La API de Cloud Healthcare no tiene acceso automático a otros recursos de Google Cloud en tu proyecto, como los depósitos de Cloud Storage y los conjuntos de datos de BigQuery. Cuando accedes a estos recursos, la API de Cloud Healthcare usa una cuenta de servicio administrada por Google que se denomina como el agente de servicios de Cloud Healthcare.
Para realizar operaciones como la notificación de cambios en temas de Pub/Sub, la importación de datos desde depósitos de Cloud Storage, la exportación de datos a conjuntos de datos de BigQuery, etc., primero debes otorgar a la cuenta de servicio la permisos de administración de identidades y accesos (IAM) necesarios para acceder a los recursos fuera de la API de Cloud Healthcare. En esta página, se describe qué permisos son necesarios para varias operaciones y cómo otorgarlos.
Para obtener más información sobre el uso de IAM a fin de configurar permisos dentro de la API de Cloud Healthcare, consulta Control de acceso.
El agente de servicios de Cloud Healthcare
La cuenta de servicio del agente de servicios de Cloud Healthcare se crea automáticamente cuando habilitas la API de Cloud Healthcare. Su nombre de miembro es service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
Para encontrar el PROJECT_NUMBER de tu proyecto de Google Cloud, consulta Identifica proyectos.
Puedes ver información detallada sobre la cuenta de servicio del agente de servicio de Cloud Healthcare, como los roles que se le otorgaron, en la página de Identity and Access Management de la consola de Google Cloud.
Para obtener más información sobre el Agente de servicio de Cloud Healthcare y su interacción con las funciones y los permisos de administración de identidades y accesos (IAM), consulta Control de acceso.
Los permisos de Pub/Sub de la tienda de DICOM, FHIR y HL7v2
Los cambios en las tiendas de DICOM, FHIR y HL7v2 se pueden enviar a un tema de Pub/Sub. Para obtener más información, consulta Cómo usar Cloud Pub/Sub para las notificaciones.
Los métodos dentro de estas tiendas requieren permisos adicionales en la cuenta de servicio del agente de servicios de Cloud Healthcare para publicar cambios en un tema de Pub/Sub.
Usa la consola de Google Cloud o gcloud CLI para agregar el
rol pubsub.publisher a la cuenta de servicio del proyecto:
Consola
- Asegúrate de haber habilitado la API de Cloud Healthcare.
- En la página IAM en la consola de Google Cloud, verifica que el rol Agente de servicio de Healthcare aparezca en la columna Rol de la cuenta de servicio del agente de servicio de Cloud Healthcare.
El identificador de la cuenta de servicio es
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - En la columna Herencia que coincide con la función, haz clic en el ícono de lápiz. Se abrirá el panel Editar permisos.
- Haz clic en Agregar otra función y, luego, busca la función de Publicador de Pub/Sub.
- Selecciona la función y haz clic en Guardar. La función
pubsub.publisherse agrega a la cuenta de servicio.
gcloud
Para agregar los permisos de la cuenta de servicio, ejecuta el comando gcloud projects add-iam-policy-binding. Para encontrar los valores de PROJECT_ID y PROJECT_NUMBER, consulta cómo identificar proyectos.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/pubsub.publisher
Configura los permisos de Pub/Sub entre proyectos
Para publicar notificaciones de Pub/Sub en un tema de otro proyecto, otorga a la cuenta de servicio del agente de servicio de Cloud Healthcare la función pubsub.publisher en el tema. Para obtener más información, consulta Controla el acceso a través de la consola de Google Cloud y Controla el acceso a través de la API de IAM.
Para ver un ejemplo de publicación de notificaciones de Pub/Sub entre proyectos, consulta Caso de uso de muestra: comunicación entre proyectos.
Permisos de Cloud Storage de la tienda de DICOM
Los métodos projects.locations.datasets.dicomStores.import y projects.locations.datasets.dicomStores.export requieren permisos adicionales en la cuenta de servicio del agente de servicios de Cloud Healthcare para importar y exportar datos a Cloud Storage.
