Como gerenciar permissões entre a API Cloud Healthcare e outros produtos do Google Cloud

A API Cloud Healthcare não tem acesso automático a outros recursos do Google Cloud no projeto, como buckets do Cloud Storage e conjuntos de dados do BigQuery. Ao acessar esses recursos, a API Cloud Healthcare usa um agente de serviço chamado Agente de serviço do Cloud Healthcare.

Para realizar operações como notificar tópicos do Pub/Sub sobre alterações, importar dados de buckets do Cloud Storage, exportar dados para conjuntos de dados do BigQuery e assim por diante, primeiro conceda à conta de serviço as permissões de gerenciamento de identidade e acesso (IAM) necessárias para acessar o recursos fora da API Cloud Healthcare. Esta página descreve quais permissões são necessárias para as várias operações e como concedê-las.

Para saber mais sobre como usar o IAM para configurar permissões na API Cloud Healthcare, consulte Controle de acesso.

O Agente de serviço do Cloud Healthcare

A conta de serviço do Agente de serviço do Cloud Healthcare é criada automaticamente depois que você ativa a API Cloud Healthcare. O nome do membro é service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. Para encontrar o PROJECT_NUMBER do seu projeto do Google Cloud, consulte Como identificar projetos.

Para informações detalhadas sobre a conta de serviço do Agente de serviço da API Cloud Healthcare, como os papéis que foram concedidos, acesse a página Identity and Access Management no console do Google Cloud.

Para saber mais sobre o Agente de serviço do Cloud Healthcare e a interação com papéis e permissões do gerenciamento de identidade e acesso (IAM), consulte Controle de acesso.

Permissões da CMEK do conjunto de dados

É possível usar uma chave de criptografia gerenciada pelo cliente (CMEK) ao criar um conjunto de dados da API Cloud Healthcare. Para permitir que a conta de serviço do Agente de serviço do Cloud Healthcare criptografe e descriptografe objetos usando a chave CMEK, conceda à conta de serviço o papel Criptografador/Descriptografador do CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter).

Console

  1. No console do Google Cloud, abra a página IAM.

    Acessar IAM

  2. Marque a caixa de seleção Incluir concessões de papel fornecidas pelo Google.

  3. Verifique se a guia Visualizar por principais está selecionada. Localize a linha que contém a conta de serviço do Agente de serviço do Cloud Healthcare e clique em Editar principal nessa linha. O painel Editar permissões é exibido.

  4. Clique em Adicionar outro papel.

  5. No menu suspenso Selecionar uma função, pesquise e clique em Criptografador/Descriptografador de CryptoKey.

  6. Clique em Salvar.

Permissões do Pub/Sub para armazenamento DICOM, FHIR e HL7v2

As alterações nos armazenamentos DICOM, FHIR e HL7v2 podem ser enviadas para um tópico do Pub/Sub. Para mais informações, consulte Como usar o Cloud Pub/Sub para notificações.

Os métodos nesses armazenamentos exigem permissões adicionais na conta de serviço Agente de serviço do Cloud Healthcare para publicar alterações em um tópico do Pub/Sub.

Use o console do Google Cloud ou a CLI gcloud para adicionar o papel pubsub.publisher à conta de serviço do seu projeto:

Console

  1. Verifique se você ativou a API Cloud Healthcare.
  2. Na página do IAM no Console do Google Cloud, verifique se o papel Agente de serviço da Healthcare aparece na coluna Papel da conta de serviço Agente de serviço da API Cloud Healthcare. O identificador da conta de serviço é service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Na coluna Herança que corresponde ao papel, clique no ícone de lápis. O painel Editar permissões é aberto.
  4. Clique em Adicionar outro papel e pesquise o papel Editor do Pub/Sub.
  5. Selecione o papel e clique em Salvar. O papel pubsub.publisher é adicionado à conta de serviço.

gcloud

Para adicionar as permissões da conta de serviço, execute o comando gcloud projects add-iam-policy-binding. Para encontrar PROJECT_ID e PROJECT_NUMBER, consulte Como identificar projetos.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/pubsub.publisher

Configurar permissões do Pub/Sub entre projetos

Para publicar notificações do Pub/Sub em um tópico em outro projeto, conceda à conta de serviço do Agente de serviço do Cloud Healthcare o papel pubsub.publisher no tópico. Para mais informações, consulte Controlar o acesso pelo console do Google Cloud e Controlar o acesso pela API IAM.

