dapat menggunakan konsol Google Cloud atau gcloud CLI untuk menambahkan peran storage.objectViewer yang diperlukan ke akun layanan project Anda.

Konsol

  1. Pastikan Anda telah mengaktifkan Cloud Healthcare API.
  2. Di halaman IAM di konsol Google Cloud, pastikan peran Healthcare Service Agent muncul di kolom Role untuk akun layanan Cloud Healthcare Service Agent. ID akun layanan adalah service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Di kolom Pewarisan yang cocok dengan peran, klik ikon pensil. Panel Edit izin akan terbuka.
  4. Klik Tambahkan peran lain, lalu telusuri peran Storage Object Viewer.
  5. Pilih peran, lalu klik Simpan. Peran storage.objectViewer kemudian ditambahkan ke akun layanan.

gcloud

Untuk menambahkan izin akun layanan, jalankan perintah gcloud projects add-iam-policy-binding. Untuk menemukan PROJECT_ID dan PROJECT_NUMBER, lihat Mengidentifikasi project. 
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/storage.objectViewer 

Mengekspor pesan HL7v2 ke Cloud Storage

Anda dapat menggunakan konsol Google Cloud atau gcloud CLI untuk menambahkan peran storage.objectCreator yang diperlukan ke akun layanan project Anda:

Konsol

  1. Pastikan Anda telah mengaktifkan Cloud Healthcare API.
  2. Di halaman IAM di Konsol Google Cloud, pastikan peran Healthcare Service Agent muncul di kolom Role untuk akun layanan Cloud Healthcare Service Agent. ID akun layanan adalah service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Di kolom Pewarisan yang cocok dengan peran, klik ikon pensil. Panel Edit izin akan terbuka.
  4. Klik Tambahkan peran lain, lalu telusuri peran Storage Object Creator.
  5. Pilih peran, lalu klik Simpan. Peran storage.objectCreator kemudian ditambahkan ke akun layanan.

gcloud

Untuk menambahkan izin akun layanan, jalankan perintah gcloud projects add-iam-policy-binding. Untuk menemukan PROJECT_ID dan PROJECT_NUMBER, lihat Mengidentifikasi project.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/storage.objectCreator