Importa datos desde Cloud Storage
Puedes usar la consola de Google Cloud o gcloud CLI para agregar el rolstorage.objectViewer requerido a la cuenta de servicio de tu
proyecto.
Consola
- Asegúrate de haber habilitado la API de Cloud Healthcare.
- En la página IAM en la consola de Google Cloud, verifica que el rol Agente de servicio de Healthcare aparezca en la columna Rol de la cuenta de servicio del agente de servicio de Cloud Healthcare.
El identificador de cuenta de servicio es
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - En la columna Herencia que coincide con la función, haz clic en el ícono de lápiz. Se abrirá el panel Editar permisos.
- Haz clic en Agregar otra función y, luego, busca la función de Visor de objetos de almacenamiento.
- Selecciona la función y haz clic en Guardar. Luego, se agrega la función
storage.objectViewera la cuenta de servicio.
gcloud
Para agregar los permisos de la cuenta de servicio, ejecuta el comandogcloud projects add-iam-policy-binding. Para encontrar los valores de PROJECT_ID y PROJECT_NUMBER, consulta cómo identificar proyectos.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/storage.objectViewer
Exporta datos a Cloud Storage
Puedes usar la consola de Google Cloud o la CLI de gcloud para agregar el rol storage.objectAdmin requerido a la cuenta de servicio de tu proyecto:
Consola
- Asegúrate de haber habilitado la API de Cloud Healthcare.
- En la página IAM en la consola de Google Cloud, verifica que el rol Agente de servicio de Healthcare aparezca en la columna Rol de la cuenta de servicio del agente de servicio de Cloud Healthcare.
El identificador de cuenta de servicio es
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - En la columna Herencia que coincide con la función, haz clic en el ícono de lápiz. Se abrirá el panel Editar permisos.
- Haz clic en Agregar otra función y, luego, busca la función de Administrador de objetos de almacenamiento.
- Selecciona la función y haz clic en Guardar. Luego, se agrega la función
storage.objectAdmina la cuenta de servicio.
gcloud
Para agregar los permisos de la cuenta de servicio, ejecuta el comando gcloud projects add-iam-policy-binding. Para encontrar los valores de PROJECT_ID y PROJECT_NUMBER, consulta cómo identificar proyectos.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/storage.objectAdmin
Permisos de BigQuery de la tienda de DICOM
El método projects.locations.datasets.dicomStores.export requiere permisos adicionales en la cuenta de servicio del agente de servicios de Cloud Healthcare para exportar metadatos de DICOM a BigQuery. También debes otorgarle acceso de WRITER para el conjunto de datos de BigQuery a la cuenta de servicio del agente de servicios de Cloud Healthcare.
Otorga permisos a la cuenta de servicio del agente de servicios de Cloud Healthcare
Puedes usar la consola de Google Cloud o gcloud CLI para agregar los roles
bigquery.dataEditor y bigquery.jobUser necesarios a la cuenta de servicio
de tu proyecto.
Consola
- Asegúrate de haber habilitado la API de Cloud Healthcare.
- En la página IAM en la consola de Google Cloud, verifica que el rol Agente de servicio de Healthcare aparezca en la columna Rol de la cuenta de servicio del agente de servicio de Cloud Healthcare.
El identificador de cuenta de servicio es
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - En la columna Herencia que coincide con la función, haz clic en el ícono de lápiz. Se abrirá el panel Editar permisos.
- Haz clic en Agregar otra función y, luego, busca las funciones de Editor de datos de BigQuery y de Usuario de trabajo de BigQuery.
- Selecciona cada función y, luego, haz clic en Guardar. Luego, las funciones
bigquery.dataEditorybigquery.jobUserse agregan a la cuenta de servicio.
gcloud
Para agregar los permisos de la cuenta de servicio, ejecuta el comando gcloud projects add-iam-policy-binding. Para encontrar los valores de PROJECT_ID y PROJECT_NUMBER, consulta cómo identificar proyectos.
Otorga la función
roles/bigquery.dataEditor:Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:
- PROJECT_IDEl ID de tu proyecto de Google Cloud.
- PROJECT_NUMBER: Es el número del proyecto de Google Cloud.
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditorWindows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.dataEditorWindows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.dataEditorDeberías recibir una respuesta similar a la que figura a continuación:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.dataEditor ... etag: ETAG version: VERSION
Otorga la función
roles/bigquery.jobUser:Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:
- PROJECT_IDEl ID de tu proyecto de Google Cloud.
- PROJECT_NUMBER: Es el número del proyecto de Google Cloud.
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUserWindows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.jobUserWindows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.jobUserDeberías recibir una respuesta similar a la que figura a continuación:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.jobUser ... etag: ETAG version: VERSION
Otorga acceso de WRITER al conjunto de datos de BigQuery
Si agregaste las funciones bigquery.dataEditor y bigquery.jobUser a la cuenta de servicio de tu proyecto, tendrás acceso de WRITER para todos los conjuntos de datos de BigQuery. Sin embargo, si no agregaste estas funciones y necesitas acceso de WRITER a un único conjunto de datos de BigQuery, puedes otorgar acceso de WRITER solo para ese conjunto de datos.
Para otorgar acceso de WRITER al conjunto de datos de BigQuery, completa los siguientes pasos:- Navega hasta Control de acceso a un conjunto de datos.
- Mediante uno de los métodos disponibles, otorga a la dirección de correo electrónico del agente de servicios de Cloud Healthcare acceso de
WRITERal conjunto de datos de BigQuery. (Busca la dirección de correo electrónico que termina en@gcp-sa-healthcare.iam.gserviceaccount.com).
Por ejemplo, si la dirección de correo electrónico de tu agente de servicios de Cloud Healthcare es service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com y si usas la IU web de BigQuery, deberías hacer lo siguiente:
- Sigue las instrucciones de Console.
- En el campo Agregar principales, ingresa
service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.comy selecciona la funciónbigquery.dataEditor.
Exporta metadatos de DICOM en proyectos de Google Cloud
Para exportar metadatos de DICOM de una tienda de DICOM en un proyecto a una tabla de BigQuery en otro proyecto, debes agregar la cuenta de servicio del agente de servicios de Cloud Healthcare del proyecto de origen al proyecto destino y otorgar a la cuenta de servicio las funciones bigquery.dataEditor y bigquery.jobUser en el proyecto de destino.
Para encontrar la cuenta de servicio del agente de servicios de Cloud Healthcare del proyecto de origen, completa los siguientes pasos:
- Asegúrate de haber habilitado la API de Cloud Healthcare.
- En la página IAM en la consola de Google Cloud, verifica que el rol Agente de servicio de Healthcare aparezca en la columna Rol de la cuenta de servicio del agente de servicio de Cloud Healthcare.
El identificador de la cuenta de servicio es
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. Anota esta dirección en el proyecto de origen, ya que se usará en los siguientes pasos.
Agrega la cuenta de servicio del agente de servicios de Cloud Healthcare del proyecto de origen al proyecto de destino y otorga a la cuenta de servicio los permisos de BigQuery necesarios mediante los siguientes pasos:
Consola
- Abre la página de IAM del proyecto de destino en la consola de Google Cloud.
- Haz clic en Agregar.
- En el campo Nuevos miembros, ingresa la dirección de la cuenta de servicio del agente de servicios de Cloud Healthcare del proyecto de origen.
- Haz clic en Agregar otra función y, luego, busca las funciones de Editor de datos de BigQuery y de Usuario de trabajo de BigQuery.
- Selecciona la función y haz clic en Guardar. La cuenta de servicio del agente de servicios de Cloud Healthcare del proyecto de origen ahora tiene las funciones
bigquery.dataEditorybigquery.jobUseren el proyecto de destino.
gcloud
Para agregar la cuenta de servicio del agente de servicios de Cloud Healthcare del proyecto de origen al proyecto de destino y otorgar a la cuenta de servicio los permisos de BigQuery necesarios, ejecuta el comando gcloud projects add-iam-policy-binding. Para encontrar el ID y el número de tus proyectos de origen y destino, consulta Identifica proyectos.
gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \
--member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/bigquery.dataEditor
gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \
--member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/bigquery.jobUser
Completa los pasos en Otorga acceso de WRITER al conjunto de datos de BigQuery para permitir que el proyecto de origen escriba en el conjunto de datos de destino.
Permisos de Cloud Storage de la tienda de FHIR
En las siguientes secciones, se describen los métodos FHIR que requieren permisos adicionales en el agente de servicio de Cloud Healthcare para leer o escribir en Cloud Storage.
Importa recursos de FHIR desde Cloud Storage
El método projects.locations.datasets.fhirStores.import requiere los siguientes permisos en la cuenta de servicio del Agente de servicio de Cloud Healthcare:
storage.objects.getstorage.objects.list
Estos permisos se incluyen en el rol predefinido storage.objectViewer.
También puedes agregar los permisos a una función personalizada o es posible que se incluyan en otros roles básicos.
Puedes usar la consola de Google Cloud o gcloud CLI para agregar el rolstorage.objectViewer requerido a la cuenta de servicio de tu
proyecto.
Consola
- Asegúrate de haber habilitado la API de Cloud Healthcare.
- En la página IAM en la consola de Google Cloud, verifica que el rol Agente de servicio de Healthcare aparezca en la columna Rol de la cuenta de servicio del agente de servicio de Cloud Healthcare.
El identificador de cuenta de servicio es
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - En la columna Herencia que coincide con la función, haz clic en el ícono de lápiz. Se abrirá el panel Editar permisos.
- Haz clic en Agregar otra función y, luego, busca la función de Visor de objetos de almacenamiento.
- Selecciona la función y haz clic en Guardar. Luego, se agrega la función
storage.objectViewera la cuenta de servicio.
gcloud
Para agregar los permisos de la cuenta de servicio, ejecuta el comandogcloud projects add-iam-policy-binding. Para encontrar los valores de PROJECT_ID y PROJECT_NUMBER, consulta cómo identificar proyectos.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/storage.objectViewer
Exporta recursos de FHIR a Cloud Storage
Para usar el método projects.locations.datasets.fhirStores.export, se requieren los siguientes permisos en la cuenta de servicio del Agente de servicio de Cloud Healthcare:
storage.objects.createstorage.objects.deletestorage.objects.list
Estos permisos se incluyen en el rol predefinido storage.objectAdmin.
También puedes agregar los permisos a una función personalizada o es posible que se incluyan en otros roles básicos.
Para otorgar el rol storage.objectAdmin a la cuenta de servicio, sigue estos pasos:
Consola
- Asegúrate de haber habilitado la API de Cloud Healthcare.
- En la página IAM en la consola de Google Cloud, verifica que el rol Agente de servicio de Healthcare aparezca en la columna Rol de la cuenta de servicio del agente de servicio de Cloud Healthcare.
El identificador de cuenta de servicio es
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - En la columna Herencia que coincide con la función, haz clic en el ícono de lápiz. Se abrirá el panel Editar permisos.
- Haz clic en Agregar otra función y, luego, busca la función de Creador de objetos de almacenamiento.
- Selecciona la función y haz clic en Guardar. Luego, se agrega la función
storage.objectAdmina la cuenta de servicio.
gcloud
Para agregar los permisos de la cuenta de servicio, ejecuta el comando gcloud projects add-iam-policy-binding. Para encontrar los valores de PROJECT_ID y PROJECT_NUMBER, consulta cómo identificar proyectos.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/storage.objectAdmin
Lee archivos de filtros de Cloud Storage
El método projects.locations.datasets.fhirStores.rollback requiere los siguientes permisos en la cuenta de servicio del agente del servicio de Cloud Healthcare para leer archivos de filtro en Cloud Storage:
storage.objects.getstorage.objects.list
Estos permisos se incluyen en el rol predefinido storage.objectViewer.
También puedes agregar los permisos a una función personalizada o es posible que se incluyan en otros roles básicos.
Para otorgar la función storage.objectViewer a la cuenta de servicio, sigue estos pasos:
Escribe archivos de salida en Cloud Storage
El método projects.locations.datasets.fhirStores.rollback requiere los siguientes permisos en la cuenta de servicio del agente del servicio de Cloud Healthcare para escribir archivos de salida en Cloud Storage:
storage.objects.createstorage.objects.deletestorage.objects.getstorage.objects.list
Estos permisos se incluyen en el rol predefinido storage.objectAdmin.
También puedes agregar los permisos a una función personalizada o es posible que se incluyan en otros roles básicos.
Para otorgar la función storage.objectAdmin a la cuenta de servicio, sigue estos pasos:
Permisos de BigQuery de la tienda de FHIR
El método projects.locations.datasets.fhirStores.export requiere permisos adicionales en la cuenta de servicio del agente de servicios de Cloud Healthcare para exportar recursos de FHIR a BigQuery. También debes otorgarle acceso de WRITER para el conjunto de datos de BigQuery a la cuenta de servicio del agente de servicios de Cloud Healthcare.
Otorga permisos a la cuenta de servicio del agente de servicios de Cloud Healthcare
Consola
- Asegúrate de haber habilitado la API de Cloud Healthcare.
- En la página IAM en la consola de Google Cloud, verifica que el rol Agente de servicio de Healthcare aparezca en la columna Rol de la cuenta de servicio del agente de servicio de Cloud Healthcare.
El identificador de cuenta de servicio es
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - En la columna Herencia que coincide con la función, haz clic en el ícono de lápiz. Se abrirá el panel Editar permisos.
- Haz clic en Agregar otra función y, luego, busca las funciones de Editor de datos de BigQuery y de Usuario de trabajo de BigQuery.
- Selecciona cada función y, luego, haz clic en Guardar. Luego, las funciones
bigquery.dataEditorybigquery.jobUserse agregan a la cuenta de servicio.
gcloud
Para agregar los permisos de la cuenta de servicio, ejecuta el comando gcloud projects add-iam-policy-binding. Para encontrar los valores de PROJECT_ID y PROJECT_NUMBER, consulta cómo identificar proyectos.
Otorga la función
roles/bigquery.dataEditor:Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:
- PROJECT_IDEl ID de tu proyecto de Google Cloud.
- PROJECT_NUMBER: Es el número del proyecto de Google Cloud.
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditorWindows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.dataEditorWindows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.dataEditorDeberías recibir una respuesta similar a la que figura a continuación:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.dataEditor ... etag: ETAG version: VERSION
Otorga la función
roles/bigquery.jobUser:Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:
- PROJECT_IDEl ID de tu proyecto de Google Cloud.
- PROJECT_NUMBER: Es el número del proyecto de Google Cloud.
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUserWindows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.jobUserWindows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.jobUserDeberías recibir una respuesta similar a la que figura a continuación:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.jobUser ... etag: ETAG version: VERSION
Otorga acceso de WRITER al conjunto de datos de BigQuery
Si agregaste las funciones bigquery.dataEditor y bigquery.jobUser a la cuenta de servicio de tu proyecto, tendrás acceso de WRITER para todos los conjuntos de datos de BigQuery. Sin embargo, si no agregaste estas funciones y necesitas acceso de WRITER a un único conjunto de datos de BigQuery, puedes otorgar acceso de WRITER solo para ese conjunto de datos.
Para otorgar acceso de WRITER al conjunto de datos de BigQuery, completa los siguientes pasos:- Navega hasta Control de acceso a un conjunto de datos.
