A API Cloud Healthcare não tem acesso automático a outros recursos do Google Cloud no projeto, como buckets do Cloud Storage e conjuntos de dados do BigQuery. Ao acessar esses recursos, a API Cloud Healthcare usa um agente de serviço chamado Agente de serviço do Cloud Healthcare.
Para realizar operações como notificar tópicos do Pub/Sub sobre alterações, importar dados de buckets do Cloud Storage, exportar dados para conjuntos de dados do BigQuery e assim por diante, primeiro conceda à conta de serviço as permissões de gerenciamento de identidade e acesso (IAM) necessárias para acessar o recursos fora da API Cloud Healthcare. Esta página descreve quais permissões são necessárias para as várias operações e como concedê-las.
Para saber mais sobre como usar o IAM para configurar permissões na API Cloud Healthcare, consulte Controle de acesso.
O Agente de serviço do Cloud Healthcare
A conta de serviço do Agente de serviço do Cloud Healthcare é criada automaticamente
depois que você ativa a API Cloud Healthcare. O nome do membro é service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
.
Para encontrar o PROJECT_NUMBER do seu projeto do Google Cloud, consulte Como identificar projetos.
Para informações detalhadas sobre a conta de serviço do Agente de serviço da API Cloud Healthcare, como os papéis que foram concedidos, acesse a página Identity and Access Management no console do Google Cloud.
Para saber mais sobre o Agente de serviço do Cloud Healthcare e a interação com papéis e permissões do gerenciamento de identidade e acesso (IAM), consulte Controle de acesso.
Permissões da CMEK do conjunto de dados
É possível usar uma chave de criptografia gerenciada pelo cliente (CMEK) ao
criar um conjunto de dados da API Cloud Healthcare. Para permitir que a conta de serviço do
Agente de serviço do Cloud Healthcare criptografe e descriptografe objetos
usando a chave CMEK, conceda à conta de serviço o
papel Criptografador/Descriptografador do CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter
).
Console
No console do Google Cloud, abra a página IAM.
Marque a caixa de seleção
Incluir concessões de papel fornecidas pelo Google.Verifique se a guia Visualizar por principais está selecionada. Localize a linha que contém a conta de serviço do Agente de serviço do Cloud Healthcare e clique em
Editar principal nessa linha. O painel Editar permissões é exibido.Clique em
Adicionar outro papel.No menu suspenso Selecionar uma função, pesquise e clique em Criptografador/Descriptografador de CryptoKey.
Clique em Salvar.
Permissões do Pub/Sub para armazenamento DICOM, FHIR e HL7v2
As alterações nos armazenamentos DICOM, FHIR e HL7v2 podem ser enviadas para um tópico do Pub/Sub. Para mais informações, consulte Como usar o Cloud Pub/Sub para notificações.
Os métodos nesses armazenamentos exigem permissões adicionais na conta de serviço Agente de serviço do Cloud Healthcare para publicar alterações em um tópico do Pub/Sub.
Use o console do Google Cloud ou a CLI gcloud para adicionar o papel pubsub.publisher
à conta de serviço do seu projeto:
Console
- Verifique se você ativou a API Cloud Healthcare.
- Na página do IAM no Console do Google Cloud, verifique se o papel Agente de serviço da Healthcare aparece na coluna Papel da conta de serviço Agente de serviço da API Cloud Healthcare.
O identificador da conta de serviço é
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
. - Na coluna Herança que corresponde ao papel, clique no ícone de lápis. O painel Editar permissões é aberto.
- Clique em Adicionar outro papel e pesquise o papel Editor do Pub/Sub.
- Selecione o papel e clique em Salvar. O papel
pubsub.publisher
é adicionado à conta de serviço.
gcloud
Para adicionar as permissões da conta de serviço, execute o comando gcloud projects add-iam-policy-binding
. Para encontrar PROJECT_ID e PROJECT_NUMBER, consulte Como identificar projetos.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/pubsub.publisher
Configurar permissões do Pub/Sub entre projetos
Para publicar notificações do Pub/Sub em um tópico em outro projeto,
conceda à conta de serviço do Agente de serviço do Cloud Healthcare o papel
pubsub.publisher
no tópico. Para mais informações, consulte Controlar o acesso pelo console do Google Cloud
e Controlar o acesso pela API IAM.
Para conferir um exemplo de publicação de notificações do Pub/Sub entre projetos, consulte Exemplo de caso de uso: comunicação entre projetos.
Permissões do Cloud Storage para armazenamento DICOM
Os métodos projects.locations.datasets.dicomStores.import
e projects.locations.datasets.dicomStores.export
exigem permissões adicionais na conta de serviço Agente de serviço do Cloud Healthcare para importar e exportar dados para o Cloud Storage.
Como importar dados do Cloud Storage
Use o console do Google Cloud ou a CLI gcloud para adicionar o papelstorage.objectViewer
necessário à conta de serviço do seu projeto.
Console
- Verifique se você ativou a API Cloud Healthcare.
- Na página do IAM no console do Google Cloud, verifique se o papel
Agente de serviço da Healthcare aparece na coluna Papel da conta de serviço do agente de serviço da
Cloud Healthcare.
O identificador da conta de serviço é
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
. - Na coluna Herança que corresponde ao papel, clique no ícone de lápis. O painel Editar permissões é aberto.
- Clique em Adicionar outro papel e pesquise o papel Leitor de objetos do Storage.
- Selecione o papel e clique em Salvar. O papel
storage.objectViewer
é adicionado à conta de serviço.
gcloud
Para adicionar as permissões da conta de serviço, execute o comandogcloud projects add-iam-policy-binding
. Para encontrar PROJECT_ID e PROJECT_NUMBER, consulte Como identificar projetos.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectViewer
Como exportar dados para o Cloud Storage
Use o console do Google Cloud ou a CLI gcloud para adicionar o papel
storage.objectAdmin
necessário à conta de serviço do projeto:
Console
- Verifique se você ativou a API Cloud Healthcare.
- Na página do IAM no console do Google Cloud, verifique se o papel Agente de serviço da Healthcare aparece na coluna Papel da conta de serviço do agente de serviço da Cloud Healthcare.
O identificador da conta de serviço é
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
. - Na coluna Herança que corresponde ao papel, clique no ícone de lápis. O painel Editar permissões é aberto.
- Clique em Adicionar outro papel e pesquise o papel Administrador de objetos do Storage.
- Selecione o papel e clique em Salvar. O papel
storage.objectAdmin
é adicionado à conta de serviço.
gcloud
Para adicionar as permissões da conta de serviço, execute o comando gcloud projects add-iam-policy-binding
. Para encontrar PROJECT_ID e PROJECT_NUMBER, consulte Como identificar projetos.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectAdmin
Permissões do BigQuery para armazenamento DICOM
O método projects.locations.datasets.dicomStores.export
requer permissões adicionais na conta de serviço Agente de serviço do Cloud Healthcare para exportar metadados do DICOM para o BigQuery. Você também precisa conceder acesso WRITER
para o conjunto de dados do BigQuery à conta de serviço Agente de serviço do Cloud Healthcare.
Como conceder permissões à conta de serviço Agente de serviço do Cloud Healthcare
Use o console do Google Cloud ou a CLI gcloud para adicionar os papéis
bigquery.dataEditor
e bigquery.jobUser
necessários à conta de serviço do seu projeto.
Console
- Verifique se você ativou a API Cloud Healthcare.
- Na página do IAM no console do Google Cloud, verifique se o papel
Agente de serviço da Healthcare aparece na coluna Papel da conta de serviço do agente de serviço da
Cloud Healthcare.
O identificador da conta de serviço é
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
. - Na coluna Herança que corresponde ao papel, clique no ícone de lápis. O painel Editar permissões é aberto.
- Clique em Adicionar outro papel e pesquise os papéis Editor de dados do BigQuery e Usuário do job do BigQuery.
- Selecione cada papel e clique em Salvar. Em seguida, os papéis
bigquery.dataEditor
ebigquery.jobUser
são adicionados à conta de serviço.
gcloud
Para adicionar as permissões da conta de serviço, execute o comando gcloud projects add-iam-policy-binding
. Para encontrar PROJECT_ID e PROJECT_NUMBER, consulte Como identificar projetos.
Conceda o papel
roles/bigquery.dataEditor
:Antes de usar os dados do comando abaixo, faça estas substituições:
- PROJECT_ID: o ID do seu projeto do Google Cloud;
- PROJECT_NUMBER: o número do seu projeto do Google Cloud
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditor
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.dataEditor
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.dataEditor
Você receberá uma resposta semelhante a esta:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.dataEditor ... etag: ETAG version: VERSION
Conceda o papel
roles/bigquery.jobUser
:Antes de usar os dados do comando abaixo, faça estas substituições:
- PROJECT_ID: o ID do seu projeto do Google Cloud;
- PROJECT_NUMBER: o número do seu projeto do Google Cloud
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUser
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.jobUser
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.jobUser
Você receberá uma resposta semelhante a esta:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.jobUser ... etag: ETAG version: VERSION
Como conceder acesso WRITER
ao conjunto de dados do BigQuery
Se você adicionou os papéis bigquery.dataEditor
e bigquery.jobUser
à
conta de serviço do seu projeto, terá acesso de WRITER
para todos
os conjuntos de dados do BigQuery. No entanto, se você não adicionou esses papéis e precisar
de acesso WRITER
a um único conjunto de dados do BigQuery, pode conceder
acesso WRITER
apenas para esse conjunto de dados.
