Cloud Healthcare API 无法自动访问项目中的其他 Google Cloud 资源,例如 Cloud Storage 存储分区和 BigQuery 数据集。访问这些资源时,Cloud Healthcare API 使用名为 Cloud Healthcare Service Agent 的 Google 托管式服务账号。
要执行操作(例如:通知 Pub/Sub 主题更改、从 Cloud Storage 存储分区导入数据、将数据导出到 BigQuery 数据集等),您必须首先为服务账号授予 Identity and Access Management (IAM) 权限,以访问 Cloud Healthcare API 以外的资源。本页面介绍了各种操作所需的权限以及如何授予这些权限。
要详细了解如何使用 IAM 在 Cloud Healthcare API 中配置权限,请参阅访问权限控制。
Cloud Healthcare Service Agent
启用 Cloud Healthcare API 后,系统会自动创建 Cloud Healthcare Service Agent 服务账号。其成员名称为 service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com。要查找 Google Cloud 项目的 PROJECT_NUMBER,请参阅识别项目。
您可以在 Google Cloud 控制台的 Identity and Access Management 页面上查看有关 Cloud Healthcare Service Agent 服务账号的详细信息,例如已授予的角色。
要详细了解 Cloud Healthcare Service Agent 及其与 Identity and Access Management (IAM) 角色和权限的交互,请参阅访问权限控制。
DICOM、FHIR 和 HL7v2 存储区 Pub/Sub 权限
在 DICOM、FHIR 和 HL7v2 存储区中进行的更改可以发送到 Pub/Sub 主题。如需了解详情,请参阅使用 Cloud Pub/Sub 发送通知。
这些存储区中的方法需要对 Cloud Healthcare Service Agent 服务账号具有额外权限,才能发布对 Pub/Sub 主题的更改。
使用 Google Cloud 控制台或 gcloud CLI 将 pubsub.publisher 角色添加到您项目的服务帐号:
控制台
- 确保您已启用 Cloud Healthcare API。
- 在 Google Cloud 控制台中的 IAM 页面,验证 Healthcare Service Agent 角色是否出现在 Cloud Healthcare Service Agent 服务账号的角色列。服务账号标识符为
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com。 - 在与角色匹配的继承列中,点击铅笔图标。修改权限窗格随即会打开。
- 点击添加其他角色,然后搜索 Pub/Sub 发布商角色。
- 选择相应角色,然后点击保存。
pubsub.publisher角色已添加到服务账号。
gcloud
如需添加服务账号权限,请运行 gcloud projects add-iam-policy-binding 命令。要找到 PROJECT_ID 和 PROJECT_NUMBER,请参阅 识别项目。
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/pubsub.publisher
配置项目之间的 Pub/Sub 权限
如需将 Pub/Sub 通知发布到其他项目中的主题,请向 Cloud Healthcare Service Agent 服务帐号授予对该主题的 pubsub.publisher 角色。如需了解详情,请参阅通过 Google Cloud 控制台控制访问权限和通过 IAM API 控制访问权限。
如需查看在项目之间发布 Pub/Sub 通知的示例,请参阅使用场景示例:跨项目通信。
DICOM 存储区 Cloud Storage 权限
projects.locations.datasets.dicomStores.import 和 projects.locations.datasets.dicomStores.export 方法需要对 Cloud Healthcare Service Agent 服务账号具有额外权限,才能导入和导出数据到 Cloud Storage。
从 Cloud Storage 导入数据
您可以使用 Google Cloud 控制台或 gcloud CLI 将所需的storage.objectViewer 角色添加到您的项目的服务帐号。控制台
- 确保您已启用 Cloud Healthcare API。
- 在 Google Cloud 控制台的 IAM 页面上,验证 Healthcare Service Agent 角色是否显示在 Cloud Healthcare Service Agent 服务账号的角色列中。服务账号标识符为
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com。 - 在与角色匹配的继承列中,点击铅笔图标。修改权限窗格随即会打开。
- 点击添加其他角色,然后搜索 Storage Object Viewer 角色。
- 选择相应角色,然后点击保存。
storage.objectViewer角色已添加到服务账号。
gcloud
如需添加服务账号权限,请运行gcloud projects add-iam-policy-binding 命令。要找到 PROJECT_ID 和 PROJECT_NUMBER,请参阅 识别项目。gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectViewer
将数据导出到 Cloud Storage
您可以使用 Google Cloud 控制台或 gcloud CLI 将所需的 storage.objectAdmin 角色添加到项目的服务账号:
控制台
- 确保您已启用 Cloud Healthcare API。
- 在 Google Cloud 控制台中的 IAM 页面,验证 Healthcare Service Agent 角色是否出现在 Cloud Healthcare Service Agent 服务账号的角色列。服务账号标识符为
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com。 - 在与角色匹配的继承列中,点击铅笔图标。修改权限窗格随即会打开。
- 点击添加其他角色,然后搜索 Storage Object Admin 角色。
- 选择相应角色,然后点击保存。
storage.objectAdmin角色已添加到服务账号。
gcloud
如需添加服务账号权限,请运行 gcloud projects add-iam-policy-binding 命令。要找到 PROJECT_ID 和 PROJECT_NUMBER,请参阅 识别项目。
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectAdmin
DICOM 存储区 BigQuery 权限
projects.locations.datasets.dicomStores.export 方法需要Cloud Healthcare Service Agent 服务账号拥有额外权限,才能将 DICOM 元数据导出到 BigQuery。您还必须将 BigQuery 数据集的 WRITER 访问权限授予 Cloud Healthcare Service Agent 的服务账号。
授予 Cloud Healthcare Service Agent 服务账号权限
您可以使用 Google Cloud 控制台或 gcloud CLI 将所需的 bigquery.dataEditor 和 bigquery.jobUser 角色添加到项目的服务帐号。
控制台
- 确保您已启用 Cloud Healthcare API。
- 在 Google Cloud 控制台的 IAM 页面上,验证 Healthcare Service Agent 角色是否显示在 Cloud Healthcare Service Agent 服务账号的角色列中。服务账号标识符为
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com。 - 在与角色匹配的继承列中,点击铅笔图标。修改权限窗格随即会打开。
- 点击添加其他角色,然后搜索 BigQuery Data Editor 和 BigQuery Job User 角色。
- 选择每一角色,然后点击保存。随后,
bigquery.dataEditor和bigquery.jobUser角色将添加到该服务账号中。
gcloud
如需添加服务账号权限,请运行 gcloud projects add-iam-policy-binding 命令。要找到 PROJECT_ID 和 PROJECT_NUMBER,请参阅 识别项目。
授予
roles/bigquery.dataEditor角色:在使用下面的命令数据之前,请先进行以下替换:
- PROJECT_ID:您的 Google Cloud 项目的 ID
- PROJECT_NUMBER:您的 Google Cloud 项目编号
执行以下命令:
Linux、macOS 或 Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditor
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.dataEditor
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.dataEditor
您应该会收到类似如下所示的响应:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.dataEditor ... etag: ETAG version: VERSION
授予
roles/bigquery.jobUser角色:在使用下面的命令数据之前,请先进行以下替换:
- PROJECT_ID:您的 Google Cloud 项目的 ID
- PROJECT_NUMBER:您的 Google Cloud 项目编号
执行以下命令:
Linux、macOS 或 Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUser
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.jobUser
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.jobUser
您应该会收到类似如下所示的响应:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.jobUser ... etag: ETAG version: VERSION
允许 WRITER 访问 BigQuery 数据集
如果您向项目的服务账号添加了 bigquery.dataEditor 和 bigquery.jobUser 角色,那么您将拥有所有 BigQuery 数据集的 WRITER 访问权限。但是,如果您尚未添加这些角色,并且需要单个 BigQuery 数据集的 WRITER 访问权限,则可以只授予该数据集的 WRITER 访问权限。要授予 WRITER 访问 BigQuery 数据集的权限,请完成以下步骤:- 导航到控制对数据集的访问权限。
- 使用可用方法中的一种授予 Cloud Healthcare Service Agent 的电子邮件地址
WRITER访问 BigQuery 数据集的权限。(查找以@gcp-sa-healthcare.iam.gserviceaccount.com结尾的电子邮件地址。)
例如,如果您的 Cloud Healthcare Service Agent 电子邮件地址是 service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com,并且您使用的是 BigQuery 网页界面,则:
- 按照 Console 说明操作。
- 在添加主账号字段中,输入
service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com并选择bigquery.dataEditor角色。
导出 Google Cloud 项目中的 DICOM 元数据
要将 DICOM 元数据从一个项目中的 DICOM 存储区导出到另一个项目中的 BigQuery 表,您必须添加源项目的 Cloud Healthcare Service Agent 服务账号添加到目标项目,并向服务账号授予 bigquery.dataEditor 和 bigquery.jobUser 目标角色中的角色。
要查找源项目的 Cloud Healthcare Service Agent 服务账号,请完成以下步骤:
- 确保您已启用 Cloud Healthcare API。
- 在 Google Cloud 控制台中的 IAM 页面,验证 Healthcare Service Agent 角色是否出现在 Cloud Healthcare Service Agent 服务账号的角色列。服务账号标识符为
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com。请注意源项目中的此地址,因为将在以下步骤中使用。
将 Cloud Healthcare Service Agent 服务账号从源项目添加到目标项目,并通过完成以下步骤向服务账号授予所需的 BigQuery 权限:
控制台
- 在 Google Cloud 控制台中打开目标项目的 IAM 页面。
- 点击添加。
- 在新成员字段中,输入来源项目的 Cloud Healthcare Service Agent 服务账号的地址。
- 点击添加其他角色,然后搜索 BigQuery Data Editor 和 BigQuery 作业用户角色。
- 选择相应角色,然后点击保存。源项目的 Cloud Healthcare Service Agent 服务账号现在目标项目担任
bigquery.dataEditor和bigquery.jobUser角色。
gcloud
要将 Cloud Healthcare Service Agent 服务账号从源项目添加到目标项目并向该服务账号授予所需的 BigQuery 权限,请运行 gcloud projects add-iam-policy-binding 命令。要查找源项目和目标项目的项目 ID 和项目编号,请参阅识别项目。
gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \ --member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditor
gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \ --member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUser
完成授予对 BigQuery 数据集的WRITER访问权限中的步骤,以允许源项目向目标数据集写入数据。
FHIR 存储 Cloud Storage 权限
以下部分介绍了需要对 Cloud Healthcare Service Agent 具有额外权限以便对 Cloud Storage 执行读写操作的 FHIR 方法。
从 Cloud Storage 导入 FHIR 资源
projects.locations.datasets.fhirStores.import 方法需要对 Cloud Healthcare Service Agent 服务帐号的以下权限:
storage.objects.getstorage.objects.list
预定义的 storage.objectViewer 角色拥有这些权限。
您还可以将权限添加到自定义角色中,或者这些权限可能包含在其他基本角色中。
您可以使用 Google Cloud 控制台或 gcloud CLI 将所需的storage.objectViewer 角色添加到您的项目的服务帐号。控制台
- 确保您已启用 Cloud Healthcare API。
- 在 Google Cloud 控制台的 IAM 页面上,验证 Healthcare Service Agent 角色是否显示在 Cloud Healthcare Service Agent 服务账号的角色列中。服务账号标识符为
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com。 - 在与角色匹配的继承列中,点击铅笔图标。修改权限窗格随即会打开。
- 点击添加其他角色,然后搜索 Storage Object Viewer 角色。
- 选择相应角色,然后点击保存。
storage.objectViewer角色已添加到服务账号。
gcloud
如需添加服务账号权限,请运行gcloud projects add-iam-policy-binding 命令。要找到 PROJECT_ID 和 PROJECT_NUMBER,请参阅 识别项目。gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectViewer
将 FHIR 资源导出到 Cloud Storage
如需使用 projects.locations.datasets.fhirStores.export 方法,您需要对 Cloud Healthcare Service Agent 服务帐号拥有以下权限:
storage.objects.createstorage.objects.deletestorage.objects.list
预定义的 storage.objectAdmin 角色拥有这些权限。
您还可以将权限添加到自定义角色中,或者这些权限可能包含在其他基本角色中。
如需向服务帐号授予 storage.objectAdmin 角色,请按以下步骤操作:
控制台
- 确保您已启用 Cloud Healthcare API。
- 在 Google Cloud 控制台中的 IAM 页面,验证 Healthcare Service Agent 角色是否出现在 Cloud Healthcare Service Agent 服务账号的角色列。服务账号标识符为
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com。 - 在与角色匹配的继承列中,点击铅笔图标。修改权限窗格随即会打开。
- 点击添加其他角色,然后搜索 Storage Object Creator 角色。
- 选择相应角色,然后点击保存。
storage.objectAdmin角色已添加到服务账号。
gcloud
如需添加服务账号权限,请运行 gcloud projects add-iam-policy-binding 命令。要找到 PROJECT_ID 和 PROJECT_NUMBER,请参阅 识别项目。
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectAdmin
从 Cloud Storage 读取过滤器文件
projects.locations.datasets.fhirStores.rollback 方法需要对 Cloud Healthcare Service Agent 服务帐号的以下权限,才能从 Cloud Storage 中读取过滤器文件:
storage.objects.getstorage.objects.list
预定义的 storage.objectViewer 角色拥有这些权限。
您还可以将权限添加到自定义角色中,或者这些权限可能包含在其他基本角色中。
如需将 storage.objectViewer 角色授予服务帐号,请按以下步骤操作:
将输出文件写入 Cloud Storage
projects.locations.datasets.fhirStores.rollback 方法需要对 Cloud Healthcare Service Agent 服务帐号的以下权限,以将输出文件写入 Cloud Storage:
storage.objects.createstorage.objects.deletestorage.objects.getstorage.objects.list
预定义的 storage.objectAdmin 角色拥有这些权限。
您还可以将权限添加到自定义角色中,或者这些权限可能包含在其他基本角色中。
如需将 storage.objectAdmin 角色授予服务帐号,请按以下步骤操作:
FHIR 存储区 BigQuery 权限
projects.locations.datasets.fhirStores.export 方法需要对 Cloud Healthcare Service Agent 服务账号具有额外权限,才能将 FHIR 资源导出到 BigQuery。您还必须将 BigQuery 数据集的 WRITER 访问权限授予 Cloud Healthcare Service Agent 的服务账号。
授予 Cloud Healthcare Service Agent 服务账号权限
控制台
- 确保您已启用 Cloud Healthcare API。
- 在 Google Cloud 控制台的 IAM 页面上,验证 Healthcare Service Agent 角色是否显示在 Cloud Healthcare Service Agent 服务账号的角色列中。服务账号标识符为
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com。 - 在与角色匹配的继承列中,点击铅笔图标。修改权限窗格随即会打开。
- 点击添加其他角色,然后搜索 BigQuery Data Editor 和 BigQuery Job User 角色。
- 选择每一角色,然后点击保存。随后,
bigquery.dataEditor和bigquery.jobUser角色将添加到该服务账号中。
gcloud
如需添加服务账号权限,请运行 gcloud projects add-iam-policy-binding 命令。要找到 PROJECT_ID 和 PROJECT_NUMBER,请参阅 识别项目。
授予
roles/bigquery.dataEditor角色:在使用下面的命令数据之前,请先进行以下替换:
- PROJECT_ID:您的 Google Cloud 项目的 ID
- PROJECT_NUMBER:您的 Google Cloud 项目编号
执行以下命令:
Linux、macOS 或 Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditor
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.dataEditor
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.dataEditor
您应该会收到类似如下所示的响应:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.dataEditor ... etag: ETAG version: VERSION
授予
roles/bigquery.jobUser角色:在使用下面的命令数据之前,请先进行以下替换:
- PROJECT_ID:您的 Google Cloud 项目的 ID
- PROJECT_NUMBER:您的 Google Cloud 项目编号
执行以下命令:
Linux、macOS 或 Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUser
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.jobUser
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.jobUser
您应该会收到类似如下所示的响应:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.jobUser ... etag: ETAG version: VERSION
允许 WRITER 访问 BigQuery 数据集
如果您向项目的服务账号添加了 bigquery.dataEditor 和 bigquery.jobUser 角色,那么您将拥有所有 BigQuery 数据集的 WRITER 访问权限。但是,如果您尚未添加这些角色,并且需要单个 BigQuery 数据集的 WRITER 访问权限,则可以只授予该数据集的 WRITER 访问权限。要授予 WRITER 访问 BigQuery 数据集的权限,请完成以下步骤:- 导航到控制对数据集的访问权限。
- 使用可用方法中的一种授予 Cloud Healthcare Service Agent 的电子邮件地址
WRITER访问 BigQuery 数据集的权限。(查找以@gcp-sa-healthcare.iam.gserviceaccount.com结尾的电子邮件地址。)
例如,如果您的 Cloud Healthcare Service Agent 电子邮件地址是 service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com,并且您使用的是 BigQuery 网页界面,则:
- 按照 Console 说明操作。
- 在添加主账号字段中,输入
service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com并选择bigquery.dataEditor角色。
HL7v2 存储区 Cloud Storage 权限
projects.locations.datasets.hl7V2Stores.import 和 projects.locations.datasets.hl7V2Stores.export 方法要求 Cloud Healthcare Service Agent 服务账号拥有额外权限,以便从 Cloud Storage 导入 HL7v2 消息或将 HL7v2 消息导出到 Cloud Storage。
根据应用执行的操作确定服务账号所需的权限:
- 如果应用将 Cloud Storage 中的 HL7v2 消息导入 HL7v2 存储区,则服务账号需要
storage.objects.get和storage.objects.list权限,这些权限包含在storage.objectViewer角色中。 - 如果应用将 HL7v2 存储区中的 HL7v2 消息导出到 Cloud Storage,则服务账号需要
storage.objects.create、storage.objects.delete和storage.objects.list权限,这些权限包含在storage.objectCreator角色中。
从 Cloud Storage 导入 HL7v2 消息
您可以使用 Google Cloud 控制台或 gcloud CLI 将所需的storage.objectViewer 角色添加到您的项目的服务帐号。控制台
- 确保您已启用 Cloud Healthcare API。
- 在 Google Cloud 控制台的 IAM 页面上,验证 Healthcare Service Agent 角色是否显示在 Cloud Healthcare Service Agent 服务账号的角色列中。服务账号标识符为
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com。 - 在与角色匹配的继承列中,点击铅笔图标。修改权限窗格随即会打开。
- 点击添加其他角色,然后搜索 Storage Object Viewer 角色。
- 选择相应角色,然后点击保存。
storage.objectViewer角色已添加到服务账号。
gcloud
如需添加服务账号权限,请运行gcloud projects add-iam-policy-binding 命令。要找到 PROJECT_ID 和 PROJECT_NUMBER,请参阅 识别项目。gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectViewer
将 HL7v2 消息导出到 Cloud Storage
您可以使用 Google Cloud 控制台或 gcloud CLI 将所需的 storage.objectCreator 角色添加到项目的服务账号:
控制台
- 确保您已启用 Cloud Healthcare API。
- 在 Google Cloud 控制台中的 IAM 页面,验证 Healthcare Service Agent 角色是否出现在 Cloud Healthcare Service Agent 服务账号的角色列。服务账号标识符为
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com。 - 在与角色匹配的继承列中,点击铅笔图标。修改权限窗格随即会打开。
- 点击添加其他角色,然后搜索 Storage Object Creator 角色。
- 选择相应角色,然后点击保存。
storage.objectCreator角色已添加到服务账号。
gcloud
如需添加服务账号权限,请运行 gcloud projects add-iam-policy-binding 命令。要找到 PROJECT_ID 和 PROJECT_NUMBER,请参阅 识别项目。
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectCreator