Gestione delle autorizzazioni tra l'API Cloud Healthcare e altri prodotti Google Cloud

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

L'API Cloud Healthcare non ha accesso automatico ad altre risorse di Google Cloud nel progetto, ad esempio bucket Cloud Storage e set di dati BigQuery. Quando accedi a queste risorse, l'API Cloud Healthcare utilizza un account di servizio gestito da Google chiamato Agente di servizio Cloud Healthcare.

Per eseguire operazioni quali la notifica di argomenti Pub/Sub sulle modifiche, l'importazione di dati dai bucket Cloud Storage, l'esportazione di dati in set di dati BigQuery e così via, devi prima concedere all'account di servizio le autorizzazioni IAM (Identity and Access Management) necessarie per accedere alle risorse esterne all'API Cloud Healthcare. In questa pagina vengono indicate le autorizzazioni necessarie per varie operazioni e come concederle.

Per scoprire di più sull'utilizzo di IAM per configurare le autorizzazioni all'interno dell'API Cloud Healthcare, consulta Controllo dell'accesso.

L'agente di servizio Cloud Healthcare

L'account di servizio Cloud Healthcare Service viene creato automaticamente quando si abilita l'API Cloud Healthcare. Il nome membro è service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. Per trovare PROJECT_NUMBER per il tuo progetto Google Cloud, consulta Identificazione dei progetti.

Puoi visualizzare informazioni dettagliate sull'account di servizio Cloud Healthcare Service Agent, ad esempio i ruoli che gli sono stati concessi, nella pagina Identity and Access Management di Google Cloud Console.

Per saperne di più sull'agente di servizio Cloud Healthcare e sulla sua interazione con i ruoli e le autorizzazioni IAM (Gestione di identità e accessi), consulta Controllo dell'accesso.

Autorizzazioni Pub/Sub per DICOM, FHIR e HL7v2

Le modifiche all'interno degli archivi DICOM, FHIR e HL7v2 possono essere inviate a un argomento Pub/Sub. Per scoprire come fare, consulta Utilizzo di Cloud Pub/Sub per le notifiche.

I metodi all'interno di questi archivi richiedono autorizzazioni aggiuntive sull'account di servizio Cloud Healthcare Service Agent per pubblicare le modifiche in un argomento Pub/Sub.

Puoi utilizzare Google Cloud Console o l'interfaccia a riga di comando gcloud per aggiungere il ruolo pubsub.publisher obbligatorio al tuo account di servizio del progetto:

Console

  1. Assicurati di aver attivato l'API Cloud Healthcare.
  2. Nella pagina IAM in Google Cloud Console, verifica che venga visualizzato il ruolo Agente di servizio sanitario nella colonna Ruolo per l'account di servizio Agente di servizio Cloud. L'identificatore dell'account di servizio è service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
  4. Fai clic su Aggiungi un altro ruolo e cerca il ruolo Publisher Pub/Sub.
  5. Seleziona il ruolo e fai clic su Salva. Il ruolo pubsub.publisher viene aggiunto all'account di servizio.

gcloud

Per aggiungere le autorizzazioni dell'account di servizio, esegui il comando gcloud projects add-iam-policy-binding. Per trovare PROJECT_ID e PROJECT_NUMBER, consulta la pagina Identificare i progetti.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/pubsub.publisher

Autorizzazioni Cloud Storage per gli archivi DICOM

I metodi projects.locations.datasets.dicomStores.import e projects.locations.datasets.dicomStores.export richiedono autorizzazioni aggiuntive sull'account di servizio Cloud Healthcare Service Agent per importare ed esportare dati in Cloud Storage.

Importazione dei dati da Cloud Storage

Puoi utilizzare Google Cloud Console o l'interfaccia a riga di comando gcloud per aggiungere il ruolo storage.objectViewer richiesto all'account di servizio del tuo progetto.

Console

  1. Assicurati di aver attivato l'API Cloud Healthcare.
  2. Nella pagina IAM in Google Cloud Console, verifica che il ruolo Agente di servizio sanitario venga visualizzato nella colonna Ruolo per l'account di servizio dell'agente di servizio Cloud Healthcare. L'identificatore dell'account di servizio è service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Nella colonna Ereditarietà che corrisponde al ruolo, fai clic sull'icona a forma di matita. Viene visualizzato il riquadro Modifica autorizzazioni.
  4. Fai clic su Aggiungi un altro ruolo, quindi cerca il ruolo Visualizzatore oggetti Storage.
  5. Seleziona il ruolo e fai clic su Salva. Il ruolo storage.objectViewer viene quindi aggiunto all'account di servizio.

gcloud

Per aggiungere le autorizzazioni dell'account di servizio, esegui il comando gcloud projects add-iam-policy-binding. Per trovare PROJECT_ID e PROJECT_NUMBER, consulta la pagina Identificare i progetti.
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/storage.objectViewer 

Esportazione dei dati in Cloud Storage

Puoi utilizzare Google Cloud Console o l'interfaccia a riga di comando gcloud per aggiungere il ruolo storage.objectAdmin obbligatorio al tuo account di servizio del progetto:

Console

  1. Assicurati di aver attivato l'API Cloud Healthcare.
  2. Nella pagina IAM in Google Cloud Console, verifica che venga visualizzato il ruolo Agente di servizio sanitario nella colonna Ruolo per l'account di servizio dell'agente di servizio Cloud Healthcare. L'identificatore dell'account di servizio è service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
  4. Fai clic su Aggiungi un altro ruolo e cerca il ruolo Amministratore oggetti Storage.
  5. Seleziona il ruolo e fai clic su Salva. Il ruolo storage.objectAdmin viene quindi aggiunto all'account di servizio.

gcloud

Per aggiungere le autorizzazioni dell'account di servizio, esegui il comando gcloud projects add-iam-policy-binding. Per trovare PROJECT_ID e PROJECT_NUMBER, consulta la pagina Identificare i progetti.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/storage.objectAdmin

Autorizzazioni BigQuery per gli archivi DICOM

Il metodo projects.locations.datasets.dicomStores.export richiede autorizzazioni aggiuntive sull'account di servizio Cloud Healthcare Service per esportare i metadati DICOM in BigQuery. Devi anche concedere l'accesso WRITER per il set di dati BigQuery all'account di servizio Cloud Healthcare Service Agent.

Concessione delle autorizzazioni all'account di servizio Cloud Healthcare Service Agent

Puoi utilizzare Google Cloud Console o l'interfaccia a riga di comando gcloud per aggiungere i ruoli bigquery.dataEditor e bigquery.jobUser richiesti all'account di servizio del progetto.

Console

  1. Assicurati di aver attivato l'API Cloud Healthcare.
  2. Nella pagina IAM in Google Cloud Console, verifica che il ruolo Agente di servizio sanitario venga visualizzato nella colonna Ruolo per l'account di servizio dell'agente di servizio Cloud Healthcare. L'identificatore dell'account di servizio è service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Nella colonna Ereditarietà che corrisponde al ruolo, fai clic sull'icona a forma di matita. Viene visualizzato il riquadro Modifica autorizzazioni.
  4. Fai clic su Aggiungi un altro ruolo, quindi cerca i ruoli BigQuery Data Editor e BigQuery Job User.
  5. Seleziona ciascun ruolo e fai clic su Salva. I ruoli bigquery.dataEditor e bigquery.jobUser vengono quindi aggiunti all'account di servizio.

gcloud

Per aggiungere le autorizzazioni dell'account di servizio, esegui il comando gcloud projects add-iam-policy-binding. Per trovare PROJECT_ID e PROJECT_NUMBER, consulta la pagina Identificare i progetti.
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/bigquery.dataEditor
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/bigquery.jobUser

Concedendo a WRITER l'accesso al set di dati BigQuery

Se hai aggiunto i ruoli bigquery.dataEditor e bigquery.jobUser all'account di servizio del progetto, avrai accesso WRITER a tutti i set di dati BigQuery. Tuttavia, se non hai aggiunto questi ruoli e hai bisogno di accedere WRITER a un singolo set di dati BigQuery, puoi concedere l'accesso WRITER solo per quel set di dati. Per concedere a WRITER l'accesso a un set di dati BigQuery, completa i seguenti passaggi:
  1. Vai a Controllo dell'accesso a un set di dati.
  2. Utilizzando uno dei metodi disponibili, concedi all'indirizzo email dell'agente di servizio Cloud Healthcare l'accesso WRITER al set di dati BigQuery. Cerca l'indirizzo email che termina con @gcp-sa-healthcare.iam.gserviceaccount.com.

