Cloud Healthcare API は、Cloud Storage バケットや BigQuery データセットなど、プロジェクト内の他の Google Cloud リソースに自動的にアクセスできません。これらのリソースにアクセスすると、Cloud Healthcare API は Google が管理するサービス アカウント(Cloud Healthcare サービス エージェント)を使用します。
Pub/Sub トピックの変更の通知、Cloud Storage バケットからのデータのインポート、BigQuery データセットへのデータのエクスポートなどの操作を行うには、まず Cloud Healthcare API の外部に存在するリソースにアクセスするために必要な Identity and Access Management(IAM)の権限をサービス アカウントに付与する必要があります。このページでは、さまざまな操作に必要な権限とそれらの権限を付与する方法について説明します。
IAM を使用して Cloud Healthcare API 内で権限を構成する方法について詳しくは、アクセス制御をご覧ください。
Cloud Healthcare サービス エージェント
Cloud Healthcare API を有効にすると、Cloud Healthcare サービス エージェントのサービス アカウントが自動的に作成されます。メンバー名は service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com です。
Google Cloud プロジェクトの PROJECT_NUMBER を確認するには、プロジェクトの識別をご覧ください。
Cloud Healthcare サービス エージェントのサービス アカウントに関する詳細情報(付与されたロールなど)は、Google Cloud Console の Identity and Access Management ページで確認できます。
Cloud Healthcare サービス エージェント、および Identity and Access Management(IAM)のロールとのやり取り、権限の詳細については、アクセス制御をご覧ください。
DICOM ストア、FHIR ストア、HL7v2 ストアの Pub/Sub 権限
DICOM、FHIR、HL7v2 ストア内の変更は Pub/Sub トピックに送信できます。詳細については、通知での Cloud Pub/Sub の使用をご覧ください。
これらのストア内のメソッドには、Pub/Sub トピックへの変更を公開するためのCloud Healthcare サービス エージェントのサービス アカウントに対する追加の権限が必要です。
Google Cloud コンソールまたは gcloud CLI を使用して、プロジェクトのサービス アカウントに pubsub.publisher ロールを追加します。
コンソール
- Cloud Healthcare API が有効になっていることを確認します。
- Google Cloud コンソールの IAM ページで、Cloud Healthcare サービス エージェントのサービス アカウントの [ロール] 列に [Healthcare サービス エージェント] が表示されていることを確認します。サービス アカウント ID は
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.comです。 - ロールに一致する [継承] 列で、鉛筆アイコンをクリックします。[権限の編集] ペインが開きます。
- [別のロールを追加] をクリックし、Pub/Sub パブリッシャーのロールを検索します。
- ロールを選択し、[保存] をクリックします。
pubsub.publisherロールがサービス アカウントに追加されます。
gcloud
サービス アカウントの権限を追加するには、gcloud projects add-iam-policy-binding コマンドを実行します。PROJECT_ID と PROJECT_NUMBER を見つけるには、プロジェクトの識別をご覧ください。
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/pubsub.publisher
プロジェクト間で Pub/Sub 権限を構成する
別のプロジェクトのトピックに Pub/Sub 通知を公開するには、Cloud Healthcare サービス エージェントのサービス アカウントにそのトピックに対する pubsub.publisher ロールを付与します。詳細については、Google Cloud コンソールによるアクセス制御と IAM API によるアクセス制御をご覧ください。
プロジェクト間での Pub/Sub 通知公開の例については、サンプル ユースケース: プロジェクト間の通信をご覧ください。
DICOM ストアの Cloud Storage 権限
projects.locations.datasets.dicomStores.import メソッドと projects.locations.datasets.dicomStores.export メソッドでは、Cloud Storage との間でデータのインポートとエクスポートを行うために Cloud Healthcare サービス エージェントのサービス アカウントで追加の権限が必要です。
Cloud Storage からのデータのインポート
Google Cloud Console または gcloud CLI を使用して、必要なstorage.objectViewer ロールをプロジェクトのアカウントに追加できます。
Console
- Cloud Healthcare API が有効になっていることを確認します。
- Google Cloud コンソールの IAM ページで、Cloud Healthcare サービス エージェントのサービス アカウントの [ロール] 列に [Healthcare サービス エージェント] が表示されていることを確認します。サービス アカウント ID は
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.comです。 - 役割に一致する [継承] 列で、鉛筆アイコンをクリックします。[権限の編集] ペインが開きます。
- [別の役割を追加] をクリックし、ストレージ オブジェクト閲覧者の役割を検索します。
- 役割を選択し、[保存] をクリックします。
storage.objectViewer役割がサービス アカウントに追加されます。
gcloud
サービス アカウントの権限を追加するには、gcloud projects add-iam-policy-binding コマンドを実行します。PROJECT_ID と PROJECT_NUMBER を見つけるには、プロジェクトの識別をご覧ください。
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/storage.objectViewer
Cloud Storage へのデータのエクスポート
Google Cloud Console または gcloud CLI を使用して、必要な storage.objectAdmin ロールをプロジェクトのサービス アカウントに追加できます。
Console
- Cloud Healthcare API が有効になっていることを確認します。
- Google Cloud コンソールの IAM ページで、Cloud Healthcare サービス エージェントのサービス アカウントの [ロール] 列に [Healthcare サービス エージェント] が表示されていることを確認します。サービス アカウント ID は
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.comです。 - ロールに一致する [継承] 列で、鉛筆アイコンをクリックします。[権限の編集] ペインが開きます。
- [別の役割を追加] をクリックし、ストレージ オブジェクト管理者の役割を検索します。
- 役割を選択し、[保存] をクリックします。
storage.objectAdmin役割がサービス アカウントに追加されます。
gcloud
サービス アカウントの権限を追加するには、gcloud projects add-iam-policy-binding コマンドを実行します。PROJECT_ID と PROJECT_NUMBER を見つけるには、プロジェクトの識別をご覧ください。
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/storage.objectAdmin
DICOM ストアの BigQuery 権限
projects.locations.datasets.dicomStores.export メソッドには、DICOM メタデータを BigQuery にエクスポートするために Cloud Healthcare サービス エージェントのサービス アカウントに対する追加の権限が必要です。また、BigQuery データセットに対する WRITER アクセス権を Cloud Healthcare サービス エージェントのサービス アカウントに付与する必要があります。
Cloud Healthcare サービス エージェントのサービス アカウントに対する権限の付与
Google Cloud コンソールまたは gcloud CLI を使用して、必要な bigquery.dataEditor ロールと bigquery.jobUser ロールをプロジェクトのサービス アカウントに追加できます。
Console
- Cloud Healthcare API が有効になっていることを確認します。
- Google Cloud コンソールの IAM ページで、Cloud Healthcare サービス エージェントのサービス アカウントの [ロール] 列に [Healthcare サービス エージェント] が表示されていることを確認します。サービス アカウント ID は
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.comです。 - 役割に一致する [継承] 列で、鉛筆アイコンをクリックします。[権限の編集] ペインが開きます。
- [別の役割を追加] をクリックし、BigQuery データ編集者と BigQuery ジョブユーザーの役割を検索します。
- 各役割を選択し、[保存] をクリックします。
bigquery.dataEditorとbigquery.jobUserの役割が、サービス アカウントに追加されます。
gcloud
サービス アカウントの権限を追加するには、gcloud projects add-iam-policy-binding コマンドを実行します。PROJECT_ID と PROJECT_NUMBER を見つけるには、プロジェクトの識別をご覧ください。
roles/bigquery.dataEditorロールを付与します。後述のコマンドデータを使用する前に、次のように置き換えます。
- PROJECT_ID: Google Cloud プロジェクトの ID
- PROJECT_NUMBER: Google Cloud プロジェクトの数
次のコマンドを実行します。
Linux、macOS、Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditorWindows(PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.dataEditorWindows(cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.dataEditor次のようなレスポンスが返されます。
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.dataEditor ... etag: ETAG version: VERSION
roles/bigquery.jobUserロールを付与します。後述のコマンドデータを使用する前に、次のように置き換えます。
- PROJECT_ID: Google Cloud プロジェクトの ID
- PROJECT_NUMBER: Google Cloud プロジェクトの数
次のコマンドを実行します。
Linux、macOS、Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUserWindows(PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.jobUserWindows(cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.jobUser次のようなレスポンスが返されます。
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.jobUser ... etag: ETAG version: VERSION
WRITER に対する BigQuery データセットへのアクセス権の付与
プロジェクトのサービス アカウントに bigquery.dataEditor と bigquery.jobUser のロールを追加した場合、すべての BigQuery データセットに対する WRITER アクセス権が付与されます。ただし、これらのロールを追加していない状態で単一の BigQuery データセットに対する WRITER アクセス権が必要な場合は、そのデータセットのみに対する WRITER アクセス権を付与できます。WRITER に BigQuery データセットへのアクセス権を付与するには、次の手順をおこないます。- データセットへのアクセスの制御に移動します。
- 使用可能ないずれかの方法で、Cloud Healthcare サービス エージェントのメールアドレス
WRITERに BigQuery データセットへのアクセス権を付与します (末尾が@gcp-sa-healthcare.iam.gserviceaccount.comのメールアドレスを探します)。
たとえば、Cloud Healthcare サービス エージェントのメールアドレスが service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com で、BigQuery ウェブ UI を使用している場合は、次のようになります。
- コンソールの手順に従います。
- [プリンシパルを追加] フィールドに「
service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com」と入力し、bigquery.dataEditor役割を選択します。
Google Cloud プロジェクト間での DICOM メタデータのエクスポート
あるプロジェクトの DICOM ストアから別のプロジェクトの BigQuery テーブルに DICOM メタデータをエクスポートするには、ソース プロジェクトの Cloud Healthcare サービス エージェントのサービス アカウントを宛先のプロジェクトに追加し、サービス アカウントに宛先プロジェクトでの bigquery.dataEditor と bigquery.jobUser の役割を付与する必要があります。
ソース プロジェクトの Cloud Healthcare サービス エージェントのサービス アカウントを見つけるには、次の手順を実行します。
- Cloud Healthcare API が有効になっていることを確認します。
- Google Cloud コンソールの IAM ページで、Cloud Healthcare サービス エージェントのサービス アカウントの [ロール] 列に [Healthcare サービス エージェント] が表示されていることを確認します。サービス アカウント ID は
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.comです。次の手順で使用するため、ソースプロジェクトのこのアドレスをメモします。
次の手順で、ソース プロジェクトから宛先プロジェクトに Cloud Healthcare サービス エージェントのサービス アカウントを追加し、必要な BigQuery 権限を付与します。
Console
- Google Cloud Console で宛先プロジェクトの IAM ページを開きます。
- [Add] をクリックします。
- [新しいメンバー] フィールドに、ソース プロジェクトの Cloud Healthcare サービス エージェントのサービス アカウントのアドレスを入力します。
- [別の役割を追加] をクリックし、BigQuery データ編集者と BigQuery ジョブユーザーの役割を検索します。
- 役割を選択し、[保存] をクリックします。ソース プロジェクトの Cloud Healthcare サービス エージェントのサービス アカウントに、宛先プロジェクトに対する
bigquery.dataEditorとbigquery.jobUserの役割が付与されました。
gcloud
ソース プロジェクトから宛先プロジェクトに Cloud Healthcare サービス エージェントのサービス アカウントを追加し、必要な BigQuery 権限をサービス アカウントに付与するには、gcloud projects add-iam-policy-binding コマンドを実行します。ソース プロジェクトおよび宛先プロジェクトのプロジェクト ID とプロジェクト番号を見つけるには、プロジェクトの識別をご覧ください。
gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \
--member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/bigquery.dataEditor
gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \
--member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/bigquery.jobUser
BigQuery データセットへのアクセス権を WRITER に付与するの手順を完了して、ソース プロジェクトが宛先データセットに書き込めるようにします。
FHIR ストアの Cloud Storage 権限
以下のセクションでは、Cloud Storage との間で読み書きを行うために Cloud Healthcare サービス エージェントに対する追加の権限を必要とする FHIR メソッドについて説明します。
Cloud Storage から FHIR リソースのインポート
projects.locations.datasets.fhirStores.import メソッドには、Cloud Healthcare サービス エージェントのサービス アカウントに対する次の権限が必要です。
storage.objects.getstorage.objects.list
これらの権限は、事前定義された storage.objectViewer ロールに含まれています。
また、権限をカスタムロールに追加することも、他の基本ロールに含めることもできます。
Google Cloud コンソールまたは gcloud CLI を使用して、必要なstorage.objectViewer ロールをプロジェクトのサービス アカウントに追加できます。Console
- Cloud Healthcare API が有効になっていることを確認します。
- Google Cloud コンソールの IAM ページで、Cloud Healthcare サービス エージェントのサービス アカウントの [ロール] 列に [Healthcare サービス エージェント] が表示されていることを確認します。サービス アカウント ID は
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.comです。 - 役割に一致する [継承] 列で、鉛筆アイコンをクリックします。[権限の編集] ペインが開きます。
- [別の役割を追加] をクリックし、ストレージ オブジェクト閲覧者の役割を検索します。
- 役割を選択し、[保存] をクリックします。
storage.objectViewer役割がサービス アカウントに追加されます。
gcloud
サービス アカウントの権限を追加するには、gcloud projects add-iam-policy-binding コマンドを実行します。PROJECT_ID と PROJECT_NUMBER を見つけるには、プロジェクトの識別をご覧ください。
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/storage.objectViewer
Cloud Storage への FHIR リソースのエクスポート
projects.locations.datasets.fhirStores.export メソッドを使用するには、Cloud Healthcare サービス エージェントのサービス アカウントに対して次の権限が必要です。
storage.objects.createstorage.objects.deletestorage.objects.list
これらの権限は、事前定義された storage.objectAdmin ロールに含まれています。
また、権限をカスタムロールに追加することも、他の基本ロールに含めることもできます。
サービス アカウントに storage.objectAdmin ロールを付与する手順は次のとおりです。
コンソール
- Cloud Healthcare API が有効になっていることを確認します。
- Google Cloud コンソールの IAM ページで、Cloud Healthcare サービス エージェントのサービス アカウントの [ロール] 列に [Healthcare サービス エージェント] が表示されていることを確認します。サービス アカウント ID は
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.comです。 - ロールに一致する [継承] 列で、鉛筆アイコンをクリックします。[権限の編集] ペインが開きます。
- [別の役割を追加] をクリックし、ストレージ オブジェクト作成者の役割を検索します。
- 役割を選択し、[保存] をクリックします。
storage.objectAdmin役割がサービス アカウントに追加されます。
gcloud
サービス アカウントの権限を追加するには、gcloud projects add-iam-policy-binding コマンドを実行します。PROJECT_ID と PROJECT_NUMBER を見つけるには、プロジェクトの識別をご覧ください。
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/storage.objectAdmin
Cloud Storage からフィルタ ファイルを読み取る
projects.locations.datasets.fhirStores.rollback メソッドにはCloud Healthcare サービス エージェントのサービス アカウントに対して、Cloud Storage からフィルタ ファイルを読み取る次の権限が必要です。
storage.objects.getstorage.objects.list
これらの権限は、事前定義された storage.objectViewer ロールに含まれています。
また、権限をカスタムロールに追加することも、他の基本ロールに含めることもできます。
サービス アカウントに storage.objectViewer ロールを付与する手順は、次のとおりです。
出力ファイルを Cloud Storage に書き込む
projects.locations.datasets.fhirStores.rollback メソッドにはCloud Healthcare サービス エージェントのサービス アカウントに対して、Cloud Storage に出力ファイルを書き込む次の権限が必要です。
storage.objects.createstorage.objects.deletestorage.objects.getstorage.objects.list
これらの権限は、事前定義された storage.objectAdmin ロールに含まれています。
また、権限をカスタムロールに追加することも、他の基本ロールに含めることもできます。
サービス アカウントに storage.objectAdmin ロールを付与する手順は、次のとおりです。
FHIR ストアの BigQuery 権限
projects.locations.datasets.fhirStores.export メソッドには、FHIR リソースを BigQuery にエクスポートするための Cloud Healthcare サービス エージェントのサービス アカウントに対する追加の権限が必要です。また、BigQuery データセットに対する WRITER アクセス権を Cloud Healthcare サービス エージェントのサービス アカウントに付与する必要があります。
Cloud Healthcare サービス エージェントのサービス アカウントに対する権限の付与
Console
- Cloud Healthcare API が有効になっていることを確認します。
- Google Cloud コンソールの IAM ページで、Cloud Healthcare サービス エージェントのサービス アカウントの [ロール] 列に [Healthcare サービス エージェント] が表示されていることを確認します。サービス アカウント ID は
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.comです。 - 役割に一致する [継承] 列で、鉛筆アイコンをクリックします。[権限の編集] ペインが開きます。
- [別の役割を追加] をクリックし、BigQuery データ編集者と BigQuery ジョブユーザーの役割を検索します。
- 各役割を選択し、[保存] をクリックします。
bigquery.dataEditorとbigquery.jobUserの役割が、サービス アカウントに追加されます。
gcloud
サービス アカウントの権限を追加するには、gcloud projects add-iam-policy-binding コマンドを実行します。PROJECT_ID と PROJECT_NUMBER を見つけるには、プロジェクトの識別をご覧ください。
roles/bigquery.dataEditorロールを付与します。後述のコマンドデータを使用する前に、次のように置き換えます。
- PROJECT_ID: Google Cloud プロジェクトの ID
- PROJECT_NUMBER: Google Cloud プロジェクトの数
次のコマンドを実行します。
Linux、macOS、Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditorWindows(PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.dataEditorWindows(cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.dataEditor次のようなレスポンスが返されます。
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.dataEditor ... etag: ETAG version: VERSION
roles/bigquery.jobUserロールを付与します。後述のコマンドデータを使用する前に、次のように置き換えます。
- PROJECT_ID: Google Cloud プロジェクトの ID
- PROJECT_NUMBER: Google Cloud プロジェクトの数
次のコマンドを実行します。
Linux、macOS、Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUserWindows(PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.jobUserWindows(cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.jobUser次のようなレスポンスが返されます。
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.jobUser ... etag: ETAG version: VERSION
WRITER に対する BigQuery データセットへのアクセス権の付与
プロジェクトのサービス アカウントに bigquery.dataEditor と bigquery.jobUser のロールを追加した場合、すべての BigQuery データセットに対する WRITER アクセス権が付与されます。ただし、これらのロールを追加していない状態で単一の BigQuery データセットに対する WRITER アクセス権が必要な場合は、そのデータセットのみに対する WRITER アクセス権を付与できます。WRITER に BigQuery データセットへのアクセス権を付与するには、次の手順をおこないます。- データセットへのアクセスの制御に移動します。
- 使用可能ないずれかの方法で、Cloud Healthcare サービス エージェントのメールアドレス
WRITERに BigQuery データセットへのアクセス権を付与します (末尾が@gcp-sa-healthcare.iam.gserviceaccount.comのメールアドレスを探します)。
たとえば、Cloud Healthcare サービス エージェントのメールアドレスが service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com で、BigQuery ウェブ UI を使用している場合は、次のようになります。
- コンソールの手順に従います。
- [プリンシパルを追加] フィールドに「
service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com」と入力し、bigquery.dataEditor役割を選択します。
HL7v2 ストアの Cloud Storage 権限
projects.locations.datasets.hl7V2Stores.import メソッドと projects.locations.datasets.hl7V2Stores.export メソッドでは、HL7v2 メッセージを Cloud Storage からインポートし、Cloud Storage にエクスポートでするために、Cloud Healthcare サービス エージェントサービス アカウントに対する追加の権限が必要です。
アプリケーションが実行するアクションに基づいて、サービス アカウントに必要な権限を決定します。
- アプリケーションで Cloud Storage から HL7v2 ストアに HL7v2 メッセージをインポートする場合、サービス アカウントには
storage.objects.get権限とstorage.objects.list権限が必要です。これらの権限はstorage.objectViewerロールに含まれています。 - アプリケーションで HL7v2 ストアから Cloud Storage に HL7v2 メッセージをエクスポートする場合、サービス アカウントには
storage.objects.create、storage.objects.delete、storage.objects.listの権限が必要です。これらの権限はstorage.objectCreatorロールに含まれています。
Cloud Storage からの HL7v2 メッセージのインポート
Google Cloud Console または gcloud CLI を使用して、必要なstorage.objectViewer ロールをプロジェクトのアカウントに追加できます。
Console
- Cloud Healthcare API が有効になっていることを確認します。
- Google Cloud コンソールの IAM ページで、Cloud Healthcare サービス エージェントのサービス アカウントの [ロール] 列に [Healthcare サービス エージェント] が表示されていることを確認します。サービス アカウント ID は
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.comです。 - 役割に一致する [継承] 列で、鉛筆アイコンをクリックします。[権限の編集] ペインが開きます。
- [別の役割を追加] をクリックし、ストレージ オブジェクト閲覧者の役割を検索します。
- 役割を選択し、[保存] をクリックします。
storage.objectViewer役割がサービス アカウントに追加されます。
gcloud
サービス アカウントの権限を追加するには、gcloud projects add-iam-policy-binding コマンドを実行します。PROJECT_ID と PROJECT_NUMBER を見つけるには、プロジェクトの識別をご覧ください。
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/storage.objectViewer
Cloud Storage への HL7v2 メッセージのエクスポート
Google Cloud Console または gcloud CLI を使用して、必要な storage.objectCreator ロールをプロジェクトのサービス アカウントに追加できます。
Console
- Cloud Healthcare API が有効になっていることを確認します。
- Google Cloud コンソールの IAM ページで、Cloud Healthcare サービス エージェントのサービス アカウントの [ロール] 列に [Healthcare サービス エージェント] が表示されていることを確認します。サービス アカウント ID は
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.comです。 - ロールに一致する [継承] 列で、鉛筆アイコンをクリックします。[権限の編集] ペインが開きます。
- [別の役割を追加] をクリックし、ストレージ オブジェクト作成者の役割を検索します。
- 役割を選択し、[保存] をクリックします。
storage.objectCreator役割がサービス アカウントに追加されます。
gcloud
サービス アカウントの権限を追加するには、gcloud projects add-iam-policy-binding コマンドを実行します。PROJECT_ID と PROJECT_NUMBER を見つけるには、プロジェクトの識別をご覧ください。
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \
--role=roles/storage.objectCreator