Para conferir um exemplo de publicação de notificações do Pub/Sub entre projetos, consulte Exemplo de caso de uso: comunicação entre projetos.

Permissões do Cloud Storage para armazenamento DICOM

Os métodos projects.locations.datasets.dicomStores.import e projects.locations.datasets.dicomStores.export exigem permissões adicionais na conta de serviço Agente de serviço do Cloud Healthcare para importar e exportar dados para o Cloud Storage.

Como importar dados do Cloud Storage

Use o console do Google Cloud ou a CLI gcloud para adicionar o papel storage.objectViewer necessário à conta de serviço do seu projeto.

Console

  1. Verifique se você ativou a API Cloud Healthcare.
  2. Na página do IAM no console do Google Cloud, verifique se o papel Agente de serviço da Healthcare aparece na coluna Papel da conta de serviço do agente de serviço da Cloud Healthcare. O identificador da conta de serviço é service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Na coluna Herança que corresponde ao papel, clique no ícone de lápis. O painel Editar permissões é aberto.
  4. Clique em Adicionar outro papel e pesquise o papel Leitor de objetos do Storage.
  5. Selecione o papel e clique em Salvar. O papel storage.objectViewer é adicionado à conta de serviço.

gcloud

Para adicionar as permissões da conta de serviço, execute o comando gcloud projects add-iam-policy-binding. Para encontrar PROJECT_ID e PROJECT_NUMBER, consulte Como identificar projetos.
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/storage.objectViewer 

Como exportar dados para o Cloud Storage

Use o console do Google Cloud ou a CLI gcloud para adicionar o papel storage.objectAdmin necessário à conta de serviço do projeto:

Console

  1. Verifique se você ativou a API Cloud Healthcare.
  2. Na página do IAM no console do Google Cloud, verifique se o papel Agente de serviço da Healthcare aparece na coluna Papel da conta de serviço do agente de serviço da Cloud Healthcare. O identificador da conta de serviço é service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Na coluna Herança que corresponde ao papel, clique no ícone de lápis. O painel Editar permissões é aberto.
  4. Clique em Adicionar outro papel e pesquise o papel Administrador de objetos do Storage.
  5. Selecione o papel e clique em Salvar. O papel storage.objectAdmin é adicionado à conta de serviço.

gcloud

Para adicionar as permissões da conta de serviço, execute o comando gcloud projects add-iam-policy-binding. Para encontrar PROJECT_ID e PROJECT_NUMBER, consulte Como identificar projetos.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/storage.objectAdmin

Permissões do BigQuery para armazenamento DICOM

O método projects.locations.datasets.dicomStores.export requer permissões adicionais na conta de serviço Agente de serviço do Cloud Healthcare para exportar metadados do DICOM para o BigQuery. Você também precisa conceder acesso WRITER para o conjunto de dados do BigQuery à conta de serviço Agente de serviço do Cloud Healthcare.

Como conceder permissões à conta de serviço Agente de serviço do Cloud Healthcare

Use o console do Google Cloud ou a CLI gcloud para adicionar os papéis bigquery.dataEditor e bigquery.jobUser necessários à conta de serviço do seu projeto.

Console

  1. Verifique se você ativou a API Cloud Healthcare.
  2. Na página do IAM no console do Google Cloud, verifique se o papel Agente de serviço da Healthcare aparece na coluna Papel da conta de serviço do agente de serviço da Cloud Healthcare. O identificador da conta de serviço é service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Na coluna Herança que corresponde ao papel, clique no ícone de lápis. O painel Editar permissões é aberto.
  4. Clique em Adicionar outro papel e pesquise os papéis Editor de dados do BigQuery e Usuário do job do BigQuery.
  5. Selecione cada papel e clique em Salvar. Em seguida, os papéis bigquery.dataEditor e bigquery.jobUser são adicionados à conta de serviço.

gcloud

Para adicionar as permissões da conta de serviço, execute o comando gcloud projects add-iam-policy-binding. Para encontrar PROJECT_ID e PROJECT_NUMBER, consulte Como identificar projetos.

  1. Conceda o papel roles/bigquery.dataEditor:

    Antes de usar os dados do comando abaixo, faça estas substituições:

    • PROJECT_ID: o ID do seu projeto do Google Cloud;
    • PROJECT_NUMBER: o número do seu projeto do Google Cloud

    Execute o seguinte comando:

    Linux, macOS ou Cloud Shell

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
        --role=roles/bigquery.dataEditor

    Windows (PowerShell)

    gcloud projects add-iam-policy-binding PROJECT_ID `
        --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com `
        --role=roles/bigquery.dataEditor

    Windows (cmd.exe)

    gcloud projects add-iam-policy-binding PROJECT_ID ^
        --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^
        --role=roles/bigquery.dataEditor

    Você receberá uma resposta semelhante a esta:

    Updated IAM policy for project [PROJECT_ID].
    bindings:
    ...
    - members:
      - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
      role: roles/bigquery.dataEditor
    ...
    etag: ETAG
    version: VERSION
    

  2. Conceda o papel roles/bigquery.jobUser:

    Antes de usar os dados do comando abaixo, faça estas substituições:

    • PROJECT_ID: o ID do seu projeto do Google Cloud;
    • PROJECT_NUMBER: o número do seu projeto do Google Cloud

    Execute o seguinte comando:

    Linux, macOS ou Cloud Shell

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
        --role=roles/bigquery.jobUser

    Windows (PowerShell)

    gcloud projects add-iam-policy-binding PROJECT_ID `
        --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com `
        --role=roles/bigquery.jobUser

    Windows (cmd.exe)

    gcloud projects add-iam-policy-binding PROJECT_ID ^
        --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^
        --role=roles/bigquery.jobUser

    Você receberá uma resposta semelhante a esta:

    Updated IAM policy for project [PROJECT_ID].
    bindings:
    ...
    - members:
      - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
      role: roles/bigquery.jobUser
    ...
    etag: ETAG
    version: VERSION
    

Como conceder acesso WRITER ao conjunto de dados do BigQuery

Se você adicionou os papéis bigquery.dataEditor e bigquery.jobUser à conta de serviço do seu projeto, terá acesso de WRITER para todos os conjuntos de dados do BigQuery. No entanto, se você não adicionou esses papéis e precisar de acesso WRITER a um único conjunto de dados do BigQuery, pode conceder acesso WRITER apenas para esse conjunto de dados. Para conceder acesso WRITER a um conjunto de dados do BigQuery, conclua as etapas a seguir:
  1. Navegue até Como controlar o acesso a um conjunto de dados.
  2. Usando um dos métodos disponíveis, conceda ao endereço de e-mail do Agente de serviço do Cloud Healthcare o acesso WRITER ao conjunto de dados do BigQuery. Procure o endereço de e-mail que termina com @gcp-sa-healthcare.iam.gserviceaccount.com.

Por exemplo, se o endereço de e-mail do Agente de serviço do Cloud Healthcare for service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com e, se você estiver usando a IU da Web do BigQuery:

  1. Siga as instruções do Console.
  2. No campo Adicionar principais, digite service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com e selecione o papel bigquery.dataEditor.

Como exportar metadados do DICOM entre projetos do Google Cloud

Para exportar metadados do DICOM de um armazenamento DICOM em um projeto para uma tabela do BigQuery em um projeto diferente, adicione a conta de serviço Agente de serviço do Cloud Healthcare ao projeto de destino e conceda a essa conta os papéis bigquery.dataEditor e bigquery.jobUser no projeto de destino.

Para encontrar a conta de serviço Agente de serviço do Cloud Healthcare do projeto de origem, siga estas etapas:

  1. Verifique se você ativou a API Cloud Healthcare.
  2. Na página do IAM no console do Google Cloud, verifique se o papel Agente de serviço da Healthcare aparece na coluna Papel da conta de serviço Agente de serviço da API Cloud Healthcare. O identificador da conta de serviço é service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. Anote esse endereço no projeto de origem, pois ele será usado nas etapas a seguir.

Adicione a conta de serviço Agente de serviço do Cloud Healthcare do projeto de origem ao projeto de destino e conceda a essa conta as permissões necessárias do BigQuery seguindo estas etapas:

Console

  1. Abra a página do IAM do projeto de destino no console do Google Cloud.
  2. Clique em Adicionar.
  3. No campo Novos membros, digite o endereço da conta de serviço Agente de serviço do Cloud Healthcare do projeto de origem.
  4. Clique em Adicionar outro papel e pesquise os papéis Editor de dados do BigQuery e Usuário do job do BigQuery.
  5. Selecione o papel e clique em Salvar. A conta de serviço Agente de serviço do Cloud Healthcare do projeto de origem agora tem os papéis bigquery.dataEditor e bigquery.jobUser no projeto de destino.

gcloud

Para adicionar a conta de serviço Agente de serviço do Cloud Healthcare do projeto de origem ao projeto de destino e conceder a essa conta as permissões necessárias do BigQuery, execute o comando gcloud projects add-iam-policy-binding. Para encontrar o ID e o número dos projetos de origem e de destino, consulte Como identificar projetos.

gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \
    --member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/bigquery.dataEditor
gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \
    --member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/bigquery.jobUser

Conclua as etapas em Como conceder acesso WRITER ao conjunto de dados do BigQuery para permitir que o projeto de origem grave no conjunto de dados de destino.

Permissões do Cloud Storage para armazenamento FHIR

As seções a seguir descrevem métodos do FHIR que exigem permissões adicionais no Agente de serviço do Cloud Healthcare para ler ou gravar no Cloud Storage.

Como importar recursos do FHIR do Cloud Storage

O método projects.locations.datasets.fhirStores.import requer as seguintes permissões na conta de serviço Agente de serviço do Cloud Healthcare:

  • storage.objects.get
  • storage.objects.list

Essas permissões estão incluídas no papel predefinido storage.objectViewer.

Também é possível adicionar as permissões a um papel personalizado ou incluí-las em outros papéis básicos.

Use o console do Google Cloud ou a CLI gcloud para adicionar o papel storage.objectViewer necessário à conta de serviço do seu projeto.

Console

  1. Verifique se você ativou a API Cloud Healthcare.
  2. Na página do IAM no console do Google Cloud, verifique se o papel Agente de serviço da Healthcare aparece na coluna Papel da conta de serviço do agente de serviço da Cloud Healthcare. O identificador da conta de serviço é service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Na coluna Herança que corresponde ao papel, clique no ícone de lápis. O painel Editar permissões é aberto.
  4. Clique em Adicionar outro papel e pesquise o papel Leitor de objetos do Storage.
  5. Selecione o papel e clique em Salvar. O papel storage.objectViewer é adicionado à conta de serviço.

gcloud

Para adicionar as permissões da conta de serviço, execute o comando gcloud projects add-iam-policy-binding. Para encontrar PROJECT_ID e PROJECT_NUMBER, consulte Como identificar projetos.
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/storage.objectViewer 

Como exportar recursos do FHIR para o Cloud Storage

Para usar o método projects.locations.datasets.fhirStores.export, é necessário ter as seguintes permissões na conta de serviço Agente de serviço do Cloud Healthcare:

  • storage.objects.create
  • storage.objects.delete
  • storage.objects.list

Essas permissões estão incluídas no papel predefinido storage.objectAdmin.

Também é possível adicionar as permissões a um papel personalizado ou elas podem ser incluídas em outros papéis básicos.

Para conceder à conta de serviço o papel storage.objectAdmin, siga estas etapas:

Console

  1. Verifique se você ativou a API Cloud Healthcare.
  2. Na página do IAM no console do Google Cloud, verifique se o papel Agente de serviço da Healthcare aparece na coluna Papel da conta de serviço do agente de serviço da Cloud Healthcare. O identificador da conta de serviço é service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Na coluna Herança que corresponde ao papel, clique no ícone de lápis. O painel Editar permissões é aberto.
  4. Clique em Adicionar outro papel e pesquise o papel Criador de objetos do Storage.
  5. Selecione o papel e clique em Salvar. O papel storage.objectAdmin é adicionado à conta de serviço.

gcloud

Para adicionar as permissões da conta de serviço, execute o comando gcloud projects add-iam-policy-binding. Para encontrar PROJECT_ID e PROJECT_NUMBER, consulte Como identificar projetos.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/storage.objectAdmin

Ler arquivos de filtro do Cloud Storage

O método projects.locations.datasets.fhirStores.rollback requer as seguintes permissões na conta de serviço do Agente de serviço do Cloud Healthcare para ler arquivos de filtro do Cloud Storage:

  • storage.objects.get
  • storage.objects.list

Essas permissões estão incluídas no papel predefinido storage.objectViewer.

Também é possível adicionar as permissões a um papel personalizado ou incluí-las em outros papéis básicos.

Para conceder o papel storage.objectViewer à conta de serviço, siga estas etapas:

Gravar arquivos de saída no Cloud Storage

O método projects.locations.datasets.fhirStores.rollback requer as seguintes permissões na conta de serviço do Agente de serviço do Cloud Healthcare para gravar arquivos de saída no Cloud Storage:

  • storage.objects.create
  • storage.objects.delete
  • storage.objects.get
  • storage.objects.list

Essas permissões estão incluídas no papel predefinido storage.objectAdmin.

Também é possível adicionar as permissões a um papel personalizado ou elas podem ser incluídas em outros papéis básicos.

Para conceder o papel storage.objectAdmin à conta de serviço, siga estas etapas:

Permissões do BigQuery para armazenamento FHIR

O método projects.locations.datasets.fhirStores.export requer permissões adicionais na conta de serviço Agente de serviço do Cloud Healthcare para exportar recursos do FHIR para o BigQuery. Você também precisa conceder acesso WRITER para o conjunto de dados do BigQuery à conta de serviço Agente de serviço do Cloud Healthcare.

Como conceder permissões à conta de serviço Agente de serviço do Cloud Healthcare

Console

  1. Verifique se você ativou a API Cloud Healthcare.
  2. Na página do IAM no console do Google Cloud, verifique se o papel Agente de serviço da Healthcare aparece na coluna Papel da conta de serviço do agente de serviço da Cloud Healthcare. O identificador da conta de serviço é service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Na coluna Herança que corresponde ao papel, clique no ícone de lápis. O painel Editar permissões é aberto.
  4. Clique em Adicionar outro papel e pesquise os papéis Editor de dados do BigQuery e Usuário do job do BigQuery.
  5. Selecione cada papel e clique em Salvar. Em seguida, os papéis bigquery.dataEditor e bigquery.jobUser são adicionados à conta de serviço.

gcloud

Para adicionar as permissões da conta de serviço, execute o comando gcloud projects add-iam-policy-binding. Para encontrar PROJECT_ID e PROJECT_NUMBER, consulte Como identificar projetos.

  1. Conceda o papel roles/bigquery.dataEditor:

    Antes de usar os dados do comando abaixo, faça estas substituições:

    • PROJECT_ID: o ID do seu projeto do Google Cloud;
    • PROJECT_NUMBER: o número do seu projeto do Google Cloud

    Execute o seguinte comando:

    Linux, macOS ou Cloud Shell

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
        --role=roles/bigquery.dataEditor

    Windows (PowerShell)

    gcloud projects add-iam-policy-binding PROJECT_ID `
        --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com `
        --role=roles/bigquery.dataEditor

    Windows (cmd.exe)

    gcloud projects add-iam-policy-binding PROJECT_ID ^
        --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^
        --role=roles/bigquery.dataEditor

    Você receberá uma resposta semelhante a esta:

    Updated IAM policy for project [PROJECT_ID].
    bindings:
    ...
    - members:
      - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
      role: roles/bigquery.dataEditor
    ...
    etag: ETAG
    version: VERSION
    

  2. Conceda o papel roles/bigquery.jobUser:

    Antes de usar os dados do comando abaixo, faça estas substituições:

    • PROJECT_ID: o ID do seu projeto do Google Cloud;
    • PROJECT_NUMBER: o número do seu projeto do Google Cloud

    Execute o seguinte comando:

    Linux, macOS ou Cloud Shell

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
        --role=roles/bigquery.jobUser

    Windows (PowerShell)

    gcloud projects add-iam-policy-binding PROJECT_ID `
        --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com `
        --role=roles/bigquery.jobUser

    Windows (cmd.exe)

    gcloud projects add-iam-policy-binding PROJECT_ID ^
        --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^
        --role=roles/bigquery.jobUser

    Você receberá uma resposta semelhante a esta:

    Updated IAM policy for project [PROJECT_ID].
    bindings:
    ...
    - members:
      - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
      role: roles/bigquery.jobUser
    ...
    etag: ETAG
    version: VERSION
    

