IAM を使用したアクセス制御

概要

Cloud Healthcare API では、アクセス制御に Identity and Access Management(IAM) が使用されます。

Cloud Healthcare API では、プロジェクト レベル、データセット レベル、またはデータストア レベルでアクセス制御を構成できます。たとえば、プロジェクト内のすべてのデータセットへのアクセス権をデベロッパーのグループに付与できます。Healthcare API で IAM を設定、使用する方法については、アクセス制御他のプロダクトへのアクセス制御をご覧ください。

IAM とその機能の詳細については、IAM のドキュメントをご覧ください。特に、IAM ポリシーの管理のセクションをご覧ください。

すべての Cloud Healthcare API メソッドでは、呼び出し元に必要な権限が付与されていることが求められます。詳細については、権限ロールをご覧ください。

権限

次の表に、Cloud Healthcare API に関連付けられている IAM の権限を示します。表ではメソッド名が短縮されています。各メソッドのフルネームの先頭には projects.locations. が付されています。

アノテーション ストアメソッド

アノテーション ストア メソッド 必要な権限
datasets.annotationStores.create 親データセットに対する healthcare.annotationStores.create
datasets.annotationStores.delete リクエストされたアノテーション ストアに対する healthcare.annotationStores.delete
datasets.annotationStores.get リクエストされたアノテーション ストアに対する healthcare.annotationStores.get
datasets.annotationStores.list 親データセットに対する healthcare.annotationStores.list
datasets.annotationStores.patch リクエストされたアノテーション ストアに対する healthcare.annotationStores.update
datasets.annotationStores.annotations.create 親アノテーション ストアに対する healthcare.annotations.create
datasets.annotationStores.annotations.delete リクエストされたアノテーション レコードに対する healthcare.annotations.delete
datasets.annotationStores.annotations.get リクエストされたアノテーション レコードに対する healthcare.annotations.get
datasets.annotationStores.annotations.list 親アノテーション ストアに対する healthcare.annotations.list
datasets.annotationStores.annotations.patch リクエストされたアノテーション レコードに対する healthcare.annotations.update
Consent Store メソッド 必要な権限
datasets.consentStores.checkDataAccess リクエストされた Consent Store に対する healthcare.consentStores.checkDataAccess
datasets.consentStores.create 親データセットに対する healthcare.consentStores.create
datasets.consentStores.delete リクエストされた Consent Store に対する healthcare.consentStores.delete
datasets.consentStores.evaluateUserConsents リクエストされた Consent Store に対する healthcare.consentStores.evaluateUserConsents
datasets.consentStores.get リクエストされた Consent Store に対する healthcare.consentStores.get
datasets.consentStores.getIamPolicy リクエストされた Consent Store に対する healthcare.consentStores.getIamPolicy
datasets.consentStores.list 親データセットに対する healthcare.consentStores.list
datasets.consentStores.patch リクエストされた Consent Store に対する healthcare.consentStores.update
datasets.consentStores.queryAccessibleData リクエストされた Consent Store に対する healthcare.consentStores.queryAccessibleData
datasets.consentStores.setIamPolicy リクエストされた Consent Store に対する healthcare.consentStores.setIamPolicy
datasets.consentStores.attributeDefinitions.create 親 Consent Store に対する healthcare.attributeDefinitions.create
datasets.consentStores.attributeDefinitions.delete リクエストされた属性定義リソースに対する healthcare.attributeDefinitions.delete
datasets.consentStores.attributeDefinitions.get リクエストされた属性定義リソースに対する healthcare.attributeDefinitions.get
datasets.consentStores.attributeDefinitions.list 親 Consent Store に対する healthcare.attributeDefinitions.list
datasets.consentStores.attributeDefinitions.patch リクエストされた属性定義リソースに対する healthcare.attributeDefinitions.update
datasets.consentStores.consentArtifacts.create 親 Consent Store に対する healthcare.consentArtifacts.create
datasets.consentStores.consentArtifacts.delete リクエストされた同意アーティファクトのリソースに対する healthcare.consentArtifacts.delete
datasets.consentStores.consentArtifacts.get リクエストされた同意アーティファクトのリソースに対する healthcare.consentArtifacts.get
datasets.consentStores.consentArtifacts.list 親 Consent Store に対する healthcare.consentArtifacts.list
datasets.consentStores.consents.create 親 Consent Store に対する healthcare.consents.create
datasets.consentStores.consents.delete リクエストされた同意リソースに対する healthcare.consents.delete
datasets.consentStores.consents.get リクエストされた同意リソースに対する healthcare.consents.get
datasets.consentStores.consents.list 親 Consent Store に対する healthcare.consents.list
datasets.consentStores.consents.patch リクエストされた同意リソースに対する healthcare.consents.update
datasets.consentStores.consents.revoke リクエストされた同意リソースに対する healthcare.consents.revoke
datasets.consentStores.userDataMappings.archive リクエストされたユーザーデータのマッピングのリソースに対する healthcare.userDataMappings.archive
datasets.consentStores.userDataMappings.create 親 Consent Store に対する healthcare.userDataMappings.create
datasets.consentStores.userDataMappings.delete リクエストされたユーザーデータのマッピングのリソースに対する healthcare.userDataMappings.delete
datasets.consentStores.userDataMappings.get リクエストされたユーザーデータのマッピングのリソースに対する healthcare.userDataMappings.get
datasets.consentStores.userDataMappings.list 親 Consent Store に対する healthcare.userDataMappings.list
datasets.consentStores.userDataMappings.patch リクエストされたユーザーデータのマッピングのリソースに対する healthcare.userDataMappings.update

