Mengonfigurasi pengaturan ekspor dan menyiapkan akun penyimpanan

  • Artikel

Layanan FHIR mendukung operasi yang $export ditentukan oleh HL7 untuk mengekspor data FHIR dari server FHIR. Dalam implementasi layanan FHIR, memanggil $export titik akhir menyebabkan layanan FHIR mengekspor data ke akun penyimpanan Azure yang telah dikonfigurasi sebelumnya.

Pastikan Anda diberikan peran aplikasi - 'Peran pengekspor data FHIR' sebelum mengonfigurasi ekspor. Untuk memahami selengkapnya tentang peran aplikasi, lihat Autentikasi dan Otorisasi untuk layanan FHIR.

Tiga langkah dalam menyiapkan $export operasi untuk layanan FHIR-

  • Aktifkan identitas terkelola untuk layanan FHIR.
  • Konfigurasikan akun Azure Data Lake Storage Gen2 (ADLS Gen2) baru atau yang sudah ada dan berikan izin bagi layanan FHIR untuk mengakses akun.
  • Atur akun ADLS Gen2 sebagai tujuan ekspor untuk layanan FHIR.

Mengaktifkan identitas terkelola untuk layanan FHIR

Langkah pertama dalam mengonfigurasi lingkungan Anda untuk ekspor data FHIR adalah mengaktifkan identitas terkelola di seluruh sistem untuk layanan FHIR. Identitas terkelola ini digunakan untuk mengautentikasi layanan FHIR untuk memungkinkan akses ke akun ADLS Gen2 selama $export operasi. Untuk informasi selengkapnya tentang identitas terkelola di Azure, lihat Tentang identitas terkelola untuk sumber daya Azure.

Dalam langkah ini, telusuri ke layanan FHIR Anda di portal Azure dan pilih bilah Identitas. Atur opsi Status ke Aktif, lalu klik Simpan. Saat tombol Ya dan Tidak ditampilkan, pilih Ya untuk mengaktifkan identitas terkelola untuk layanan FHIR. Setelah identitas sistem diaktifkan, Anda akan melihat nilai ID Objek (utama) untuk layanan FHIR Anda.

Enable Managed Identity

Memberikan izin di akun penyimpanan untuk akses layanan FHIR

  1. Buka akun ADLS Gen2 Anda di portal Azure. Jika Anda belum memiliki akun ADSL Gen2 yang disebarkan, ikuti petunjuk berikut untuk membuat akun penyimpanan Azure dan meningkatkan ke ADLS Gen2. Pastikan untuk mengaktifkan opsi namespace hierarkis di tab Tingkat Lanjut untuk membuat akun ADLS Gen2.

  2. Di akun ADLS Gen2 Anda, pilih Kontrol akses (IAM).

  3. Pilih Tambahkan > Tambahkan penetapan peran. Jika opsi Tambahkan penetapan peran berwarna abu-abu, minta bantuan administrator Azure Anda untuk langkah ini.

    Screenshot that shows Access control (IAM) page with Add role assignment menu open.

  4. Pada tab Peran , pilih peran Kontributor Data Blob Penyimpanan.

    Screen shot showing user interface of Add role assignment page.

  5. Pada tab Anggota , pilih Identitas terkelola, lalu klik Pilih anggota.

  6. Pilih langganan Azure Anda.

  7. Pilih Identitas terkelola yang ditetapkan sistem, lalu pilih identitas terkelola yang Anda aktifkan sebelumnya untuk layanan FHIR Anda.

  8. Pada tab Tinjau + tetapkan , klik Tinjau + tetapkan untuk menetapkan peran Kontributor Data Blob Penyimpanan ke layanan FHIR Anda.

Untuk informasi selengkapnya tentang menetapkan peran di portal Azure, lihat Peran bawaan Azure.

Sekarang Anda siap untuk mengonfigurasi layanan FHIR dengan mengatur akun ADLS Gen2 sebagai akun penyimpanan default untuk diekspor.

Tentukan akun penyimpanan untuk ekspor layanan FHIR

Langkah terakhir adalah menentukan akun ADLS Gen2 yang digunakan layanan FHIR saat mengekspor data.

Catatan

Di akun penyimpanan, jika Anda belum menetapkan peran Kontributor Data Blob Penyimpanan ke layanan FHIR, $export operasi akan gagal.

  1. Buka pengaturan layanan FHIR Anda.

  2. Pilih bilah Ekspor .

  3. Pilih nama akun penyimpanan dari daftar. Jika Anda perlu mencari akun penyimpanan Anda, gunakan filter Nama, Grup sumber daya, atau Wilayah .

Screen shot showing user interface of FHIR Export Storage.

Setelah menyelesaikan langkah konfigurasi akhir ini, Anda siap untuk mengekspor data dari layanan FHIR. Lihat Cara mengekspor data FHIR untuk detail tentang melakukan $export operasi dengan layanan FHIR.

Catatan

Hanya akun penyimpanan dalam langganan yang sama dengan layanan FHIR yang diizinkan untuk didaftarkan sebagai tujuan operasi $export .

Mengamankan operasi layanan $export FHIR

Untuk mengekspor dengan aman dari layanan FHIR ke akun ADLS Gen2, ada dua opsi utama:

  • Mengizinkan layanan FHIR mengakses akun penyimpanan sebagai Layanan Tepercaya Microsoft.

  • Mengizinkan alamat IP tertentu yang terkait dengan layanan FHIR untuk mengakses akun penyimpanan. Opsi ini mengizinkan dua konfigurasi berbeda tergantung pada apakah akun penyimpanan berada di wilayah Azure yang sama dengan layanan FHIR atau tidak.

Mengizinkan layanan FHIR sebagai Layanan Tepercaya Microsoft

Buka akun ADLS Gen2 Anda di portal Azure dan pilih bilah Jaringan. Pilih Diaktifkan dari jaringan virtual dan alamat IP yang dipilih di bawah tab Firewall dan jaringan virtual.

Screenshot of Azure Storage Networking Settings.

Pilih Microsoft.HealthcareApis/workspaces dari daftar dropdown Jenis sumber daya lalu pilih ruang kerja Anda dari daftar dropdown Nama instans.

Di bawah bagian Pengecualian , pilih kotak Izinkan layanan Azure pada daftar layanan tepercaya untuk mengakses akun penyimpanan ini. Pastikan untuk mengklik Simpan untuk mempertahankan pengaturan.

Allow trusted Microsoft services to access this storage account.

Selanjutnya, jalankan perintah PowerShell berikut untuk menginstal Az.Storage modul PowerShell di lingkungan lokal Anda. Ini memungkinkan Anda mengonfigurasi akun penyimpanan Azure menggunakan PowerShell.

Install-Module Az.Storage -Repository PsGallery -AllowClobber -Force

Sekarang, gunakan perintah PowerShell di bawah ini untuk mengatur instans layanan FHIR yang dipilih sebagai sumber daya tepercaya untuk akun penyimpanan. Pastikan bahwa semua parameter yang tercantum ditentukan di lingkungan PowerShell Anda.

Anda harus menjalankan Add-AzStorageAccountNetworkRule perintah sebagai administrator di lingkungan lokal Anda. Untuk informasi selengkapnya, lihat Mengonfigurasi firewall Azure Storage dan jaringan virtual.

$subscription="xxx"
$tenantId = "xxx"
$resourceGroupName = "xxx"
$storageaccountName = "xxx"
$workspacename="xxx"
$fhirname="xxx"
$resourceId = "/subscriptions/$subscription/resourceGroups/$resourceGroupName/providers/Microsoft.HealthcareApis/workspaces/$workspacename/fhirservices/$fhirname"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $storageaccountName -TenantId $tenantId -ResourceId $resourceId

Setelah menjalankan perintah ini, di bagian Firewall di bawah Instans sumber daya, Anda akan melihat 2 dipilih di daftar dropdown Nama instans. Ini adalah nama instans ruang kerja dan instans layanan FHIR yang Anda daftarkan sebagai Sumber Daya Tepercaya Microsoft.

Screenshot of Azure Storage Networking Settings with resource type and instance names.

Anda sekarang siap untuk mengekspor data FHIR dengan aman ke akun penyimpanan.

Akun penyimpanan berada di jaringan yang dipilih dan tidak dapat diakses secara publik. Untuk mengakses file dengan aman, Anda dapat mengaktifkan titik akhir privat untuk akun penyimpanan.

Mengizinkan alamat IP tertentu untuk mengakses akun penyimpanan Azure dari wilayah Azure lainnya

  1. Di portal Azure, buka akun Azure Data Lake Storage Gen2.

  2. Di menu sebelah kiri, pilih Jaringan.

  3. Pilih Diaktifkan dari jaringan virtual dan alamat IP yang dipilih.

  4. Di bagian Firewall , dalam kotak Rentang alamat , tentukan alamat IP. Tambahkan rentang IP untuk mengizinkan akses dari internet atau jaringan lokal Anda. Anda dapat menemukan alamat IP dalam tabel berikut untuk wilayah Azure tempat layanan FHIR disediakan.

    Wilayah Azure Alamat IP publik
    Australia Timur 20.53.44.80
    Kanada Tengah 20.48.192.84
    US Tengah 52.182.208.31
    AS Timur 20.62.128.148
    AS Timur 2 20.49.102.228
    US Timur 2 EUAP 20.39.26.254
    Jerman Utara 51.116.51.33
    Jerman Barat Tengah 51.116.146.216
    Jepang Timur 20.191.160.26
    Korea Tengah 20.41.69.51
    US Tengah Utara 20.49.114.188
    Eropa Utara 52.146.131.52
    Afrika Selatan Utara 102.133.220.197
    US Tengah Selatan 13.73.254.220
    Asia Tenggara 23.98.108.42
    Swiss Utara 51.107.60.95
    UK Selatan 51.104.30.170
    UK Barat 51.137.164.94
    AS Tengah Bagian Barat 52.150.156.44
    Eropa Barat 20.61.98.66
    US Barat 2 40.64.135.77

Mengizinkan alamat IP tertentu untuk mengakses akun penyimpanan Azure di wilayah yang sama

Proses konfigurasi untuk alamat IP di wilayah yang sama seperti prosedur sebelumnya, kecuali bahwa Anda menggunakan rentang alamat IP tertentu dalam format Classless Inter-Domain Routing (CIDR) sebagai gantinya (yaitu, 100.64.0.0/10). Anda harus menentukan rentang alamat IP (100.64.0.0 hingga 100.127.255.255) karena alamat IP untuk layanan FHIR dialokasikan setiap kali Anda membuat permintaan operasi.

Catatan

Dimungkinkan untuk menggunakan alamat IP privat dalam rentang 10.0.2.0/24, tetapi tidak ada jaminan bahwa operasi akan berhasil dalam kasus seperti itu. Anda dapat mencoba kembali jika permintaan operasi gagal, tetapi sampai Anda menggunakan alamat IP dalam rentang 100.64.0.0/10, permintaan tidak akan berhasil.

Perilaku jaringan untuk rentang alamat IP ini dirancang. Alternatifnya adalah mengonfigurasi akun penyimpanan di wilayah yang berbeda.

Langkah berikutnya

Dalam artikel ini, Anda mempelajari tentang tiga langkah dalam mengonfigurasi lingkungan Anda untuk memungkinkan ekspor data dari layanan FHIR Anda ke akun penyimpanan Azure. Untuk informasi selengkapnya tentang kemampuan Ekspor Massal di layanan FHIR, lihat

Cara mengekspor data FHIR

FHIR® adalah merek dagang terdaftar HL7 dan digunakan dengan izin HL7.