Como conceder acesso WRITER ao conjunto de dados do BigQuery

Se você adicionou os papéis bigquery.dataEditor e bigquery.jobUser à conta de serviço do seu projeto, terá acesso de WRITER para todos os conjuntos de dados do BigQuery. No entanto, se você não adicionou esses papéis e precisar de acesso WRITER a um único conjunto de dados do BigQuery, pode conceder acesso WRITER apenas para esse conjunto de dados. Para conceder acesso WRITER a um conjunto de dados do BigQuery, conclua as etapas a seguir:
  1. Navegue até Como controlar o acesso a um conjunto de dados.
  2. Usando um dos métodos disponíveis, conceda ao endereço de e-mail do Agente de serviço do Cloud Healthcare o acesso WRITER ao conjunto de dados do BigQuery. Procure o endereço de e-mail que termina com @gcp-sa-healthcare.iam.gserviceaccount.com.

Por exemplo, se o endereço de e-mail do Agente de serviço do Cloud Healthcare for service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com e, se você estiver usando a IU da Web do BigQuery:

  1. Siga as instruções do Console.
  2. No campo Adicionar principais, digite service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com e selecione o papel bigquery.dataEditor.

O HL7v2 armazena permissões do Cloud Storage

Os métodos projects.locations.datasets.hl7V2Stores.import e projects.locations.datasets.hl7V2Stores.export exigem outras permissões na conta de serviço do Agente de serviço do Cloud Healthcare para importar e exportar mensagens HL7v2 de e para o Cloud Storage.

Determine as permissões exigidas pela conta de serviço com base nas ações que o aplicativo executa:

  • Se o aplicativo importar mensagens HL7v2 do Cloud Storage para um armazenamento HL7v2, a conta de serviço exigirá as permissões storage.objects.get e storage.objects.list, incluídas no papel storage.objectViewer.
  • Se o aplicativo exportar mensagens HL7v2 de um armazenamento HL7v2 para o Cloud Storage, a conta de serviço exigirá as permissões storage.objects.create, storage.objects.delete e storage.objects.list, incluídas no papel storage.objectCreator.

Como importar mensagens HL7v2 do Cloud Storage

Use o console do Google Cloud ou a CLI gcloud para adicionar o papel storage.objectViewer necessário à conta de serviço do seu projeto.

Console

  1. Verifique se você ativou a API Cloud Healthcare.
  2. Na página do IAM no console do Google Cloud, verifique se o papel Agente de serviço da Healthcare aparece na coluna Papel da conta de serviço do agente de serviço da Cloud Healthcare. O identificador da conta de serviço é service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Na coluna Herança que corresponde ao papel, clique no ícone de lápis. O painel Editar permissões é aberto.
  4. Clique em Adicionar outro papel e pesquise o papel Leitor de objetos do Storage.
  5. Selecione o papel e clique em Salvar. O papel storage.objectViewer é adicionado à conta de serviço.

gcloud

Para adicionar as permissões da conta de serviço, execute o comando gcloud projects add-iam-policy-binding. Para encontrar PROJECT_ID e PROJECT_NUMBER, consulte Como identificar projetos.
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/storage.objectViewer 

Como exportar mensagens HL7v2 para o Cloud Storage

Use o console do Google Cloud ou a CLI gcloud para adicionar o papel storage.objectCreator necessário à conta de serviço do projeto:

Console

  1. Verifique se você ativou a API Cloud Healthcare.
  2. Na página do IAM no console do Google Cloud, verifique se o papel Agente de serviço da Healthcare aparece na coluna Papel da conta de serviço do agente de serviço da Cloud Healthcare. O identificador da conta de serviço é service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
  3. Na coluna Herança que corresponde ao papel, clique no ícone de lápis. O painel Editar permissões é aberto.
  4. Clique em Adicionar outro papel e pesquise o papel Criador de objetos do Storage.
  5. Selecione o papel e clique em Salvar. O papel storage.objectCreator é adicionado à conta de serviço.

gcloud

Para adicionar as permissões da conta de serviço, execute o comando gcloud projects add-iam-policy-binding. Para encontrar PROJECT_ID e PROJECT_NUMBER, consulte Como identificar projetos.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
    --role=roles/storage.objectCreator