データセット メソッド

データセット メソッド 必要な権限
datasets.create 親 Google Cloud プロジェクトに対する healthcare.datasets.create
datasets.deidentify
  • ソース データセットに対する healthcare.datasets.deidentify
  • 宛先データセットを含む Google Cloud プロジェクトに対する healthcare.datasets.create
datasets.delete リクエストされたデータセットに対する healthcare.datasets.delete
datasets.get リクエストされたデータセットに対する healthcare.datasets.get
datasets.getIamPolicy リクエストされたデータセットに対する healthcare.datasets.getIamPolicy
datasets.list 親 Google Cloud プロジェクトに対する healthcare.datasets.list
datasets.patch リクエストされたデータセットに対する healthcare.datasets.update
datasets.setIAMPolicy リクエストされたデータセットに対する healthcare.datasets.setIamPolicy

DICOM ストアメソッド

DICOM ストアメソッド 必要な権限
datasets.dicomStores.create 親データセットに対する healthcare.dicomStores.create
datasets.dicomStores.deidentify
  • ソース DICOM ストアに対する healthcare.dicomStores.deidentify
  • 宛先の DICOM ストアに対する healthcare.dicomStores.dicomWebWrite
datasets.dicomStores.delete リクエストされた DICOM ストアに対する healthcare.dicomStores.delete
datasets.dicomStores.export
  • リクエストされた DICOM ストアに対する healthcare.dicomStores.export
  • Cloud Storage にエクスポートする場合: プロジェクトの Cloud Healthcare Service Agent サービス アカウントに付与された roles/storage.objectAdmin。手順については、Cloud Storage へのデータのエクスポートをご覧ください。
  • BigQuery にエクスポートする場合: プロジェクトの Cloud Healthcare Service Agent サービス アカウントに付与された roles/bigquery.dataEditorroles/bigquery.jobUser。手順については、DICOM ストアの BigQuery 権限をご覧ください。
datasets.dicomStores.get リクエストされた DICOM ストアに対する healthcare.dicomStores.get
datasets.dicomStores.getIamPolicy リクエストされた DICOM ストアに対する healthcare.dicomStores.getIamPolicy
datasets.dicomStores.import
  • リクエストされた DICOM ストアに対する healthcare.dicomStores.import
  • プロジェクトの Cloud Healthcare Service Agent サービス アカウントに付与された roles/storage.objectViewer。手順については、Cloud Storage からのデータのインポートをご覧ください。
datasets.dicomStores.list 親データセットに対する healthcare.dicomStores.list
datasets.dicomStores.patch リクエストされた DICOM ストアに対する healthcare.dicomStores.update
datasets.dicomStores.searchForInstances リクエストされた DICOM ストアに対する healthcare.dicomStores.dicomWebRead
datasets.dicomStores.searchForSeries リクエストされた DICOM ストアに対する healthcare.dicomStores.dicomWebRead
datasets.dicomStores.searchForStudies リクエストされた DICOM ストアに対する healthcare.dicomStores.dicomWebRead
datasets.dicomStores.setIamPolicy リクエストされた DICOM ストアに対する healthcare.dicomStores.setIamPolicy
datasets.dicomStores.storeInstances リクエストされた DICOM ストアに対する healthcare.dicomStores.dicomWebWrite
datasets.dicomStores.studies.delete リクエストされた DICOM ストアに対する healthcare.dicomStores.dicomWebDelete
datasets.dicomStores.studies.retrieveMetadata リクエストされた DICOM ストアに対する healthcare.dicomStores.dicomWebRead
datasets.dicomStores.studies.retrieveStudy リクエストされた DICOM ストアに対する healthcare.dicomStores.dicomWebRead
datasets.dicomStores.studies.searchForInstances リクエストされた DICOM ストアに対する healthcare.dicomStores.dicomWebRead
datasets.dicomStores.studies.searchForSeries リクエストされた DICOM ストアに対する healthcare.dicomStores.dicomWebRead
datasets.dicomStores.studies.storeInstances リクエストされた DICOM ストアに対する healthcare.dicomStores.dicomWebWrite
datasets.dicomStores.studies.series.delete リクエストされた DICOM ストアに対する healthcare.dicomStores.dicomWebDelete
datasets.dicomStores.studies.series.retrieveMetadata リクエストされた DICOM ストアに対する healthcare.dicomStores.dicomWebRead
datasets.dicomStores.studies.series.retrieveSeries リクエストされた DICOM ストアに対する healthcare.dicomStores.dicomWebRead
datasets.dicomStores.studies.series.searchForInstances リクエストされた DICOM ストアに対する healthcare.dicomStores.dicomWebRead
datasets.dicomStores.studies.series.instances.delete リクエストされた DICOM ストアに対する healthcare.dicomStores.dicomWebDelete
datasets.dicomStores.studies.series.instances.retrieveInstance リクエストされた DICOM ストアに対する healthcare.dicomStores.dicomWebRead
datasets.dicomStores.studies.series.instances.retrieveMetadata リクエストされた DICOM ストアに対する healthcare.dicomStores.dicomWebRead
datasets.dicomStores.studies.series.instances.retrieveRendered リクエストされた DICOM ストアに対する healthcare.dicomStores.dicomWebRead
datasets.dicomStores.studies.series.instances.frames.retrieveFrames リクエストされた DICOM ストアに対する healthcare.dicomStores.dicomWebRead
datasets.dicomStores.studies.series.instances.frames.retrieveRendered リクエストされた DICOM ストアに対する healthcare.dicomStores.dicomWebRead

FHIR ストアメソッド

FHIR ストアメソッド 必要な権限
datasets.fhirStores.create 親データセットに対する healthcare.fhirStores.create
datasets.fhirStores.deidentify
  • ソース FHIR ストアに対する healthcare.fhirStores.deidentify
  • 宛先の FHIR ストアに対する healthcare.fhirResources.update
datasets.fhirStores.delete リクエストされた FHIR ストアに対する healthcare.fhirStores.delete
datasets.fhirStores.export
  • リクエストされた FHIR ストアに対する healthcare.fhirStores.export
  • Cloud Storage にエクスポートする場合: プロジェクトの Cloud Healthcare Service Agent サービス アカウントに付与された storage.objects.createstorage.objects.deletestorage.objects.list。手順については、Cloud Storage への FHIR リソースのエクスポートをご覧ください。
  • BigQuery にエクスポートする場合: プロジェクトの Cloud Healthcare Service Agent サービス アカウントに付与された roles/bigquery.dataEditorroles/bigquery.jobUser。手順については、FHIR ストアの BigQuery 権限をご覧ください。
datasets.fhirStores.get リクエストされた FHIR ストアに対する healthcare.fhirStores.get
datasets.fhirStores.getIamPolicy リクエストされた FHIR ストアに対する healthcare.fhirStores.getIamPolicy
datasets.fhirStores.import
  • リクエストされた FHIR ストアに対する healthcare.fhirStores.import
  • プロジェクトの Cloud Healthcare Service Agent サービス アカウントに付与された storage.objects.getstorage.objects.list。手順については、Cloud Storage から FHIR リソースのインポートをご覧ください。
datasets.fhirStores.list 親データセットに対する healthcare.fhirStores.list
datasets.fhirStores.patch リクエストされた FHIR ストアに対する healthcare.fhirStores.update
datasets.fhirStores.configureSearch リクエストされた FHIR ストアに対する healthcare.fhirStores.configureSearch
datasets.fhirStores.setIamPolicy リクエストされた FHIR ストアに対する healthcare.fhirStores.setIamPolicy
datasets.fhirStores.fhir.Observation-lastn 親 FHIR ストアに対する healthcare.fhirStores.searchResources
datasets.fhirStores.fhir.Patient-everything 返された各リソースに対する healthcare.fhirResources.get
datasets.fhirStores.fhir.Resource-purge リクエストされた FHIR ストアリソースに対する healthcare.fhirResources.purge
datasets.fhirStores.fhir.capabilities リクエストされた FHIR ストアに対する healthcare.fhirStores.get
datasets.fhirStores.fhir.conditionalDelete
  • 親 FHIR ストアに対する healthcare.fhirStores.searchResources
  • リクエストされた FHIR ストアリソースに対する healthcare.fhirResources.delete
datasets.fhirStores.fhir.conditionalPatch
  • 親 FHIR ストアに対する healthcare.fhirStores.searchResources
  • リクエストされた FHIR ストアリソースに対する healthcare.fhirResources.patch
datasets.fhirStores.fhir.conditionalUpdate
  • 親 FHIR ストアに対する healthcare.fhirStores.searchResources
  • リクエストされた FHIR ストアリソースに対する healthcare.fhirResources.update
datasets.fhirStores.fhir.create
  • 条件付き作成インタラクションの場合: 親 FHIR ストアに対する healthcare.fhirResources.createhealthcare.fhirStores.searchResources
  • インタラクションの作成: 親 FHIR ストアに対する healthcare.fhirResources.create
datasets.fhirStores.fhir.delete リクエストされた FHIR ストアリソースに対する healthcare.fhirResources.delete
datasets.fhirStores.fhir.executeBundle リクエストされた FHIR ストアに対する healthcare.fhirResources.executeBundle、およびバンドル内の個別のオペレーションに対応する追加の権限(healthcare.fhirResources.createhealthcare.fhirResources.update など)。API 呼び出し元に healthcare.fhirResources.create 権限があり、healthcare.fhirResources.update 権限がない場合、呼び出し元は healthcare.fhirResources.create オペレーションを含むバンドルのみを実行できます。
datasets.fhirStores.fhir.history リクエストされた FHIR ストアリソースとその各バージョンに対する healthcare.fhirResources.get
datasets.fhirStores.fhir.patch リクエストされた FHIR ストアリソースに対する healthcare.fhirResources.patch
datasets.fhirStores.fhir.read リクエストされた FHIR ストアリソースに対する healthcare.fhirResources.get
datasets.fhirStores.fhir.search 親 FHIR ストアに対する healthcare.fhirStores.searchResources
datasets.fhirStores.fhir.update リクエストされた FHIR ストアリソースに対する healthcare.fhirResources.update
datasets.fhirStores.fhir.vread リクエストされた FHIR ストアリソースのバージョンに対する healthcare.fhirResources.get

HL7v2 ストアメソッド

HL7v2 ストアメソッド 必要な権限
datasets.hl7V2Stores.create 親データセットに対する healthcare.hl7V2Stores.create
datasets.hl7V2Stores.delete リクエストされた HL7v2 ストアに対する healthcare.hl7V2Stores.delete
datasets.hl7V2Stores.export リクエストされた HL7v2 ストアに対する healthcare.hl7V2Stores.export
datasets.hl7V2Stores.get リクエストされた HL7v2 ストアに対する healthcare.hl7V2Stores.get
datasets.hl7V2Stores.import リクエストされた HL7v2 ストアに対する healthcare.hl7V2Stores.import
datasets.hl7V2Stores.list 親データセットに対する healthcare.hl7V2Stores.list
datasets.hl7V2Stores.patch リクエストされた HL7v2 ストアに対する healthcare.hl7V2Stores.update
datasets.hl7V2Stores.getIamPolicy リクエストされた HL7v2 ストアに対する healthcare.hl7V2Stores.getIamPolicy
datasets.hl7V2Stores.setIamPolicy リクエストされた HL7v2 ストアに対する healthcare.hl7V2Stores.setIamPolicy
datasets.hl7V2Stores.messages.create 親 HL7v2 ストアに対する healthcare.hl7V2Messages.create
datasets.hl7V2Stores.messages.delete リクエストされた HL7v2 ストア メッセージに対する healthcare.hl7V2Messages.delete
datasets.hl7V2Stores.messages.get リクエストされた HL7v2 ストア メッセージに対する healthcare.hl7V2Messages.get
datasets.hl7V2Stores.messages.ingest リクエストされた HL7v2 ストア メッセージに対する healthcare.hl7V2Messages.ingest
datasets.hl7V2Stores.messages.list 親 HL7v2 ストアに対する healthcare.hl7V2Messages.list
datasets.hl7V2Stores.messages.patch リクエストされた HL7v2 ストア メッセージに対する healthcare.hl7V2Messages.update

ロケーション メソッド

ロケーション メソッド 必要な権限
locations.get リクエストされたロケーションに対する healthcare.locations.get
locations.list 親 Google Cloud プロジェクトに対する healthcare.locations.list