Para conceder acesso WRITER
a um conjunto de dados do BigQuery, conclua
as etapas a seguir:
- Navegue até Como controlar o acesso a um conjunto de dados.
- Usando um dos métodos disponíveis, conceda ao endereço de e-mail do Agente de serviço do Cloud Healthcare o acesso
WRITER
ao conjunto de dados do BigQuery. Procure o endereço de e-mail que termina com@gcp-sa-healthcare.iam.gserviceaccount.com
.
Por exemplo, se o endereço de e-mail do Agente de serviço do Cloud Healthcare for service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com
e, se você estiver usando a IU da Web do BigQuery:
- Siga as instruções do Console.
- No campo Adicionar principais, digite
service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com
e selecione o papelbigquery.dataEditor
.
Como exportar metadados do DICOM entre projetos do Google Cloud
Para exportar metadados do DICOM de um armazenamento DICOM em um projeto para uma tabela do BigQuery em um projeto diferente, adicione a conta de serviço Agente de serviço do Cloud Healthcare ao projeto de destino e conceda a essa conta os papéis bigquery.dataEditor
e bigquery.jobUser
no projeto de destino.
Para encontrar a conta de serviço Agente de serviço do Cloud Healthcare do projeto de origem, siga estas etapas:
- Verifique se você ativou a API Cloud Healthcare.
- Na página do IAM no console do Google Cloud, verifique se o papel
Agente de serviço da Healthcare aparece na coluna Papel da conta de serviço Agente de serviço da API Cloud Healthcare.
O identificador da conta de serviço é
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
. Anote esse endereço no projeto de origem, pois ele será usado nas etapas a seguir.
Adicione a conta de serviço Agente de serviço do Cloud Healthcare do projeto de origem ao projeto de destino e conceda a essa conta as permissões necessárias do BigQuery seguindo estas etapas:
Console
- Abra a página do IAM do projeto de destino no console do Google Cloud.
- Clique em Adicionar.
- No campo Novos membros, digite o endereço da conta de serviço Agente de serviço do Cloud Healthcare do projeto de origem.
- Clique em Adicionar outro papel e pesquise os papéis Editor de dados do BigQuery e Usuário do job do BigQuery.
- Selecione o papel e clique em Salvar. A conta de serviço Agente de serviço do Cloud Healthcare do projeto de origem agora tem os papéis
bigquery.dataEditor
ebigquery.jobUser
no projeto de destino.
gcloud
Para adicionar a conta de serviço Agente de serviço do Cloud Healthcare do projeto de origem ao projeto de destino e conceder a essa conta as permissões necessárias do BigQuery, execute o comando gcloud projects add-iam-policy-binding
. Para encontrar o ID e o número dos projetos de origem e de destino, consulte Como identificar projetos.
gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \ --member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditor
gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \ --member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUser
Conclua as etapas em Como conceder acesso WRITER
ao conjunto de dados do BigQuery para permitir que o projeto de origem grave no conjunto de dados de destino.
Permissões do Cloud Storage para armazenamento FHIR
As seções a seguir descrevem métodos do FHIR que exigem permissões adicionais no Agente de serviço do Cloud Healthcare para ler ou gravar no Cloud Storage.
Como importar recursos do FHIR do Cloud Storage
O método projects.locations.datasets.fhirStores.import
requer as seguintes permissões na conta de serviço Agente de serviço do Cloud Healthcare:
storage.objects.get
storage.objects.list
Essas permissões estão incluídas no papel predefinido storage.objectViewer
.
Também é possível adicionar as permissões a um papel personalizado ou incluí-las em outros papéis básicos.
Use o console do Google Cloud ou a CLI gcloud para adicionar o papelstorage.objectViewer
necessário à conta de serviço do seu projeto.
Console
- Verifique se você ativou a API Cloud Healthcare.
- Na página do IAM no console do Google Cloud, verifique se o papel
Agente de serviço da Healthcare aparece na coluna Papel da conta de serviço do agente de serviço da
Cloud Healthcare.
O identificador da conta de serviço é
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
. - Na coluna Herança que corresponde ao papel, clique no ícone de lápis. O painel Editar permissões é aberto.
- Clique em Adicionar outro papel e pesquise o papel Leitor de objetos do Storage.
- Selecione o papel e clique em Salvar. O papel
storage.objectViewer
é adicionado à conta de serviço.
gcloud
Para adicionar as permissões da conta de serviço, execute o comandogcloud projects add-iam-policy-binding
. Para encontrar PROJECT_ID e PROJECT_NUMBER, consulte Como identificar projetos.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectViewer
Como exportar recursos do FHIR para o Cloud Storage
Para usar o método projects.locations.datasets.fhirStores.export
,
é necessário ter as seguintes permissões na conta de serviço Agente de serviço do Cloud Healthcare:
storage.objects.create
storage.objects.delete
storage.objects.list
Essas permissões estão incluídas no papel predefinido storage.objectAdmin
.
Também é possível adicionar as permissões a um papel personalizado ou elas podem ser incluídas em outros papéis básicos.
Para conceder à conta de serviço o papel storage.objectAdmin
, siga estas etapas:
Console
- Verifique se você ativou a API Cloud Healthcare.
- Na página do IAM no console do Google Cloud, verifique se o papel Agente de serviço da Healthcare aparece na coluna Papel da conta de serviço do agente de serviço da Cloud Healthcare.
O identificador da conta de serviço é
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
. - Na coluna Herança que corresponde ao papel, clique no ícone de lápis. O painel Editar permissões é aberto.
- Clique em Adicionar outro papel e pesquise o papel Criador de objetos do Storage.
- Selecione o papel e clique em Salvar. O papel
storage.objectAdmin
é adicionado à conta de serviço.
gcloud
Para adicionar as permissões da conta de serviço, execute o comando gcloud projects add-iam-policy-binding
. Para encontrar PROJECT_ID e PROJECT_NUMBER, consulte Como identificar projetos.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectAdmin
Ler arquivos de filtro do Cloud Storage
O método projects.locations.datasets.fhirStores.rollback
requer as seguintes permissões na conta de serviço do Agente de serviço do Cloud Healthcare
para ler arquivos de filtro
do Cloud Storage:
storage.objects.get
storage.objects.list
Essas permissões estão incluídas no papel predefinido storage.objectViewer
.
Também é possível adicionar as permissões a um papel personalizado ou incluí-las em outros papéis básicos.
Para conceder o papel storage.objectViewer
à conta de serviço, siga
estas etapas:
Gravar arquivos de saída no Cloud Storage
O método projects.locations.datasets.fhirStores.rollback
requer as seguintes permissões na conta de serviço do Agente de serviço do Cloud Healthcare
para gravar arquivos de saída
no Cloud Storage:
storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
Essas permissões estão incluídas no papel predefinido storage.objectAdmin
.
Também é possível adicionar as permissões a um papel personalizado ou elas podem ser incluídas em outros papéis básicos.
Para conceder o papel storage.objectAdmin
à conta de serviço, siga
estas etapas:
Permissões do BigQuery para armazenamento FHIR
O método projects.locations.datasets.fhirStores.export
requer permissões adicionais na conta de serviço Agente de serviço do Cloud Healthcare para exportar recursos do FHIR para o BigQuery. Você também precisa conceder acesso WRITER
para o conjunto de dados do BigQuery à conta de serviço Agente de serviço do Cloud Healthcare.
Como conceder permissões à conta de serviço Agente de serviço do Cloud Healthcare
Console
- Verifique se você ativou a API Cloud Healthcare.
- Na página do IAM no console do Google Cloud, verifique se o papel
Agente de serviço da Healthcare aparece na coluna Papel da conta de serviço do agente de serviço da
Cloud Healthcare.
O identificador da conta de serviço é
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
. - Na coluna Herança que corresponde ao papel, clique no ícone de lápis. O painel Editar permissões é aberto.
- Clique em Adicionar outro papel e pesquise os papéis Editor de dados do BigQuery e Usuário do job do BigQuery.
- Selecione cada papel e clique em Salvar. Em seguida, os papéis
bigquery.dataEditor
ebigquery.jobUser
são adicionados à conta de serviço.
gcloud
Para adicionar as permissões da conta de serviço, execute o comando gcloud projects add-iam-policy-binding
. Para encontrar PROJECT_ID e PROJECT_NUMBER, consulte Como identificar projetos.