- Mediante uno de los métodos disponibles, otorga a la dirección de correo electrónico del agente de servicios de Cloud Healthcare acceso de
WRITERal conjunto de datos de BigQuery. (Busca la dirección de correo electrónico que termina en@gcp-sa-healthcare.iam.gserviceaccount.com).
Por ejemplo, si la dirección de correo electrónico de tu agente de servicios de Cloud Healthcare es service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com y si usas la IU web de BigQuery, deberías hacer lo siguiente:
- Sigue las instrucciones de Console.
- En el campo Agregar principales, ingresa
service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.comy selecciona la funciónbigquery.dataEditor.
Permisos de Cloud Storage del almacén HL7v2
Los métodos projects.locations.datasets.hl7V2Stores.import y projects.locations.datasets.hl7V2Stores.export requieren permisos adicionales en la cuenta de servicio del agente del servicio de Cloud Healthcare para importar mensajes HL7v2 desde Cloud Storage y exportar mensajes HL7v2 hacia allí
Determina los permisos que requiere la cuenta de servicio según las acciones que realiza la aplicación:
- Si la aplicación importa mensajes HL7v2 de Cloud Storage a un almacén HL7v2, la cuenta de servicio requiere los permisos
storage.objects.getystorage.objects.list, que se incluyen en la funciónstorage.objectViewer. - Si la aplicación exporta mensajes HL7v2 de un almacén HL7v2 a Cloud Storage, la cuenta de servicio requiere los permisos
storage.objects.create,storage.objects.deleteystorage.objects.list, que se incluyen en la funciónstorage.objectCreator.
Importar mensajes HL7v2 desde Cloud Storage
Puedes usar la consola de Google Cloud o gcloud CLI para agregar el rolstorage.objectViewer requerido a la cuenta de servicio de tu
proyecto.
Consola
- Asegúrate de haber habilitado la API de Cloud Healthcare.
- En la página IAM en la consola de Google Cloud, verifica que el rol Agente de servicio de Healthcare aparezca en la columna Rol de la cuenta de servicio del agente de servicio de Cloud Healthcare.
El identificador de cuenta de servicio es
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - En la columna Herencia que coincide con la función, haz clic en el ícono de lápiz. Se abrirá el panel Editar permisos.
- Haz clic en Agregar otra función y, luego, busca la función de Visor de objetos de almacenamiento.
- Selecciona la función y haz clic en Guardar. Luego, se agrega la función
storage.objectViewera la cuenta de servicio.
gcloud
Para agregar los permisos de la cuenta de servicio, ejecuta el comandogcloud projects add-iam-policy-binding. Para encontrar los valores de PROJECT_ID y PROJECT_NUMBER, consulta cómo identificar proyectos.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/storage.objectViewer
Exportar mensajes HL7v2 a Cloud Storage
Puedes usar la consola de Google Cloud o la CLI de gcloud para agregar el rol storage.objectCreator requerido a la cuenta de servicio de tu proyecto:
Consola
- Asegúrate de haber habilitado la API de Cloud Healthcare.
- En la página IAM en la consola de Google Cloud, verifica que el rol Agente de servicio de Healthcare aparezca en la columna Rol de la cuenta de servicio del agente de servicio de Cloud Healthcare.
El identificador de cuenta de servicio es
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - En la columna Herencia que coincide con la función, haz clic en el ícono de lápiz. Se abrirá el panel Editar permisos.
- Haz clic en Agregar otra función y, luego, busca la función de Creador de objetos de almacenamiento.
- Selecciona la función y haz clic en Guardar. Luego, se agrega la función
storage.objectCreatora la cuenta de servicio.
gcloud
Para agregar los permisos de la cuenta de servicio, ejecuta el comando gcloud projects add-iam-policy-binding. Para encontrar los valores de PROJECT_ID y PROJECT_NUMBER, consulta cómo identificar proyectos.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/storage.objectCreator