Healthcare Natural Language API メソッド

Healthcare Natural Language API メソッド 必要な権限
nlp.analyzeEntities healthcare.nlpservce.analyzeEntities

操作メソッド

オペレーション メソッド 必要な権限
datasets.operations.get リクエストされたデータセットに対する healthcare.operations.get
datasets.operations.list リクエストされたデータセットに対する healthcare.operations.list
datasets.operations.cancel リクエストされたデータセットに対する healthcare.operations.cancel

匿名化メソッド

匿名化メソッド 必要な権限
services.deidentify.deidentifyDicomInstance healthcare.deidentify.run
services.deidentify.deidentifyFhirResource healthcare.deidentify.run

役割

次の表に、Cloud Healthcare API IAM ロールと、各ロールに関連付けられた権限を示します。 roles/ownerroles/editorroles/viewer の各ロールには、他の Google Cloud サービスに対する権限が含まれています。ロールの詳細については、ロールについてをご覧ください。

アノテーションのロール

アノテーションのロール 権限

roles/healthcare.annotationStoreAdmin

Annotation ストアの管理。

1 つのオーナー権限を含む

healthcare.annotationStores.*

  • healthcare.annotationStores.create
  • healthcare.annotationStores.delete
  • healthcare.annotationStores.evaluate
  • healthcare.annotationStores.export
  • healthcare.annotationStores.get
  • healthcare.annotationStores.getIamPolicy
  • healthcare.annotationStores.import
  • healthcare.annotationStores.list
  • healthcare.annotationStores.setIamPolicy
  • healthcare.annotationStores.update

healthcare.datasets.get

healthcare.datasets.list

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

roles/healthcare.annotationStoreViewer

データセット内の Annotation ストアの一覧表示。

healthcare.annotationStores.get

healthcare.annotationStores.list

healthcare.datasets.get

healthcare.datasets.list

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

roles/healthcare.annotationReader

Annotation ストアのアノテーションの読み取りと一覧表示。

healthcare.annotationStores.get

healthcare.annotationStores.list

healthcare.annotations.get

healthcare.annotations.list

healthcare.datasets.get

healthcare.datasets.list

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

roles/healthcare.annotationEditor

アノテーションの作成、削除、更新、読み取り、一覧表示。

healthcare.annotationStores.get

healthcare.annotationStores.list

healthcare.annotations.*

  • healthcare.annotations.create
  • healthcare.annotations.delete
  • healthcare.annotations.get
  • healthcare.annotations.list
  • healthcare.annotations.update

healthcare.datasets.get

healthcare.datasets.list

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

Consent Store のロール 権限

roles/healthcare.consentStoreViewer

データセット内の Consent Store の一覧表示。

healthcare.consentStores.checkDataAccess

healthcare.consentStores.evaluateUserConsents

healthcare.consentStores.get

healthcare.consentStores.list

healthcare.consentStores.queryAccessibleData

healthcare.datasets.get

healthcare.datasets.list

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

roles/healthcare.consentStoreAdmin

Consent Store の管理。

1 つのオーナー権限を含む

healthcare.consentStores.*

  • healthcare.consentStores.checkDataAccess
  • healthcare.consentStores.create
  • healthcare.consentStores.delete
  • healthcare.consentStores.evaluateUserConsents
  • healthcare.consentStores.get
  • healthcare.consentStores.getIamPolicy
  • healthcare.consentStores.list
  • healthcare.consentStores.queryAccessibleData
  • healthcare.consentStores.setIamPolicy
  • healthcare.consentStores.update

healthcare.datasets.get

healthcare.datasets.list

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

同意のロール

同意のロール 権限

roles/healthcare.attributeDefinitionReader

Consent Store 内の AttributeDefinition オブジェクトの読み取り。

healthcare.attributeDefinitions.get

healthcare.attributeDefinitions.list

healthcare.consentStores.checkDataAccess

healthcare.consentStores.evaluateUserConsents

healthcare.consentStores.get

healthcare.consentStores.list

healthcare.consentStores.queryAccessibleData

healthcare.datasets.get

healthcare.datasets.list

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

roles/healthcare.attributeDefinitionEditor

AttributeDefinition オブジェクトの編集。

healthcare.attributeDefinitions.*

  • healthcare.attributeDefinitions.create
  • healthcare.attributeDefinitions.delete
  • healthcare.attributeDefinitions.get
  • healthcare.attributeDefinitions.list
  • healthcare.attributeDefinitions.update

healthcare.consentStores.checkDataAccess

healthcare.consentStores.evaluateUserConsents

healthcare.consentStores.get

healthcare.consentStores.list

healthcare.consentStores.queryAccessibleData

healthcare.datasets.get

healthcare.datasets.list

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

roles/healthcare.consentArtifactReader

Consent Store 内の ConsentArtifact オブジェクトの読み取り。

healthcare.consentArtifacts.get

healthcare.consentArtifacts.list

healthcare.consentStores.checkDataAccess

healthcare.consentStores.evaluateUserConsents

healthcare.consentStores.get

healthcare.consentStores.list

healthcare.consentStores.queryAccessibleData

healthcare.datasets.get

healthcare.datasets.list

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

roles/healthcare.consentArtifactEditor

ConsentArtifact オブジェクトの編集。

healthcare.consentArtifacts.create

healthcare.consentArtifacts.get

healthcare.consentArtifacts.list

healthcare.consentStores.checkDataAccess

healthcare.consentStores.evaluateUserConsents

healthcare.consentStores.get

healthcare.consentStores.list

healthcare.consentStores.queryAccessibleData

healthcare.datasets.get

healthcare.datasets.list

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

roles/healthcare.consentArtifactAdmin

ConsentArtifact オブジェクトの管理。

healthcare.consentArtifacts.*

  • healthcare.consentArtifacts.create
  • healthcare.consentArtifacts.delete
  • healthcare.consentArtifacts.get
  • healthcare.consentArtifacts.list

healthcare.consentStores.checkDataAccess

healthcare.consentStores.evaluateUserConsents

healthcare.consentStores.get

healthcare.consentStores.list

healthcare.consentStores.queryAccessibleData

healthcare.datasets.get

healthcare.datasets.list

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

roles/healthcare.consentReader

Consent Store 内の Consent オブジェクトの読み取り。

healthcare.consentStores.checkDataAccess

healthcare.consentStores.evaluateUserConsents

healthcare.consentStores.get

healthcare.consentStores.list

healthcare.consentStores.queryAccessibleData

healthcare.consents.get

healthcare.consents.list

healthcare.datasets.get

healthcare.datasets.list

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

roles/healthcare.consentEditor

Consent オブジェクトの編集。

healthcare.consentStores.checkDataAccess

healthcare.consentStores.evaluateUserConsents

healthcare.consentStores.get

healthcare.consentStores.list

healthcare.consentStores.queryAccessibleData

healthcare.consents.*

  • healthcare.consents.activate
  • healthcare.consents.create
  • healthcare.consents.delete
  • healthcare.consents.get
  • healthcare.consents.list
  • healthcare.consents.reject
  • healthcare.consents.revoke
  • healthcare.consents.update

healthcare.datasets.get

healthcare.datasets.list

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

roles/healthcare.userDataMappingReader

Consent Store 内の UserDataMapping オブジェクトの読み取り。

healthcare.consentStores.checkDataAccess

healthcare.consentStores.evaluateUserConsents

healthcare.consentStores.get

healthcare.consentStores.list

healthcare.consentStores.queryAccessibleData

healthcare.datasets.get

healthcare.datasets.list

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.get

healthcare.userDataMappings.get

healthcare.userDataMappings.list

resourcemanager.projects.get

resourcemanager.projects.list

roles/healthcare.userDataMappingEditor

UserDataMapping オブジェクトを編集します。

healthcare.consentStores.checkDataAccess

healthcare.consentStores.evaluateUserConsents

healthcare.consentStores.get

healthcare.consentStores.list

healthcare.consentStores.queryAccessibleData

healthcare.datasets.get

healthcare.datasets.list

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.get

healthcare.userDataMappings.*

  • healthcare.userDataMappings.archive
  • healthcare.userDataMappings.create
  • healthcare.userDataMappings.delete
  • healthcare.userDataMappings.get
  • healthcare.userDataMappings.list
  • healthcare.userDataMappings.update

resourcemanager.projects.get

resourcemanager.projects.list

データセットのロール

データセットの役割 権限

roles/healthcare.datasetViewer

プロジェクト内の Healthcare Datasets の一覧表示。

healthcare.datasets.get

healthcare.datasets.list

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

roles/healthcare.datasetAdmin

Healthcare Dataset の管理。

1 つのオーナー権限を含む

healthcare.datasets.*

  • healthcare.datasets.create
  • healthcare.datasets.deidentify
  • healthcare.datasets.delete
  • healthcare.datasets.get
  • healthcare.datasets.getIamPolicy
  • healthcare.datasets.list
  • healthcare.datasets.setIamPolicy
  • healthcare.datasets.update

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.*

  • healthcare.operations.cancel
  • healthcare.operations.get
  • healthcare.operations.list

resourcemanager.projects.get

resourcemanager.projects.list

DICOM ストアのロール

DICOM ストアの役割 権限

roles/healthcare.dicomStoreViewer

データセット内の DICOM ストアの一覧表示。

healthcare.datasets.get

healthcare.datasets.list

healthcare.dicomStores.get

healthcare.dicomStores.list

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

roles/healthcare.dicomStoreAdmin

DICOM ストアの管理。

1 つのオーナー権限を含む

healthcare.datasets.get

healthcare.datasets.list

healthcare.dicomStores.create

healthcare.dicomStores.deidentify

healthcare.dicomStores.delete

healthcare.dicomStores.dicomWebDelete

healthcare.dicomStores.get

healthcare.dicomStores.getIamPolicy

healthcare.dicomStores.list

healthcare.dicomStores.setIamPolicy

healthcare.dicomStores.update

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.cancel

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

roles/healthcare.dicomViewer

DICOM ストアからの DICOM イメージの取得。

healthcare.datasets.get

healthcare.datasets.list

healthcare.dicomStores.dicomWebRead

healthcare.dicomStores.export

healthcare.dicomStores.get

healthcare.dicomStores.list

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

roles/healthcare.dicomEditor

DICOM イメージの個別編集または一括編集。

healthcare.datasets.get

healthcare.datasets.list

healthcare.dicomStores.dicomWebDelete

healthcare.dicomStores.dicomWebRead

healthcare.dicomStores.dicomWebWrite

healthcare.dicomStores.export

healthcare.dicomStores.get

healthcare.dicomStores.import

healthcare.dicomStores.list

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.cancel

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

FHIR ストアのロール

FHIR ストアの役割 権限

roles/healthcare.fhirStoreViewer

データセット内の FHIR ストアの一覧表示。

healthcare.datasets.get

healthcare.datasets.list

healthcare.fhirStores.get

healthcare.fhirStores.list

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

roles/healthcare.fhirStoreAdmin

FHIR リソースストアの管理権限。

1 つのオーナー権限を含む

healthcare.datasets.get

healthcare.datasets.list

healthcare.fhirResources.purge

healthcare.fhirStores.configureSearch

healthcare.fhirStores.create

healthcare.fhirStores.deidentify

healthcare.fhirStores.delete

healthcare.fhirStores.export

healthcare.fhirStores.get

healthcare.fhirStores.getIamPolicy

healthcare.fhirStores.import

healthcare.fhirStores.list

healthcare.fhirStores.setIamPolicy

healthcare.fhirStores.update

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.cancel

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

roles/healthcare.fhirResourceReader

FHIR リソースの読み取りと検索。

healthcare.datasets.get

healthcare.datasets.list

healthcare.fhirResources.get

healthcare.fhirResources.translateConceptMap

healthcare.fhirStores.executeBundle

healthcare.fhirStores.get

healthcare.fhirStores.list

healthcare.fhirStores.searchResources

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

roles/healthcare.fhirResourceEditor

FHIR リソースの作成、削除、更新、読み取り、検索。

healthcare.datasets.get

healthcare.datasets.list

healthcare.fhirResources.create

healthcare.fhirResources.delete

healthcare.fhirResources.get

healthcare.fhirResources.patch

healthcare.fhirResources.translateConceptMap

healthcare.fhirResources.update

healthcare.fhirStores.executeBundle

healthcare.fhirStores.get

healthcare.fhirStores.list

healthcare.fhirStores.searchResources

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.cancel

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

HL7v2 ストアのロール

HL7v2 ストアの役割 権限

roles/healthcare.hl7V2StoreViewer

データセット内の HL7v2 ストアの表示。

healthcare.datasets.get

healthcare.datasets.list

healthcare.hl7V2Stores.get

healthcare.hl7V2Stores.list

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

roles/healthcare.hl7V2StoreAdmin

HL7v2 ストアの管理。

1 つのオーナー権限を含む

healthcare.datasets.get

healthcare.datasets.list

healthcare.hl7V2Stores.*

  • healthcare.hl7V2Stores.create
  • healthcare.hl7V2Stores.delete
  • healthcare.hl7V2Stores.get
  • healthcare.hl7V2Stores.getIamPolicy
  • healthcare.hl7V2Stores.import
  • healthcare.hl7V2Stores.list
  • healthcare.hl7V2Stores.setIamPolicy
  • healthcare.hl7V2Stores.update

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.cancel

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

roles/healthcare.hl7V2Ingest

ソース ネットワークから受信した HL7v2 メッセージの取り込み。

healthcare.datasets.get

healthcare.datasets.list

healthcare.hl7V2Messages.ingest

healthcare.hl7V2Stores.get

healthcare.hl7V2Stores.list

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

roles/healthcare.hl7V2Consumer

HL7v2 メッセージの一覧表示と読み取り、メッセージ ラベルの更新、新しいメッセージの公開。

healthcare.datasets.get

healthcare.datasets.list

healthcare.hl7V2Messages.create

healthcare.hl7V2Messages.get

healthcare.hl7V2Messages.list

healthcare.hl7V2Messages.update

healthcare.hl7V2Stores.get

healthcare.hl7V2Stores.list

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

roles/healthcare.hl7V2Editor

HL7v2 メッセージの読み取り、書き込み、削除。

healthcare.datasets.get

healthcare.datasets.list

healthcare.hl7V2Messages.*

  • healthcare.hl7V2Messages.create
  • healthcare.hl7V2Messages.delete
  • healthcare.hl7V2Messages.get
  • healthcare.hl7V2Messages.ingest
  • healthcare.hl7V2Messages.list
  • healthcare.hl7V2Messages.update

healthcare.hl7V2Stores.get

healthcare.hl7V2Stores.list

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.operations.cancel

healthcare.operations.get

resourcemanager.projects.get

resourcemanager.projects.list

Healthcare Natural Language API ロール

Healthcare Natural Language API ロール 権限

roles/healthcare.nlpServiceViewer

指定されたテキストから医療エンティティを抽出し、分析します。

healthcare.locations.*

  • healthcare.locations.get
  • healthcare.locations.list

healthcare.nlpservice.analyzeEntities

resourcemanager.projects.get

resourcemanager.projects.list

Cloud Healthcare サービス エージェント

Cloud Healthcare サービス エージェントは、Cloud Healthcare API が Google Cloud の他のリソースとやり取りするために使用するプロジェクト内の共有サービス アカウントです。

たとえば、このサービス エージェントは、Cloud Storage バケットに対する読み取りと書き込み、BigQuery への書き込み、Cloud Healthcare API からの Pub/Sub へのメッセージの公開に使用されます。

上記のアクションを実行するには、関連する Cloud Storage バケット、BigQuery データセット、または Pub/Sub トピックに Cloud Healthcare サービス エージェントへのアクセス権を付与する必要があります。

プロジェクトの権限モデルを作成する際、以下のロールのいずれかを付与すると、ユーザーは、Cloud Healthcare Service Agent として実行され、このエージェントがアクセス権を持つデータに対しアクセスできるオペレーションを呼び出すことができます。

  • roles/healthcare.consentStoreAdmin
  • roles/healthcare.consentStoreViewer
  • roles/healthcare.dicomStoreEditor
  • roles/healthcare.dicomStoreViewer
  • roles/healthcare.fhirStoreAdmin
  • roles/healthcare.hl7V2StoreAdmin

同様に、カスタムのロールに次の権限を割り当てた場合も、ユーザーは Cloud Healthcare サービス エージェントとして実行されるオペレーションを呼び出すことができます。

  • healthcare.consentStores.queryAccessibleData
  • healthcare.dicomStores.create
  • healthcare.dicomStores.update
  • healthcare.dicomStores.import
  • healthcare.dicomStores.export
  • healthcare.fhirStores.create
  • healthcare.fhirStores.update
  • healthcare.fhirStores.import
  • healthcare.fhirStores.export
  • healthcare.hl7V2Stores.create
  • healthcare.hl7V2Stores.update

次に例を示します。

  • ユーザーにインポート権限がある場合、Cloud Healthcare サービス エージェントが読み取りアクセス権を持つ Cloud Storage バケットにオペレーションがアクセスすると、Cloud Healthcare サービス エージェントとして機能するオペレーションを実行できます。
  • ユーザーにエクスポート権限がある場合、サービス エージェントが書き込みアクセス権を持つバケットにオペレーションがアクセスすると、Cloud Healthcare サービス エージェントとして機能するオペレーションを実行できます。
  • データストアの作成権限または更新権限を持つユーザーは、データストアの変更時に Cloud Healthcare サービス エージェントから送信される Pub/Sub 通知ターゲットまたは BigQuery ストリーミングの宛先を構成できます。

複数のプロジェクトを活用して、Cloud Healthcare サービス エージェントに付与された権限をさらに分離することをおすすめします。