Ad esempio, se il tuo indirizzo email di Agente di servizio Cloud Healthcare è service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com e se utilizzi la UI web di BigQuery, devi:

  1. Segui le istruzioni della Console.
  2. Nel campo Aggiungi entità, inserisci service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com e seleziona il ruolo bigquery.dataEditor.

Esportazione dei metadati DICOM nei progetti Google Cloud

Per esportare i metadati DICOM da un archivio DICOM in un progetto a una tabella BigQuery in un progetto diverso, devi aggiungere l'account di servizio Cloud Healthcare Service Agent del progetto di origine al progetto di destinazione e concedere all'account di servizio i ruoli bigquery.dataEditor e bigquery.jobUser nel progetto di destinazione.

Per trovare l'account di servizio Cloud Healthcare Service Agent del progetto di origine, completa i seguenti passaggi:

  1. Assicurati di aver attivato l'API Cloud Healthcare.
  2. Nella pagina IAM in Google Cloud Console, verifica che il ruolo Agente di servizio sanitario venga visualizzato nella colonna Ruolo per l'account di servizio Cloud Healthcare Service. L'identificatore dell'account di servizio è service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. Prendi nota di questo indirizzo nel progetto di origine, che verrà utilizzato nei passaggi seguenti.

Aggiungi l'account di servizio Cloud Healthcare Service Agent dal progetto di origine al progetto di destinazione e concedi all'account di servizio le autorizzazioni BigQuery richieste completando i seguenti passaggi:

Console

  1. Apri la pagina IAM del progetto di destinazione in Google Cloud Console.
  2. Fai clic su Aggiungi.
  3. Nel campo Nuovi membri, inserisci l'indirizzo dell'account di servizio Cloud Healthcare Service Agent del progetto di origine.
  4. Fai clic su Aggiungi un altro ruolo, quindi cerca i ruoli BigQuery Data Editor e BigQuery Job User.
  5. Seleziona il ruolo e fai clic su Salva. L'account di servizio Cloud Healthcare Service Agent del progetto di origine ora ha ruoli bigquery.dataEditor e bigquery.jobUser sul progetto di destinazione.

gcloud

Per aggiungere l'account di servizio Cloud Healthcare Service Agent dal progetto di origine al progetto di destinazione e concedere all'account di servizio le autorizzazioni BigQuery richieste, esegui il comando gcloud projects add-iam-policy-binding. Per trovare l'ID progetto e il numero di progetto per i progetti di origine e di destinazione, consulta Identificazione dei progetti.

gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \
    --member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/bigquery.dataEditor
gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \
    --member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/bigquery.jobUser

Completa i passaggi per concedere a WRITER l'accesso al set di dati BigQuery per consentire al progetto di origine di scrivere nel set di dati di destinazione.

Autorizzazioni Cloud Storage per gli archivi FHIR

I metodi projects.locations.datasets.fhirStores.import e projects.locations.datasets.fhirStores.export richiedono autorizzazioni aggiuntive sull'account di servizio Cloud Healthcare Service Agent per importare le risorse FHIR da e esportare le risorse FHIR in Cloud Storage.

Determina le autorizzazioni richieste dall'account di servizio in base alle azioni che vengono eseguite dall'applicazione:

  • Se l'applicazione importa risorse FHIR da Cloud Storage in un archivio FHIR, l'account di servizio richiede le autorizzazioni storage.objects.get e storage.objects.list, incluse nel ruolo storage.objectViewer.
  • Se l'applicazione esporta le risorse FHIR da un archivio FHIR a Cloud Storage, l'account di servizio richiede le autorizzazioni storage.objects.create, storage.objects.delete e storage.objects.list, incluse nel ruolo storage.objectAdmin.

Importazione delle risorse FHIR da Cloud Storage

Puoi utilizzare Google Cloud Console o l'interfaccia a riga di comando gcloud per aggiungere il ruolo storage.objectViewer richiesto all'account di servizio del tuo progetto.

Console

  1. Assicurati di aver attivato l'API Cloud Healthcare.
  2. Nella pagina IAM in Google Cloud Console, verifica che il ruolo Agente di servizio sanitario venga visualizzato nella colonna Ruolo per l'account di servizio dell'agente di servizio Cloud Healthcare. L'identificatore dell'account di servizio è service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Nella colonna Ereditarietà che corrisponde al ruolo, fai clic sull'icona a forma di matita. Viene visualizzato il riquadro Modifica autorizzazioni.
  4. Fai clic su Aggiungi un altro ruolo, quindi cerca il ruolo Visualizzatore oggetti Storage.
  5. Seleziona il ruolo e fai clic su Salva. Il ruolo storage.objectViewer viene quindi aggiunto all'account di servizio.

gcloud

Per aggiungere le autorizzazioni dell'account di servizio, esegui il comando gcloud projects add-iam-policy-binding. Per trovare PROJECT_ID e PROJECT_NUMBER, consulta la pagina Identificare i progetti.
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/storage.objectViewer 

Esportazione delle risorse FHIR in Cloud Storage

Puoi utilizzare Google Cloud Console o l'interfaccia a riga di comando gcloud per aggiungere il ruolo storage.objectAdmin obbligatorio al tuo account di servizio del progetto:

Console

  1. Assicurati di aver attivato l'API Cloud Healthcare.
  2. Nella pagina IAM in Google Cloud Console, verifica che venga visualizzato il ruolo Agente di servizio sanitario nella colonna Ruolo per l'account di servizio dell'agente di servizio Cloud Healthcare. L'identificatore dell'account di servizio è service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
  4. Fai clic su Aggiungi un altro ruolo e cerca il ruolo Creatore oggetti Storage.
  5. Seleziona il ruolo e fai clic su Salva. Il ruolo storage.objectAdmin viene quindi aggiunto all'account di servizio.

gcloud

Per aggiungere le autorizzazioni dell'account di servizio, esegui il comando gcloud projects add-iam-policy-binding. Per trovare PROJECT_ID e PROJECT_NUMBER, consulta la pagina Identificare i progetti.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/storage.objectAdmin

Autorizzazioni BigQuery per gli archivi FHIR

Il metodo projects.locations.datasets.fhirStores.export richiede autorizzazioni aggiuntive sull'account di servizio Cloud Healthcare Service per esportare le risorse FHIR in BigQuery. Devi anche concedere l'accesso WRITER per il set di dati BigQuery all'account di servizio Cloud Healthcare Service Agent.

Concessione delle autorizzazioni all'account di servizio Cloud Healthcare Service Agent

Puoi utilizzare Google Cloud Console o l'interfaccia a riga di comando gcloud per aggiungere i ruoli bigquery.dataEditor e bigquery.jobUser richiesti all'account di servizio del progetto.

Console

  1. Assicurati di aver attivato l'API Cloud Healthcare.
  2. Nella pagina IAM in Google Cloud Console, verifica che il ruolo Agente di servizio sanitario venga visualizzato nella colonna Ruolo per l'account di servizio dell'agente di servizio Cloud Healthcare. L'identificatore dell'account di servizio è service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Nella colonna Ereditarietà che corrisponde al ruolo, fai clic sull'icona a forma di matita. Viene visualizzato il riquadro Modifica autorizzazioni.
  4. Fai clic su Aggiungi un altro ruolo, quindi cerca i ruoli BigQuery Data Editor e BigQuery Job User.
  5. Seleziona ciascun ruolo e fai clic su Salva. I ruoli bigquery.dataEditor e bigquery.jobUser vengono quindi aggiunti all'account di servizio.

gcloud

Per aggiungere le autorizzazioni dell'account di servizio, esegui il comando gcloud projects add-iam-policy-binding. Per trovare PROJECT_ID e PROJECT_NUMBER, consulta la pagina Identificare i progetti.
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/bigquery.dataEditor
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/bigquery.jobUser

Concedendo a WRITER l'accesso al set di dati BigQuery

Se hai aggiunto i ruoli bigquery.dataEditor e bigquery.jobUser all'account di servizio del progetto, avrai accesso WRITER a tutti i set di dati BigQuery. Tuttavia, se non hai aggiunto questi ruoli e hai bisogno di accedere WRITER a un singolo set di dati BigQuery, puoi concedere l'accesso WRITER solo per quel set di dati. Per concedere a WRITER l'accesso a un set di dati BigQuery, completa i seguenti passaggi:
  1. Vai a Controllo dell'accesso a un set di dati.
  2. Utilizzando uno dei metodi disponibili, concedi all'indirizzo email dell'agente di servizio Cloud Healthcare l'accesso WRITER al set di dati BigQuery. Cerca l'indirizzo email che termina con @gcp-sa-healthcare.iam.gserviceaccount.com.

Ad esempio, se il tuo indirizzo email di Agente di servizio Cloud Healthcare è service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com e se utilizzi la UI web di BigQuery, devi:

  1. Segui le istruzioni della Console.
  2. Nel campo Aggiungi entità, inserisci service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com e seleziona il ruolo bigquery.dataEditor.

Autorizzazioni Cloud Storage per gli archivi HL7v2

I metodi projects.locations.datasets.hl7V2Stores.import e projects.locations.datasets.hl7V2Stores.export richiede autorizzazioni aggiuntive sull'account di servizio Cloud Healthcare Agent per importare i messaggi HL7v2 da ed esportare i messaggi HL7v2 in Cloud Storage.

Determina le autorizzazioni richieste dall'account di servizio in base alle azioni che vengono eseguite dall'applicazione:

  • Se l'applicazione importa i messaggi HL7v2 da Cloud Storage in un archivio HL7v2, l'account di servizio richiede le autorizzazioni storage.objects.get e storage.objects.list, incluse nel ruolo storage.objectViewer.
  • Se l'applicazione esporta i messaggi HL7v2 da un archivio HL7v2 a Cloud Storage, l'account di servizio richiede le autorizzazioni storage.objects.create, storage.objects.delete e storage.objects.list, incluse nel ruolo storage.objectCreator.

Importazione di messaggi HL7v2 da Cloud Storage

Puoi utilizzare Google Cloud Console o l'interfaccia a riga di comando gcloud per aggiungere il ruolo storage.objectViewer richiesto all'account di servizio del tuo progetto.

Console

  1. Assicurati di aver attivato l'API Cloud Healthcare.
  2. Nella pagina IAM in Google Cloud Console, verifica che il ruolo Agente di servizio sanitario venga visualizzato nella colonna Ruolo per l'account di servizio dell'agente di servizio Cloud Healthcare. L'identificatore dell'account di servizio è service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Nella colonna Ereditarietà che corrisponde al ruolo, fai clic sull'icona a forma di matita. Viene visualizzato il riquadro Modifica autorizzazioni.
  4. Fai clic su Aggiungi un altro ruolo, quindi cerca il ruolo Visualizzatore oggetti Storage.
  5. Seleziona il ruolo e fai clic su Salva. Il ruolo storage.objectViewer viene quindi aggiunto all'account di servizio.

gcloud

Per aggiungere le autorizzazioni dell'account di servizio, esegui il comando gcloud projects add-iam-policy-binding. Per trovare PROJECT_ID e PROJECT_NUMBER, consulta la pagina Identificare i progetti.
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/storage.objectViewer 

Esportazione di messaggi HL7v2 in Cloud Storage

Puoi utilizzare Google Cloud Console o l'interfaccia a riga di comando gcloud per aggiungere il ruolo storage.objectCreator obbligatorio al tuo account di servizio del progetto:

Console

  1. Assicurati di aver attivato l'API Cloud Healthcare.
  2. Nella pagina IAM in Google Cloud Console, verifica che venga visualizzato il ruolo Agente di servizio sanitario nella colonna Ruolo per l'account di servizio dell'agente di servizio Cloud Healthcare. L'identificatore dell'account di servizio è service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
  4. Fai clic su Aggiungi un altro ruolo e cerca il ruolo Creatore oggetti Storage.
  5. Seleziona il ruolo e fai clic su Salva. Il ruolo storage.objectCreator viene quindi aggiunto all'account di servizio.

gcloud

Per aggiungere le autorizzazioni dell'account di servizio, esegui il comando gcloud projects add-iam-policy-binding. Per trovare PROJECT_ID e PROJECT_NUMBER, consulta la pagina Identificare i progetti.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/storage.objectCreator