Conceda o papel
roles/bigquery.dataEditor
:Antes de usar os dados do comando abaixo, faça estas substituições:
- PROJECT_ID: o ID do seu projeto do Google Cloud;
- PROJECT_NUMBER: o número do seu projeto do Google Cloud
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditor
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.dataEditor
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.dataEditor
Você receberá uma resposta semelhante a esta:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.dataEditor ... etag: ETAG version: VERSION
Conceda o papel
roles/bigquery.jobUser
:Antes de usar os dados do comando abaixo, faça estas substituições:
- PROJECT_ID: o ID do seu projeto do Google Cloud;
- PROJECT_NUMBER: o número do seu projeto do Google Cloud
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUser
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.jobUser
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.jobUser
Você receberá uma resposta semelhante a esta:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.jobUser ... etag: ETAG version: VERSION
Como conceder acesso WRITER
ao conjunto de dados do BigQuery
Se você adicionou os papéis bigquery.dataEditor
e bigquery.jobUser
à
conta de serviço do seu projeto, terá acesso de WRITER
para todos
os conjuntos de dados do BigQuery. No entanto, se você não adicionou esses papéis e precisar
de acesso WRITER
a um único conjunto de dados do BigQuery, pode conceder
acesso WRITER
apenas para esse conjunto de dados.
Para conceder acesso WRITER
a um conjunto de dados do BigQuery, conclua
as etapas a seguir:
- Navegue até Como controlar o acesso a um conjunto de dados.
- Usando um dos métodos disponíveis, conceda ao endereço de e-mail do Agente de serviço do Cloud Healthcare o acesso
WRITER
ao conjunto de dados do BigQuery. Procure o endereço de e-mail que termina com@gcp-sa-healthcare.iam.gserviceaccount.com
.
Por exemplo, se o endereço de e-mail do Agente de serviço do Cloud Healthcare for service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com
e, se você estiver usando a IU da Web do BigQuery:
- Siga as instruções do Console.
- No campo Adicionar principais, digite
service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com
e selecione o papelbigquery.dataEditor
.
O HL7v2 armazena permissões do Cloud Storage
Os métodos projects.locations.datasets.hl7V2Stores.import
e projects.locations.datasets.hl7V2Stores.export
exigem outras permissões na conta de serviço do Agente de serviço do Cloud Healthcare
para importar e exportar mensagens HL7v2
de e para o Cloud Storage.
Determine as permissões exigidas pela conta de serviço com base nas ações que o aplicativo executa:
- Se o aplicativo importar mensagens HL7v2 do Cloud Storage para um
armazenamento HL7v2, a conta de serviço exigirá as permissões
storage.objects.get
estorage.objects.list
, incluídas no papelstorage.objectViewer
. - Se o aplicativo exportar mensagens HL7v2 de um armazenamento HL7v2 para o
Cloud Storage, a conta de serviço exigirá as permissões
storage.objects.create
,storage.objects.delete
estorage.objects.list
, incluídas no papelstorage.objectCreator
.
Como importar mensagens HL7v2 do Cloud Storage
Use o console do Google Cloud ou a CLI gcloud para adicionar o papelstorage.objectViewer
necessário à conta de serviço do seu projeto.
Console
- Verifique se você ativou a API Cloud Healthcare.
- Na página do IAM no console do Google Cloud, verifique se o papel
Agente de serviço da Healthcare aparece na coluna Papel da conta de serviço do agente de serviço da
Cloud Healthcare.
O identificador da conta de serviço é
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
. - Na coluna Herança que corresponde ao papel, clique no ícone de lápis. O painel Editar permissões é aberto.
- Clique em Adicionar outro papel e pesquise o papel Leitor de objetos do Storage.
- Selecione o papel e clique em Salvar. O papel
storage.objectViewer
é adicionado à conta de serviço.
gcloud
Para adicionar as permissões da conta de serviço, execute o comandogcloud projects add-iam-policy-binding
. Para encontrar PROJECT_ID e PROJECT_NUMBER, consulte Como identificar projetos.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectViewer
Como exportar mensagens HL7v2 para o Cloud Storage
Use o console do Google Cloud ou a CLI gcloud para adicionar o
papel storage.objectCreator
necessário à conta de serviço do projeto:
Console
- Verifique se você ativou a API Cloud Healthcare.
- Na página do IAM no console do Google Cloud, verifique se o papel Agente de serviço da Healthcare aparece na coluna Papel da conta de serviço do agente de serviço da Cloud Healthcare.
O identificador da conta de serviço é
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com
. - Na coluna Herança que corresponde ao papel, clique no ícone de lápis. O painel Editar permissões é aberto.
- Clique em Adicionar outro papel e pesquise o papel Criador de objetos do Storage.
- Selecione o papel e clique em Salvar. O papel
storage.objectCreator
é adicionado à conta de serviço.
gcloud
Para adicionar as permissões da conta de serviço, execute o comando gcloud projects add-iam-policy-binding
. Para encontrar PROJECT_ID e PROJECT_NUMBER, consulte Como identificar projetos.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectCreator