Control de acceso

Resumen

La API de Cloud Healthcare usa la administración de identidades y accesos (IAM) para el control de acceso.

En la API de Cloud Healthcare, el control de acceso se puede configurar a nivel de proyecto, de conjunto de datos o de almacén de datos. Por ejemplo, puedes otorgar acceso a todos los conjuntos de datos dentro de un proyecto a un grupo de desarrolladores. Para aprender cómo configurar y usar IAM con la API de Cloud Healthcare, consulta Controla el acceso y Controla el acceso a otros productos.

Para obtener una descripción detallada de IAM y sus características, consulta la documentación de IAM. En particular, consulta la sección sobre administración de políticas de IAM.

Cada método de la API de Cloud Healthcare requiere que el emisor tenga los permisos necesarios. Consulta Permisos y Funciones para obtener más información.

Permisos

En esta sección, se resumen los permisos de la API de Cloud Healthcare que admite IAM.

Permisos necesarios

En las siguientes tablas, se enumeran los permisos de IAM asociados con la API de Cloud Healthcare. Los nombres de los métodos se acortan en la tabla. El nombre completo de cada método comienza con projects.locations.

Método de almacén de anotaciones	Permisos necesarios
`datasets.annotationStores.create`	`healthcare.annotationStores.create` en el conjunto de datos superior.
`datasets.annotationStores.delete`	`healthcare.annotationStores.delete` en el almacén de anotaciones solicitado.
`datasets.annotationStores.get`	`healthcare.annotationStores.get` en el almacén de anotaciones solicitado.
`datasets.annotationStores.list`	`healthcare.annotationStores.list` en el conjunto de datos superior.
`datasets.annotationStores.patch`	`healthcare.annotationStores.update` en el almacén de anotaciones solicitado.
`datasets.annotationStores.annotations.create`	`healthcare.annotations.create` en el almacén de anotaciones superior.
`datasets.annotationStores.annotations.delete`	`healthcare.annotations.delete` en el registro de anotaciones solicitado.
`datasets.annotationStores.annotations.get`	`healthcare.annotations.get` en el registro de anotaciones solicitado.
`datasets.annotationStores.annotations.list`	`healthcare.annotations.list` en el almacén de anotaciones superior.
`datasets.annotationStores.annotations.patch`	`healthcare.annotations.update` en el registro de anotaciones solicitado.

Método de almacenamiento de consentimiento	Permisos necesarios
`datasets.consentStores.checkDataAccess`	`healthcare.consentStores.checkDataAccess` en el almacén de consentimiento solicitado.
`datasets.consentStores.create`	`healthcare.consentStores.create` en el conjunto de datos superior.
`datasets.consentStores.delete`	`healthcare.consentStores.delete` en el almacén de consentimiento solicitado.
`datasets.consentStores.evaluateUserConsents`	`healthcare.consentStores.evaluateUserConsents` en el almacén de consentimiento solicitado.
`datasets.consentStores.get`	`healthcare.consentStores.get` en el almacén de consentimiento solicitado.
`datasets.consentStores.getIamPolicy`	`healthcare.consentStores.getIamPolicy` en el almacén de consentimiento solicitado.
`datasets.consentStores.list`	`healthcare.consentStores.list` en el conjunto de datos superior.
`datasets.consentStores.patch`	`healthcare.consentStores.update` en el almacén de consentimiento solicitado.
`datasets.consentStores.queryAccessibleData`	`healthcare.consentStores.queryAccessibleData` en el almacén de consentimiento solicitado.
`datasets.consentStores.setIamPolicy`	`healthcare.consentStores.setIamPolicy` en el almacén de consentimiento solicitado.
`datasets.consentStores.attributeDefinitions.create`	`healthcare.attributeDefinitions.create` en el almacén de consentimiento superior.
`datasets.consentStores.attributeDefinitions.delete`	`healthcare.attributeDefinitions.delete` en el recurso de definición de atributo solicitado.
`datasets.consentStores.attributeDefinitions.get`	`healthcare.attributeDefinitions.get` en el recurso de definición de atributo solicitado.
`datasets.consentStores.attributeDefinitions.list`	`healthcare.attributeDefinitions.list` en el almacén de consentimiento superior.
`datasets.consentStores.attributeDefinitions.patch`	`healthcare.attributeDefinitions.update` en el recurso de definición de atributo solicitado.
`datasets.consentStores.consentArtifacts.create`	`healthcare.consentArtifacts.create` en el almacén de consentimiento superior.
`datasets.consentStores.consentArtifacts.delete`	`healthcare.consentArtifacts.delete` en el recurso de artefacto de consentimiento solicitado.
`datasets.consentStores.consentArtifacts.get`	`healthcare.consentArtifacts.get` en el recurso de artefacto de consentimiento solicitado.
`datasets.consentStores.consentArtifacts.list`	`healthcare.consentArtifacts.list` en el almacén de consentimiento superior.
`datasets.consentStores.consents.create`	`healthcare.consents.create` en el almacén de consentimiento superior.
`datasets.consentStores.consents.delete`	`healthcare.consents.delete` en el recurso de consentimiento solicitado.
`datasets.consentStores.consents.get`	`healthcare.consents.get` en el recurso de consentimiento solicitado.
`datasets.consentStores.consents.list`	`healthcare.consents.list` en el almacén de consentimiento superior.
`datasets.consentStores.consents.patch`	`healthcare.consents.update` en el recurso de consentimiento solicitado.
`datasets.consentStores.consents.revoke`	`healthcare.consents.revoke` en el recurso de consentimiento solicitado.
`datasets.consentStores.userDataMappings.archive`	`healthcare.userDataMappings.archive` en el recurso de asignación de datos del usuario solicitado.
`datasets.consentStores.userDataMappings.create`	`healthcare.userDataMappings.create` en el almacén de consentimiento superior.
`datasets.consentStores.userDataMappings.delete`	`healthcare.userDataMappings.delete` en el recurso de asignación de datos del usuario solicitado.
`datasets.consentStores.userDataMappings.get`	`healthcare.userDataMappings.get` en el recurso de asignación de datos del usuario solicitado.
`datasets.consentStores.userDataMappings.list`	`healthcare.userDataMappings.list` en el almacén de consentimiento superior.
`datasets.consentStores.userDataMappings.patch`	`healthcare.userDataMappings.update` en el recurso de asignación de datos del usuario solicitado.

Método de los conjuntos de datos	Permisos necesarios
`datasets.create`	`healthcare.datasets.create` en el proyecto superior de Google Cloud.
`datasets.deidentify`	`healthcare.datasets.deidentify` en el conjunto de datos de origen. `healthcare.datasets.create` en el proyecto de Google Cloud que contiene el conjunto de datos de destino.
`datasets.delete`	`healthcare.datasets.delete` en el conjunto de datos solicitado.
`datasets.get`	`healthcare.datasets.get` en el conjunto de datos solicitado.
`datasets.getIamPolicy`	`healthcare.datasets.getIamPolicy` en el conjunto de datos solicitado.
`datasets.list`	`healthcare.datasets.list` en el proyecto superior de Google Cloud.
`datasets.patch`	`healthcare.datasets.update` en el conjunto de datos solicitado.
`datasets.setIAMPolicy`	`healthcare.datasets.setIamPolicy` en el conjunto de datos solicitado.

Método de la tienda de DICOM	Permisos necesarios
`datasets.dicomStores.create`	`healthcare.dicomStores.create` en el conjunto de datos superior.
`datasets.dicomStores.deidentify`	`healthcare.dicomStores.deidentify` en la tienda de DICOM de origen. `healthcare.dicomStores.dicomWebWrite` en la tienda de DICOM de destino.
`datasets.dicomStores.delete`	`healthcare.dicomStores.delete` en la tienda de DICOM solicitada.
`datasets.dicomStores.export`	`healthcare.dicomStores.export` en la tienda de DICOM solicitada. Cuando se exporta a Cloud Storage: se otorga `roles/storage.objectAdmin` a la cuenta de servicio del agente de servicios de Cloud Healthcare del proyecto. Consulta Exporta datos a Cloud Storage para obtener instrucciones. Cuando se exporta a BigQuery: se otorgan `roles/bigquery.dataEditor` y `roles/bigquery.jobUser` a la cuenta de servicio del agente de servicios de Cloud Healthcare del proyecto. Consulta los permisos de BigQuery de la tienda de DICOM para obtener instrucciones.
`datasets.dicomStores.get`	`healthcare.dicomStores.get` en la tienda de DICOM solicitada.
`datasets.dicomStores.getIamPolicy`	`healthcare.dicomStores.getIamPolicy` en la tienda de DICOM solicitada.
`datasets.dicomStores.import`	`healthcare.dicomStores.import` en la tienda de DICOM solicitada. `roles/storage.objectViewer` otorgado a la cuenta de servicio del agente de servicios de Cloud Healthcare del proyecto. Consulta Importa datos desde Cloud Storage para obtener instrucciones.
`datasets.dicomStores.list`	`healthcare.dicomStores.list` en el conjunto de datos superior.
`datasets.dicomStores.patch`	`healthcare.dicomStores.update` en la tienda de DICOM solicitada.
`datasets.dicomStores.searchForInstances`	`healthcare.dicomStores.dicomWebRead` en la tienda de DICOM solicitada.
`datasets.dicomStores.searchForSeries`	`healthcare.dicomStores.dicomWebRead` en la tienda de DICOM solicitada.
`datasets.dicomStores.searchForStudies`	`healthcare.dicomStores.dicomWebRead` en la tienda de DICOM solicitada.
`datasets.dicomStores.setIamPolicy`	`healthcare.dicomStores.setIamPolicy` en la tienda de DICOM solicitada.
`datasets.dicomStores.storeInstances`	`healthcare.dicomStores.dicomWebWrite` en la tienda de DICOM solicitada.
`datasets.dicomStores.studies.delete`	`healthcare.dicomStores.dicomWebDelete` en la tienda de DICOM solicitada.
`datasets.dicomStores.studies.retrieveMetadata`	`healthcare.dicomStores.dicomWebRead` en la tienda de DICOM solicitada.
`datasets.dicomStores.studies.retrieveStudy`	`healthcare.dicomStores.dicomWebRead` en la tienda de DICOM solicitada.
`datasets.dicomStores.studies.searchForInstances`	`healthcare.dicomStores.dicomWebRead` en la tienda de DICOM solicitada.
`datasets.dicomStores.studies.searchForSeries`	`healthcare.dicomStores.dicomWebRead` en la tienda de DICOM solicitada.
`datasets.dicomStores.studies.storeInstances`	`healthcare.dicomStores.dicomWebWrite` en la tienda de DICOM solicitada.
`datasets.dicomStores.studies.series.delete`	`healthcare.dicomStores.dicomWebDelete` en la tienda de DICOM solicitada.
`datasets.dicomStores.studies.series.retrieveMetadata`	`healthcare.dicomStores.dicomWebRead` en la tienda de DICOM solicitada.
`datasets.dicomStores.studies.series.retrieveSeries`	`healthcare.dicomStores.dicomWebRead` en la tienda de DICOM solicitada.
`datasets.dicomStores.studies.series.searchForInstances`	`healthcare.dicomStores.dicomWebRead` en la tienda de DICOM solicitada.
`datasets.dicomStores.studies.series.instances.delete`	`healthcare.dicomStores.dicomWebDelete` en la tienda de DICOM solicitada.
`datasets.dicomStores.studies.series.instances.retrieveInstance`	`healthcare.dicomStores.dicomWebRead` en la tienda de DICOM solicitada.
`datasets.dicomStores.studies.series.instances.retrieveMetadata`	`healthcare.dicomStores.dicomWebRead` en la tienda de DICOM solicitada.
`datasets.dicomStores.studies.series.instances.retrieveRendered`	`healthcare.dicomStores.dicomWebRead` en la tienda de DICOM solicitada.
`datasets.dicomStores.studies.series.instances.frames.retrieveFrames`	`healthcare.dicomStores.dicomWebRead` en la tienda de DICOM solicitada.
`datasets.dicomStores.studies.series.instances.frames.retrieveRendered`	`healthcare.dicomStores.dicomWebRead` en la tienda de DICOM solicitada.

Método de la tienda de FHIR	Permisos necesarios
`datasets.fhirStores.create`	`healthcare.fhirStores.create` en el conjunto de datos superior.
`datasets.fhirStores.deidentify`	`healthcare.fhirStores.deidentify` en la tienda de FHIR de origen. `healthcare.fhirResources.update` en la tienda de FHIR de destino.
`datasets.fhirStores.delete`	`healthcare.fhirStores.delete` en la tienda de FHIR solicitada.
`datasets.fhirStores.export`	`healthcare.fhirStores.export` en la tienda de FHIR solicitada. Cuando se exporta a Cloud Storage: `storage.objects.create`, `storage.objects.delete` y `storage.objects.list` se otorgan a la cuenta de servicio del agente de servicios de Cloud Healthcare del proyecto. Consulta Exporta recursos de FHIR a Cloud Storage para obtener instrucciones. Cuando se exporta a BigQuery: se otorgan `roles/bigquery.dataEditor` y `roles/bigquery.jobUser` a la cuenta de servicio del agente de servicios de Cloud Healthcare del proyecto. Consulta los permisos de BigQuery de la tienda de FHIR para obtener instrucciones.
`datasets.fhirStores.get`	`healthcare.fhirStores.get` en la tienda de FHIR solicitada.
`datasets.fhirStores.getIamPolicy`	`healthcare.fhirStores.getIamPolicy` en la tienda de FHIR solicitada.
`datasets.fhirStores.import`	`healthcare.fhirStores.import` en la tienda de FHIR solicitada. `storage.objects.get` y `storage.objects.list` otorgados a la cuenta de servicio del agente de servicios de Cloud Healthcare del proyecto. Consulta Importa recursos de FHIR desde Cloud Storage para obtener instrucciones.
`datasets.fhirStores.list`	`healthcare.fhirStores.list` en el conjunto de datos superior.
`datasets.fhirStores.patch`	`healthcare.fhirStores.update` en la tienda de FHIR solicitada.
`datasets.fhirStores.setIamPolicy`	`healthcare.fhirStores.setIamPolicy` en la tienda de FHIR solicitada.
`datasets.fhirStores.fhir.Observation-lastn`	`healthcare.fhirStores.searchResources` en la tienda de FHIR superior.
`datasets.fhirStores.fhir.Patient-everything`	`healthcare.fhirResources.get` en cada recurso que se muestra.
`datasets.fhirStores.fhir.Resource-purge`	`healthcare.fhirResources.purge` en el recurso de la tienda de FHIR solicitada.
`datasets.fhirStores.fhir.capabilities`	`healthcare.fhirStores.get` en la tienda de FHIR solicitada.
`datasets.fhirStores.fhir.conditionalDelete`	`healthcare.fhirStores.searchResources` en la tienda de FHIR superior. `healthcare.fhirResources.delete` en el recurso de la tienda de FHIR solicitada.
`datasets.fhirStores.fhir.conditionalPatch`	`healthcare.fhirStores.searchResources` en la tienda de FHIR superior. `healthcare.fhirResources.patch` en el recurso de la tienda de FHIR solicitada.
`datasets.fhirStores.fhir.conditionalUpdate`	`healthcare.fhirStores.searchResources` en la tienda de FHIR superior. `healthcare.fhirResources.update` en el recurso de la tienda de FHIR solicitada.
`datasets.fhirStores.fhir.create`	Para las interacciones de creación condicional: `healthcare.fhirResources.create` y `healthcare.fhirStores.searchResources` en la tienda de FHIR superior. Para las interacciones de creación: `healthcare.fhirResources.create` en la tienda de FHIR superior.
`datasets.fhirStores.fhir.delete`	`healthcare.fhirResources.delete` en el recurso de la tienda de FHIR solicitada.
`datasets.fhirStores.fhir.executeBundle`	`healthcare.fhirResources.executeBundle` en al tienda de FHIR solicitada y permisos adicionales (como `healthcare.fhirResources.create` y `healthcare.fhirResources.update`) correspondientes a operaciones individuales dentro del paquete. Si el emisor de la API tiene permisos `healthcare.fhirResources.create`, pero no `healthcare.fhirResources.update`, solo puede ejecutar paquetes que contengan operaciones `healthcare.fhirResources.create`.
`datasets.fhirStores.fhir.history`	`healthcare.fhirResources.get` en el recurso de la tienda de FHIR solicitada y en cada una de sus versiones.
`datasets.fhirStores.fhir.patch`	`healthcare.fhirResources.patch` en el recurso de la tienda de FHIR solicitada.
`datasets.fhirStores.fhir.read`	`healthcare.fhirResources.get` en el recurso de la tienda de FHIR solicitada.
`datasets.fhirStores.fhir.search`	`healthcare.fhirStores.searchResources` en la tienda de FHIR superior.
`datasets.fhirStores.fhir.update`	`healthcare.fhirResources.update` en el recurso de la tienda de FHIR solicitada.
`datasets.fhirStores.fhir.vread`	`healthcare.fhirResources.get` en la versión del recurso de la tienda de FHIR solicitada.

Método de la tienda de HL7v2	Permisos necesarios
`datasets.hl7V2Stores.create`	`healthcare.hl7V2Stores.create` en el conjunto de datos superior.
`datasets.hl7V2Stores.delete`	`healthcare.hl7V2Stores.delete` en la tienda de HL7v2 solicitada
`datasets.hl7V2Stores.get`	`healthcare.hl7V2Stores.get` en la tienda de HL7v2 solicitada
`datasets.hl7V2Stores.import`	`healthcare.hl7V2Stores.import` en la tienda de HL7v2 solicitada
`datasets.hl7V2Stores.list`	`healthcare.hl7V2Stores.list` en el conjunto de datos superior.
`datasets.hl7V2Stores.patch`	`healthcare.hl7V2Stores.update` en la tienda de HL7v2 solicitada
`datasets.hl7V2Stores.getIamPolicy`	`healthcare.hl7V2Stores.getIamPolicy` en la tienda de HL7v2 solicitada
`datasets.hl7V2Stores.setIamPolicy`	`healthcare.hl7V2Stores.setIamPolicy` en la tienda de HL7v2 solicitada
`datasets.hl7V2Stores.messages.create`	`healthcare.hl7V2Messages.create` en la tienda de HL7v2 superior.
`datasets.hl7V2Stores.messages.delete`	`healthcare.hl7V2Messages.delete` en el mensaje de la tienda de HL7v2 solicitada.
`datasets.hl7V2Stores.messages.get`	`healthcare.hl7V2Messages.get` en el mensaje de la tienda de HL7v2 solicitada.
`datasets.hl7V2Stores.messages.ingest`	`healthcare.hl7V2Messages.ingest` en el mensaje de la tienda de HL7v2 solicitada.
`datasets.hl7V2Stores.messages.list`	`healthcare.hl7V2Messages.list` en la tienda de HL7v2 superior.
`datasets.hl7V2Stores.messages.patch`	`healthcare.hl7V2Messages.update` en el mensaje de la tienda de HL7v2 solicitada.

Método de ubicación	Permisos necesarios
`locations.get`	`healthcare.locations.get`: en la ubicación solicitada.
`locations.list`	`healthcare.locations.list` en el proyecto superior de Google Cloud.

Método de operación	Permiso requerido
`datasets.operations.get`	`healthcare.operations.get` en la operación solicitada.
`datasets.operations.list`	`healthcare.operations.list` en la operación solicitada.
`datasets.operations.cancel`	`healthcare.operations.cancel` en la operación solicitada.

Funciones

En la siguiente tabla, se enumeran las funciones de IAM de la API de Cloud Healthcare, incluidos los permisos asociados con cada función:

Función de anotaciones	Permisos
`roles/healthcare.annotationStoreViewer`	Todos los permisos `roles/healthcare.datasetViewer` y los siguientes: `healthcare.annotationStores.get` `healthcare.annotationStores.list`
`roles/healthcare.annotationStoreAdmin`	Todos los permisos `roles/healthcare.annotationStoreViewer` y los siguientes: `healthcare.annotationStores.create` `healthcare.annotationStores.delete` `healthcare.annotationStores.update`
`roles/healthcare.annotationReader`	Todos los permisos `roles/healthcare.annotationStoreViewer` y los siguientes: `healthcare.annotations.get` `healthcare.annotations.list`
`roles/healthcare.annotationEditor`	Todos los permisos `roles/healthcare.annotationReader` y los siguientes: `healthcare.annotations.create` `healthcare.annotations.delete` `healthcare.annotations.update`

Función del almacén de consentimiento	Permisos
`roles/healthcare.consentStoreViewer`	Todos los permisos `roles/healthcare.datasetViewer` y los siguientes: `healthcare.consentStores.checkDataAccess` `healthcare.consentStores.evaluateUserConsents` `healthcare.consentStores.get` `healthcare.consentStores.list` `healthcare.consentStores.queryAccessibleData`
`roles/healthcare.consentStoreAdmin`	Todos los permisos `roles/healthcare.consentStoreViewer` y los siguientes: `healthcare.consentStores.create` `healthcare.consentStores.delete` `healthcare.consentStores.getIamPolicy` `healthcare.consentStores.setIamPolicy` `healthcare.consentStores.update`

Función de consentimiento	Permisos
`roles/healthcare.attributeDefinitionReader`	Todos los permisos `roles/healthcare.consentStoreViewer` y los siguientes: `healthcare.attributeDefinitions.get` `healthcare.attributeDefinitions.list`
`roles/healthcare.attributeDefinitionEditor`	Todos los permisos `roles/healthcare.attributeDefinitionReader` y los siguientes: `healthcare.attributeDefinitions.create` `healthcare.attributeDefinitions.delete` `healthcare.attributeDefinitions.update`
`roles/healthcare.consentArtifactReader`	Todos los permisos `roles/healthcare.consentStoreViewer` y los siguientes: `healthcare.consentArtifacts.get` `healthcare.consentArtifacts.list`
`roles/healthcare.consentArtifactEditor`	Todos los permisos `roles/healthcare.consentArtifactReader` y los siguientes: `healthcare.consentArtifacts.create`
`roles/healthcare.consentArtifactAdmin`	Todos los permisos `roles/healthcare.consentArtifactEditor` y los siguientes: `healthcare.consentArtifacts.delete`
`roles/healthcare.consentReader`	Todos los permisos `roles/healthcare.consentStoreViewer` y los siguientes: `healthcare.consents.get` `healthcare.consents.list`
`roles/healthcare.consentEditor`	Todos los permisos `roles/healthcare.consentReader` y los siguientes: `healthcare.consents.create` `healthcare.consents.delete` `healthcare.consents.revoke` `healthcare.consents.update`
`roles/healthcare.consentHistoryReader`	Todos los permisos `roles/healthcare.consentStoreViewer` y los siguientes: `healthcare.consentHistories.list`
`roles/healthcare.consentHistoryEditor`	Todos los permisos `roles/healthcare.consentHistoryReader` y los siguientes: `healthcare.consentHistories.deleteAll`
`roles/healthcare.userDataMappingReader`	Todos los permisos `roles/healthcare.consentStoreViewer` y los siguientes: `healthcare.userDataMappings.get` `healthcare.userDataMappings.list`
`roles/healthcare.userDataMappingEditor`	Todos los permisos `roles/healthcare.userDataMappingReader` y los siguientes: `healthcare.userDataMappings.archive` `healthcare.userDataMappings.create` `healthcare.userDataMappings.delete` `healthcare.userDataMappings.update`

Función de los conjuntos de datos	Permisos
`roles/healthcare.datasetViewer`	`healthcare.locations.get` `healthcare.locations.list` `healthcare.datasets.get` `healthcare.datasets.list` `healthcare.operations.get`
`roles/healthcare.datasetAdmin`	Todos los permisos `roles/healthcare.datasetViewer` y los siguientes: `healthcare.datasets.create` `healthcare.datasets.delete` `healthcare.datasets.update` `healthcare.datasets.getIamPolicy` `healthcare.datasets.setIamPolicy` `healthcare.datasets.deidentify` `healthcare.operations.cancel` `healthcare.operations.list`

Función de la tienda de DICOM	Permisos
`roles/healthcare.dicomStoreViewer`	Todos los permisos `roles/healthcare.datasetViewer` y los siguientes: `healthcare.dicomStores.get` `healthcare.dicomStores.list`
`roles/healthcare.dicomStoreAdmin`	Todos los permisos `roles/healthcare.dicomStoreViewer` y los siguientes: `healthcare.dicomStores.create` `healthcare.dicomStores.deidentify` `healthcare.dicomStores.delete` `healthcare.dicomStores.dicomWebDelete` `healthcare.dicomStores.getIamPolicy` `healthcare.dicomStores.setIamPolicy` `healthcare.dicomStores.update` `healthcare.operations.cancel`
`roles/healthcare.dicomViewer`	Todos los permisos `roles/healthcare.dicomStoreViewer` y los siguientes: `healthcare.dicomStores.export` `healthcare.dicomStores.dicomWebRead`
`roles/healthcare.dicomEditor`	Todos los permisos `roles/healthcare.dicomViewer` y los siguientes: `healthcare.dicomStores.import` `healthcare.dicomStores.dicomWebDelete` `healthcare.dicomStores.dicomWebWrite` `healthcare.operations.cancel`

Función de la tienda de FHIR	Permisos
`roles/healthcare.fhirStoreViewer`	Todos los permisos `roles/healthcare.datasetViewer` y los siguientes: `healthcare.fhirStores.get` `healthcare.fhirStores.list`
`roles/healthcare.fhirStoreAdmin`	Todos los permisos `roles/healthcare.fhirStoreViewer` y los siguientes: `healthcare.fhirStores.create` `healthcare.fhirStores.deidentify` `healthcare.fhirStores.delete` `healthcare.fhirStores.update` `healthcare.fhirStores.import` `healthcare.fhirStores.export` `healthcare.fhirResources.purge` `healthcare.fhirStores.getIamPolicy` `healthcare.fhirStores.setIamPolicy` `healthcare.operations.cancel`
`roles/healthcare.fhirResourceReader`	Todos los permisos `roles/healthcare.fhirStoreViewer` y los siguientes: `healthcare.fhirResources.get` `healthcare.fhirStores.searchResources` `healthcare.fhirStores.executeBundle`
`roles/healthcare.fhirResourceEditor`	Todos los permisos `roles/healthcare.fhirResourceReader` y los siguientes: `healthcare.fhirResources.create` `healthcare.fhirResources.delete` `healthcare.fhirResources.patch` `healthcare.fhirResources.update` `healthcare.operations.cancel`

Función de la tienda de HL7v2	Permisos
`roles/healthcare.hl7V2StoreViewer`	Todos los permisos `roles/healthcare.datasetViewer` y los siguientes: `healthcare.hl7V2Stores.get` `healthcare.hl7V2Stores.list`
`roles/healthcare.hl7V2StoreAdmin`	Todos los permisos `roles/healthcare.hl7V2StoreViewer` y los siguientes: `healthcare.hl7V2Stores.create` `healthcare.hl7V2Stores.update` `healthcare.hl7V2Stores.delete` `healthcare.hl7V2Stores.getIamPolicy` `healthcare.hl7V2Stores.setIamPolicy` `healthcare.operations.cancel`
`roles/healthcare.hl7V2Ingest`	Todos los permisos `roles/healthcare.hl7V2StoreViewer` y los siguientes: `healthcare.hl7V2messages.ingest`
`roles/healthcare.hl7V2Consumer`	Todos los permisos `roles/healthcare.hl7V2StoreViewer` y los siguientes: `healthcare.hl7V2messages.get` `healthcare.hl7V2messages.list` `healthcare.hl7V2messages.create` `healthcare.hl7V2messages.update`
`roles/healthcare.hl7V2Editor`	Todos los permisos `roles/healthcare.hl7V2StoreViewer` y los siguientes: `healthcare.hl7V2messages.get` `healthcare.hl7V2messages.list` `healthcare.hl7V2messages.delete` `healthcare.hl7V2messages.update` `healthcare.hl7V2messages.create` `healthcare.hl7V2Messages.ingest` `healthcare.operations.cancel`

Ten en cuenta que las funciones roles/owner, roles/editor y roles/viewer también incluyen permisos para otros servicios de Google Cloud. Para obtener más información sobre las funciones, consulta Información sobre las funciones.

Agente de servicios de Cloud Healthcare

El agente de servicios de Cloud Healthcare es una cuenta de servicio compartida en tu proyecto que la API de Cloud Healthcare usa para interactuar con otros recursos en Google Cloud.

Por ejemplo, este agente de servicio se usa para leer y escribir en depósitos de Cloud Storage, escribir en BigQuery y publicar mensajes en Pub/Sub desde la API de Cloud Healthcare.

Para ejecutar cualquiera de las acciones anteriores, debes otorgarle acceso al agente de servicio de Cloud Healthcare al depósito de Cloud Storage relevante, al conjunto de datos de BigQuery o al tema de Pub/Sub.

Cuando crees un modelo de permisos para tu proyecto, recuerda que otorgar cualquiera de las funciones que se mencionan a continuación permite al usuario invocar operaciones que se ejecutan como el agente de servicio de Cloud Healthcare y tener acceso a todos los datos a los que el agente tiene acceso: * roles/healthcare.consentStoreAdmin * roles/healthcare.consentStoreViewer * roles/healthcare.dicomStoreEditor * roles/healthcare.dicomStoreViewer * roles/healthcare.fhirStoreAdmin * roles/healthcare.hl7V2StoreAdmin

Del mismo modo, asignar los siguientes permisos a las funciones personalizadas también permitiría al usuario invocar operaciones que se ejecutarán como el agente de servicios de Cloud Healthcare:

healthcare.consentStores.queryAccessibleData
healthcare.dicomStores.create
healthcare.dicomStores.update
healthcare.dicomStores.import
healthcare.dicomStores.export
healthcare.fhirStores.create
healthcare.fhirStores.update
healthcare.fhirStores.import
healthcare.fhirStores.export
healthcare.hl7V2Stores.create
healthcare.hl7V2Stores.update

Por ejemplo:

Un usuario que tiene permisos de importación puede ejecutar operaciones que funcionan como el agente de servicio de Cloud Healthcare que accede a cualquier depósito de Cloud Storage al que ya tenga acceso de lectura el agente de servicio de Cloud Healthcare.
Un usuario que tiene permisos de exportación puede ejecutar operaciones que funcionan como el agente de servicio de Cloud Healthcare que accede a cualquier depósito al que el agente de servicio ya tenga acceso de escritura.
Un usuario que crea o actualiza los permisos del almacén de datos puede configurar los objetivos de notificación de Pub/Sub o los destinos de transmisión de BigQuery que envía el agente del servicio de Cloud Healthcare cuando se realizan cambios en el almacén de datos.

Como práctica recomendada, aprovecha varios proyectos para aislar aún más los permisos otorgados al agente de servicios de Cloud Healthcare.