L'API Cloud Healthcare non ha accesso automatico ad altre risorse Google Cloud nel tuo progetto, ad esempio bucket Cloud Storage e set di dati BigQuery. Quando accede a queste risorse, l'API Cloud Healthcare utilizza un agente di servizio denominato agente di servizio Cloud Healthcare.
Per eseguire operazioni come la notifica delle modifiche agli argomenti Pub/Sub, l'importazione di dati dai bucket Cloud Storage, l'esportazione di dati in set di dati BigQuery e così via, devi prima concedere all'account di servizio le autorizzazioni Identity and Access Management (IAM) necessarie per accedere alle risorse al di fuori dell'API Cloud Healthcare. In questa pagina vengono descritte le autorizzazioni necessarie per le varie operazioni e come concederle.
Per ulteriori informazioni sull'utilizzo di IAM per configurare le autorizzazioni all'interno dell'API Cloud Healthcare, consulta Controllo dell'accesso.
Agente di servizio Cloud Healthcare
L'account di servizio dell'agente di servizio Cloud Healthcare
viene creato automaticamente
dopo l'abilitazione dell'API Cloud Healthcare. Il suo nome membro è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
.
Per trovare l'PROJECT_NUMBER per il tuo progetto Google Cloud, consulta Identificazione dei progetti.
Puoi visualizzare informazioni dettagliate sull'account di servizio dell'agente di servizio Cloud Healthcare, ad esempio i ruoli che gli sono stati concessi, nella pagina Identity and Access Management della console Google Cloud.
Per ulteriori informazioni sull'agente di servizio Cloud Healthcare e sulla sua interazione con i ruoli e le autorizzazioni di Identity and Access Management (IAM), consulta Controllo dell'accesso.
Autorizzazioni Pub/Sub per archivi DICOM, FHIR e HL7v2
Le modifiche all'interno degli archivi DICOM, FHIR e HL7v2 possono essere inviate a un argomento Pub/Sub. Per ulteriori informazioni, consulta Utilizzo di Cloud Pub/Sub per le notifiche.
I metodi all'interno di questi archivi richiedono autorizzazioni aggiuntive nell'account di servizio dell'agente di servizio Cloud Healthcare per pubblicare modifiche in un argomento Pub/Sub.
Utilizza la console Google Cloud o gcloud CLI per aggiungere il ruolo pubsub.publisher
all'account di servizio del progetto:
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud, verifica che il ruolo Agente di servizio Healthcare sia visualizzato nella colonna Ruolo per l'account di servizio Agente di servizio Cloud Healthcare.
L'identificatore dell'account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
. - Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e cerca il ruolo Publisher Pub/Sub.
- Seleziona il ruolo e fai clic su Salva. Il ruolo
pubsub.publisher
viene aggiunto all'account di servizio.
gcloud
Per aggiungere le autorizzazioni dell'account di servizio, esegui il comando gcloud projects add-iam-policy-binding
. Per trovare PROJECT_ID e PROJECT_NUMBER,
consulta Identificazione dei progetti.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/pubsub.publisher
Configura le autorizzazioni Pub/Sub tra i progetti
Per pubblicare notifiche Pub/Sub in un argomento di un altro progetto, concedi all'account di servizio dell'agente di servizio Cloud Healthcare il ruolo pubsub.publisher
nell'argomento. Per ulteriori informazioni, vedi Controllare l'accesso tramite la console Google Cloud e Controllare l'accesso tramite l'API IAM.
Per un esempio di pubblicazione di notifiche Pub/Sub tra progetti, consulta Esempio di caso d'uso: comunicazione tra progetti.
Autorizzazioni Cloud Storage per gli archivi DICOM
I metodi projects.locations.datasets.dicomStores.import
e projects.locations.datasets.dicomStores.export
richiedono autorizzazioni aggiuntive sull'account di servizio dell'agente di servizio Cloud Healthcare per importare ed esportare i dati in Cloud Storage.
Importazione dei dati da Cloud Storage
Puoi utilizzare la console Google Cloud o gcloud CLI per aggiungere il ruolo richiestostorage.objectViewer
all'account di servizio del progetto.
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud, verifica che il ruolo Agente di servizio Healthcare venga visualizzato nella colonna Ruolo per l'account di servizio dell'agente di servizio Cloud Healthcare.
L'identificatore dell'account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
. - Nella colonna Ereditarietà corrispondente al ruolo, fai clic sull'icona a forma di matita. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e cerca il ruolo Visualizzatore oggetti Storage.
- Seleziona il ruolo e fai clic su Salva. Il ruolo
storage.objectViewer
viene quindi aggiunto all'account di servizio.
gcloud
Per aggiungere le autorizzazioni dell'account di servizio, esegui il comandogcloud projects add-iam-policy-binding
. Per trovare PROJECT_ID e PROJECT_NUMBER,
consulta Identificazione dei progetti.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectViewer
Esportazione dei dati in Cloud Storage
Puoi utilizzare la console Google Cloud o gcloud CLI per aggiungere il ruolo richiesto storage.objectAdmin
all'account di servizio del tuo progetto:
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud, verifica che il ruolo Agente di servizio Healthcare sia visualizzato nella colonna Ruolo per l'account di servizio dell'agente di servizio Cloud Healthcare.
L'identificatore dell'account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
. - Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e cerca il ruolo Amministratore oggetti Storage.
- Seleziona il ruolo e fai clic su Salva. Il ruolo
storage.objectAdmin
viene quindi aggiunto all'account di servizio.
gcloud
Per aggiungere le autorizzazioni dell'account di servizio, esegui il comando gcloud projects add-iam-policy-binding
. Per trovare PROJECT_ID e PROJECT_NUMBER,
consulta Identificazione dei progetti.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectAdmin
Autorizzazioni BigQuery per gli archivi DICOM
Il metodo projects.locations.datasets.dicomStores.export
richiede autorizzazioni aggiuntive sull'account di servizio dell'agente di servizio Cloud Healthcare per esportare i metadati DICOM in BigQuery. Devi anche concedere l'accesso WRITER
per il set di dati BigQuery all'account di servizio dell'agente di servizio Cloud Healthcare.
Concessione delle autorizzazioni all'account di servizio dell'agente di servizio Cloud Healthcare
Puoi utilizzare la console Google Cloud o gcloud CLI per aggiungere i ruoli bigquery.dataEditor
e bigquery.jobUser
richiesti all'account di servizio del progetto.
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud, verifica che il ruolo Agente di servizio Healthcare venga visualizzato nella colonna Ruolo per l'account di servizio dell'agente di servizio Cloud Healthcare.
L'identificatore dell'account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
. - Nella colonna Ereditarietà corrispondente al ruolo, fai clic sull'icona a forma di matita. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e cerca i ruoli Editor dati BigQuery e Utente job BigQuery.
- Seleziona ciascun ruolo e fai clic su Salva. I ruoli
bigquery.dataEditor
ebigquery.jobUser
vengono quindi aggiunti all'account di servizio.
gcloud
Per aggiungere le autorizzazioni dell'account di servizio, esegui il comando gcloud projects add-iam-policy-binding
. Per trovare PROJECT_ID e PROJECT_NUMBER,
consulta Identificazione dei progetti.
Concedi il ruolo
roles/bigquery.dataEditor
:Prima di utilizzare qualsiasi dato di comando riportato di seguito, effettua le seguenti sostituzioni:
- PROJECT_ID: l'ID del tuo progetto Google Cloud
- PROJECT_NUMBER: il numero del tuo progetto Google Cloud
Esegui questo seguente comando:
Linux, macOS o Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditor
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.dataEditor
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.dataEditor
Dovresti ricevere una risposta simile alla seguente:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.dataEditor ... etag: ETAG version: VERSION
Concedi il ruolo
roles/bigquery.jobUser
:Prima di utilizzare qualsiasi dato di comando riportato di seguito, effettua le seguenti sostituzioni:
- PROJECT_ID: l'ID del tuo progetto Google Cloud
- PROJECT_NUMBER: il numero del tuo progetto Google Cloud
Esegui questo seguente comando:
Linux, macOS o Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUser
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.jobUser
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.jobUser
Dovresti ricevere una risposta simile alla seguente:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.jobUser ... etag: ETAG version: VERSION
Concessione dell'accesso a WRITER
al set di dati BigQuery
Se hai aggiunto i ruoli bigquery.dataEditor
e bigquery.jobUser
all'account di servizio del progetto, avrai accesso WRITER
per tutti i set di dati BigQuery. Tuttavia, se non hai aggiunto questi ruoli e hai bisogno dell'accesso WRITER
a un singolo set di dati BigQuery, puoi concedere l'accesso WRITER
solo per quel set di dati.
Per concedere a WRITER
l'accesso a un set di dati BigQuery, segui questi passaggi:
- Vai a Controllo dell'accesso a un set di dati.
- Utilizza uno dei metodi disponibili per concedere all'indirizzo email dell'agente di servizio Cloud Healthcare l'accesso
WRITER
al set di dati BigQuery. Cerca l'indirizzo email che termina con@gcp-sa-healthcare.iam.gserviceaccount.com
.
Ad esempio, se l'indirizzo email dell'agente di servizio Cloud Healthcare è service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com
e se utilizzi la UI web di BigQuery, devi:
- Segui le istruzioni della console.
- Nel campo Aggiungi entità, inserisci
service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com
e seleziona il ruolobigquery.dataEditor
.
Esportazione dei metadati DICOM nei progetti Google Cloud
Per esportare i metadati DICOM da un archivio DICOM in un progetto a una tabella BigQuery di un progetto diverso, devi aggiungere l'account di servizio dell'agente di servizio Cloud Healthcare del progetto di origine al progetto di destinazione e concedere all'account di servizio i ruoli bigquery.dataEditor
e bigquery.jobUser
nel progetto di destinazione.
Per trovare l'account di servizio dell'agente di servizio Cloud Healthcare del progetto di origine, completa questi passaggi:
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud, verifica che il ruolo Agente di servizio Healthcare venga visualizzato nella colonna Ruolo per l'account di servizio Agente di servizio Cloud Healthcare.
L'identificatore dell'account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
. Prendi nota di questo indirizzo nel progetto di origine, poiché verrà utilizzato nei passaggi successivi.
Aggiungi l'account di servizio dell'agente di servizio Cloud Healthcare dal progetto di origine al progetto di destinazione e concedi all'account di servizio le autorizzazioni BigQuery richieste completando questi passaggi:
Console
- Apri la pagina IAM del progetto di destinazione nella console Google Cloud.
- Fai clic su Aggiungi.
- Nel campo Nuovi membri, inserisci l'indirizzo dell'account di servizio dell'agente di servizio Cloud Healthcare del progetto di origine.
- Fai clic su Aggiungi un altro ruolo e cerca i ruoli Editor dati BigQuery e Utente job BigQuery.
- Seleziona il ruolo e fai clic su Salva. L'account di servizio dell'agente di servizio Cloud Healthcare del progetto di origine ora dispone dei ruoli
bigquery.dataEditor
ebigquery.jobUser
nel progetto di destinazione.
gcloud
Per aggiungere l'account di servizio dell'agente di servizio Cloud Healthcare dal progetto di origine al progetto di destinazione e concedere all'account di servizio le autorizzazioni BigQuery richieste, esegui il comando gcloud projects add-iam-policy-binding
. Per trovare l'ID e il numero per i progetti di origine e di destinazione, consulta Identificazione dei progetti.
gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \ --member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditor
gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \ --member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUser
Completa i passaggi descritti in Concedere a WRITER
l'accesso al set di dati BigQuery per consentire al progetto di origine di scrivere sul set di dati di destinazione.
Autorizzazioni Cloud Storage per gli archivi FHIR
Le seguenti sezioni descrivono i metodi FHIR che richiedono autorizzazioni aggiuntive sull'agente di servizio Cloud Healthcare per leggere o scrivere in Cloud Storage.
Importazione delle risorse FHIR da Cloud Storage
Il metodo projects.locations.datasets.fhirStores.import
richiede le seguenti autorizzazioni per l'account di servizio dell'agente di servizio Cloud Healthcare:
storage.objects.get
storage.objects.list
Queste autorizzazioni sono incluse nel ruolo predefinito storage.objectViewer
.
Puoi anche aggiungere le autorizzazioni a un ruolo personalizzato oppure potrebbero essere incluse in altri ruoli di base.
Puoi utilizzare la console Google Cloud o gcloud CLI per aggiungere il ruolo richiestostorage.objectViewer
all'account di servizio del progetto.
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud, verifica che il ruolo Agente di servizio Healthcare venga visualizzato nella colonna Ruolo per l'account di servizio dell'agente di servizio Cloud Healthcare.
L'identificatore dell'account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
. - Nella colonna Ereditarietà corrispondente al ruolo, fai clic sull'icona a forma di matita. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e cerca il ruolo Visualizzatore oggetti Storage.
- Seleziona il ruolo e fai clic su Salva. Il ruolo
storage.objectViewer
viene quindi aggiunto all'account di servizio.
gcloud
Per aggiungere le autorizzazioni dell'account di servizio, esegui il comandogcloud projects add-iam-policy-binding
. Per trovare PROJECT_ID e PROJECT_NUMBER,
consulta Identificazione dei progetti.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectViewer
Esportazione delle risorse FHIR in Cloud Storage
Per utilizzare il metodo projects.locations.datasets.fhirStores.export
, è necessario disporre delle seguenti autorizzazioni per l'account di servizio dell'agente di servizio Cloud Healthcare:
storage.objects.create
storage.objects.delete
storage.objects.list
Queste autorizzazioni sono incluse nel ruolo predefinito storage.objectAdmin
.
Puoi anche aggiungere le autorizzazioni a un ruolo personalizzato oppure potrebbero essere incluse in altri ruoli di base.
Per concedere all'account di servizio il ruolo storage.objectAdmin
, segui questi passaggi:
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud, verifica che il ruolo Agente di servizio Healthcare sia visualizzato nella colonna Ruolo per l'account di servizio dell'agente di servizio Cloud Healthcare.
L'identificatore dell'account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
. - Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e cerca il ruolo Creatore oggetti Storage.
- Seleziona il ruolo e fai clic su Salva. Il ruolo
storage.objectAdmin
viene quindi aggiunto all'account di servizio.
gcloud
Per aggiungere le autorizzazioni dell'account di servizio, esegui il comando gcloud projects add-iam-policy-binding
. Per trovare PROJECT_ID e PROJECT_NUMBER,
consulta Identificazione dei progetti.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectAdmin
Leggi i file di filtro da Cloud Storage
Il metodo projects.locations.datasets.fhirStores.rollback
richiede le seguenti autorizzazioni sull'account di servizio dell'agente di servizio Cloud Healthcare per leggere i file di filtro da Cloud Storage:
storage.objects.get
storage.objects.list
Queste autorizzazioni sono incluse nel ruolo predefinito storage.objectViewer
.
Puoi anche aggiungere le autorizzazioni a un ruolo personalizzato oppure potrebbero essere incluse in altri ruoli di base.
Per concedere il ruolo storage.objectViewer
all'account di servizio, segui questi passaggi:
Scrivi i file di output in Cloud Storage
Il metodo projects.locations.datasets.fhirStores.rollback
richiede le seguenti autorizzazioni sull'account di servizio dell'agente di servizio Cloud Healthcare per scrivere file di output in Cloud Storage:
storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
Queste autorizzazioni sono incluse nel ruolo predefinito storage.objectAdmin
.
Puoi anche aggiungere le autorizzazioni a un ruolo personalizzato oppure potrebbero essere incluse in altri ruoli di base.
Per concedere il ruolo storage.objectAdmin
all'account di servizio, segui questi passaggi:
Autorizzazioni BigQuery per gli archivi FHIR
Il metodo projects.locations.datasets.fhirStores.export
richiede autorizzazioni aggiuntive sull'account di servizio dell'agente di servizio Cloud Healthcare per esportare le risorse FHIR in BigQuery. Devi anche concedere l'accesso WRITER
per il set di dati BigQuery all'account di servizio dell'agente di servizio Cloud Healthcare.
Concessione delle autorizzazioni all'account di servizio dell'agente di servizio Cloud Healthcare
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud, verifica che il ruolo Agente di servizio Healthcare venga visualizzato nella colonna Ruolo per l'account di servizio dell'agente di servizio Cloud Healthcare.
L'identificatore dell'account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
. - Nella colonna Ereditarietà corrispondente al ruolo, fai clic sull'icona a forma di matita. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e cerca i ruoli Editor dati BigQuery e Utente job BigQuery.
- Seleziona ciascun ruolo e fai clic su Salva. I ruoli
bigquery.dataEditor
ebigquery.jobUser
vengono quindi aggiunti all'account di servizio.
gcloud
Per aggiungere le autorizzazioni dell'account di servizio, esegui il comando gcloud projects add-iam-policy-binding
. Per trovare PROJECT_ID e PROJECT_NUMBER,
consulta Identificazione dei progetti.
Concedi il ruolo
roles/bigquery.dataEditor
:Prima di utilizzare qualsiasi dato di comando riportato di seguito, effettua le seguenti sostituzioni:
- PROJECT_ID: l'ID del tuo progetto Google Cloud
- PROJECT_NUMBER: il numero del tuo progetto Google Cloud
Esegui questo seguente comando:
Linux, macOS o Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditor
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.dataEditor
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.dataEditor
Dovresti ricevere una risposta simile alla seguente:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.dataEditor ... etag: ETAG version: VERSION
Concedi il ruolo
roles/bigquery.jobUser
:Prima di utilizzare qualsiasi dato di comando riportato di seguito, effettua le seguenti sostituzioni:
- PROJECT_ID: l'ID del tuo progetto Google Cloud
- PROJECT_NUMBER: il numero del tuo progetto Google Cloud
Esegui questo seguente comando:
Linux, macOS o Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUser
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.jobUser
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.jobUser
Dovresti ricevere una risposta simile alla seguente:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.jobUser ... etag: ETAG version: VERSION
Concessione dell'accesso a WRITER
al set di dati BigQuery
Se hai aggiunto i ruoli bigquery.dataEditor
e bigquery.jobUser
all'account di servizio del progetto, avrai accesso WRITER
per tutti i set di dati BigQuery. Tuttavia, se non hai aggiunto questi ruoli e hai bisogno dell'accesso WRITER
a un singolo set di dati BigQuery, puoi concedere l'accesso WRITER
solo per quel set di dati.
Per concedere a WRITER
l'accesso a un set di dati BigQuery, segui questi passaggi:
- Vai a Controllo dell'accesso a un set di dati.
- Utilizza uno dei metodi disponibili per concedere all'indirizzo email dell'agente di servizio Cloud Healthcare l'accesso
WRITER
al set di dati BigQuery. Cerca l'indirizzo email che termina con@gcp-sa-healthcare.iam.gserviceaccount.com
.
Ad esempio, se l'indirizzo email dell'agente di servizio Cloud Healthcare è service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com
e se utilizzi la UI web di BigQuery, devi:
- Segui le istruzioni della console.
- Nel campo Aggiungi entità, inserisci
service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com
e seleziona il ruolobigquery.dataEditor
.
Autorizzazioni Cloud Storage per gli archivi HL7v2
I metodi projects.locations.datasets.hl7V2Stores.import
e projects.locations.datasets.hl7V2Stores.export
richiedono autorizzazioni aggiuntive sull'account di servizio dell'agente di servizio Cloud Healthcare per importare messaggi HL7v2 ed esportare messaggi HL7v2 in Cloud Storage.
Determina le autorizzazioni richieste dall'account di servizio in base alle azioni eseguite dall'applicazione:
- Se l'applicazione importa messaggi HL7v2 da Cloud Storage in un archivio HL7v2, l'account di servizio richiede le autorizzazioni
storage.objects.get
estorage.objects.list
, incluse nel ruolostorage.objectViewer
. - Se l'applicazione esporta messaggi HL7v2 da un archivio HL7v2 in Cloud Storage, l'account di servizio richiede le autorizzazioni
storage.objects.create
,storage.objects.delete
estorage.objects.list
, incluse nel ruolostorage.objectCreator
.
Importazione di messaggi HL7v2 da Cloud Storage
Puoi utilizzare la console Google Cloud o gcloud CLI per aggiungere il ruolo richiestostorage.objectViewer
all'account di servizio del progetto.
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud, verifica che il ruolo Agente di servizio Healthcare venga visualizzato nella colonna Ruolo per l'account di servizio dell'agente di servizio Cloud Healthcare.
L'identificatore dell'account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
. - Nella colonna Ereditarietà corrispondente al ruolo, fai clic sull'icona a forma di matita. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e cerca il ruolo Visualizzatore oggetti Storage.
- Seleziona il ruolo e fai clic su Salva. Il ruolo
storage.objectViewer
viene quindi aggiunto all'account di servizio.
gcloud
Per aggiungere le autorizzazioni dell'account di servizio, esegui il comandogcloud projects add-iam-policy-binding
. Per trovare PROJECT_ID e PROJECT_NUMBER,
consulta Identificazione dei progetti.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectViewer
Esportazione di messaggi HL7v2 in Cloud Storage
Puoi utilizzare la console Google Cloud o gcloud CLI per aggiungere il ruolo storage.objectCreator
richiesto all'account di servizio del tuo progetto:
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud, verifica che il ruolo Agente di servizio Healthcare sia visualizzato nella colonna Ruolo per l'account di servizio dell'agente di servizio Cloud Healthcare.
L'identificatore dell'account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
. - Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e cerca il ruolo Creatore oggetti Storage.
- Seleziona il ruolo e fai clic su Salva. Il ruolo
storage.objectCreator
viene quindi aggiunto all'account di servizio.
gcloud
Per aggiungere le autorizzazioni dell'account di servizio, esegui il comando gcloud projects add-iam-policy-binding
. Per trovare PROJECT_ID e PROJECT_NUMBER,
consulta Identificazione dei progetti.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectCreator