エクスポート設定を構成してストレージ アカウントを設定する
FHIR サービスは、$export
FHIR サーバーから FHIR データをエクスポートするために HL7 で指定された操作をサポートします。 FHIR サービスの実装では、エンドポイントを $export
呼び出すと、FHIR サービスは事前に構成された Azure ストレージ アカウントにデータをエクスポートします。
エクスポートを構成する前に、アプリケーション ロール 'FHIR データ エクスポーター ロール' が付与されていることを確認します。 アプリケーション ロールの詳細については、「FHIR サービスの認証と承認」を参照してください。
FHIR サービスの操作を設定する $export
3 つの手順
- FHIR サービスのマネージド ID を有効にします。
- 新規または既存の Azure Data Lake Storage Gen2 (ADLS Gen2) アカウントを構成し、FHIR サービスがアカウントにアクセスするためのアクセス許可を付与します。
- ADLS Gen2 アカウントを FHIR サービスのエクスポート先として設定します。
FHIR サービスのマネージド ID を有効にする
FHIR データ エクスポート用に環境を構成する最初の手順は、FHIR サービスのシステム全体のマネージド ID を有効にすることです。 このマネージド ID は、操作中に ADLS Gen2 アカウントへのアクセスを許可する FHIR サービスを $export
認証するために使用されます。 Azure のマネージド ID の詳細については、Azure リソースのマネージド ID の概要に関するページを参照してください。
この手順では、Azure portal で FHIR サービスを参照し、[ID] ブレードを選択します。 [状態] オプションを [オン] に設定し、[保存] をクリックします。 [はい] ボタンと [いいえ] ボタンが表示されたら、[はい] を選択して FHIR サービスのマネージド ID を有効にします。 システム ID が有効になると、FHIR サービスの オブジェクト (プリンシパル) ID 値が表示されます。
FHIR サービス アクセスのアクセス許可をストレージ アカウントに付与する
Azure portal で ADLS Gen2 アカウントに移動します。 ADSL Gen2 アカウントをまだデプロイしていない場合は、次の手順に従って Azure ストレージ アカウントを作成し、ADLS Gen2 にアップグレードします。 ADLS Gen2 アカウントを作成するには、[詳細設定] タブで階層型名前空間オプションを有効にしてください。
ADLS Gen2 アカウントで、[アクセス制御 (IAM)] を選択します。
[追加] > [ロールの割り当ての追加] の順に選択します。 [ロールの割り当ての追加] オプションが淡色表示されている場合は、Azure 管理者にこの手順のヘルプを依頼してください。
[ロール] タブで、ストレージ BLOB データ共同作成者ロールを選択します。
[メンバー] タブで[マネージド ID] を選択し、[メンバーの選択] をクリックします。
Azure サブスクリプションを選択します。
[ システム割り当てマネージド ID] を選択し、FHIR サービスに対して以前に有効にしたマネージド ID を選択します。
[確認と割り当て] タブで、[確認と割り当て] をクリックして、ストレージ BLOB データ共同作成者ロールを FHIR サービスに割り当てます。
Azure portal でロールに割り当てる方法の詳細については Azure 組み込みロールに関するページを参照してください。
これで、ADLS Gen2 アカウントをエクスポート用の既定のストレージ アカウントとして設定して、FHIR サービスを構成する準備ができました。
FHIR サービス エクスポートのストレージ アカウントを指定する
最後の手順では、FHIR サービスがデータのエクスポート時に使用する ADLS Gen2 アカウントを指定します。
Note
ストレージ アカウントで、ストレージ BLOB データ共同作成者ロールを FHIR サービスに割り当てていない場合、$export
操作は失敗します。
FHIR サービスの設定に移動します。
[エクスポート] ブレードを選択します。
一覧からストレージ アカウントの名前を選択します。 ストレージ アカウントを検索する必要がある場合は、名前、リソース グループ、またはリージョン フィルターを使用します。
この最後の構成手順を完了すると、FHIR サービスからデータをエクスポートする準備が整います。 FHIR サービスで操作を実行する方法の詳細については 、FHIR データ をエクスポートする $export
方法を参照してください。
Note
操作の宛先 $export
として登録できるのは、FHIR サービスと同じサブスクリプション内のストレージ アカウントのみです。
FHIR サービス $export
操作のセキュリティ保護
FHIR サービスから ADLS Gen2 アカウントに安全にエクスポートするには、次の 2 つのメインオプションがあります。
FHIR サービスが Microsoft 信頼済みサービスとしてストレージ アカウントにアクセスできるようにします。
FHIR サービスに関連付けられている特定の IP アドレスにストレージ アカウントへのアクセスを許可する。 このオプションでは、ストレージ アカウントが FHIR サービスと同じ Azure リージョンにあるかどうかに応じて、2 つの異なる構成が許可されます。
Microsoft の信頼されたサービスとしての FHIR サービスの許可
Azure portal で ADLS Gen2 アカウントに移動し、[ネットワーク] ブレードを選択します。 [ファイアウォールと仮想ネットワーク] タブで、選択した仮想ネットワークと IP アドレスから [有効] を選択します。
[リソースの種類] ドロップダウン リストから Microsoft.HealthcareApis/workspaces を選択し、[インスタンス名] ドロップダウン リストからワークスペースを選択します。
[例外] セクションで、信頼されたサービスの一覧の [Azure サービスにこのストレージ アカウントへのアクセスを許可する] ボックスを選択します。 [保存] をクリックして設定を保持してください。
次に、次の PowerShell コマンドを実行して、ローカル環境に Az.Storage
PowerShell モジュールをインストールします。 これにより、PowerShell を使用して Azure ストレージ アカウントを構成できます。
Install-Module Az.Storage -Repository PsGallery -AllowClobber -Force
次に、次の PowerShell コマンドを使用して、選択した FHIR サービス インスタンスをストレージ アカウントの信頼できるリソースとして設定します。 一覧表示されているすべてのパラメーターが PowerShell 環境で定義されていることを確認します。
ローカル環境で管理者としてコマンドを Add-AzStorageAccountNetworkRule
実行する必要があります。 詳細については、Azure Storage ファイアウォールおよび仮想ネットワークの構成に関する記事を参照してください。
$subscription="xxx"
$tenantId = "xxx"
$resourceGroupName = "xxx"
$storageaccountName = "xxx"
$workspacename="xxx"
$fhirname="xxx"
$resourceId = "/subscriptions/$subscription/resourceGroups/$resourceGroupName/providers/Microsoft.HealthcareApis/workspaces/$workspacename/fhirservices/$fhirname"
Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $storageaccountName -TenantId $tenantId -ResourceId $resourceId
このコマンドを実行すると、[リソース インスタンス] の [ファイアウォール] セクションの [インスタンス名] ドロップダウン リストで 2 が選択されています。 これらは、Microsoft 信頼できるリソースとして登録したワークスペース インスタンスと FHIR サービス インスタンスの名前です。
これで、FHIR データをストレージ アカウントに安全にエクスポートする準備ができました。
ストレージ アカウントは、選択したネットワーク上にあり、パブリックにアクセスできません。 ファイルに安全にアクセスするには、ストレージ アカウントのプライベート エンドポイントを有効にします。
特定の IP アドレスが他の Azure リージョンから Azure ストレージ アカウントにアクセスできるようにする
Azure portal で、Azure Data Lake Storage Gen2 アカウントに移動します。
左側のメニューで、[ネットワーク] を選択します。
[選択した仮想ネットワークと IP アドレスから有効] を選択します。
[ファイアウォール] セクションの [アドレス範囲] ボックスで、IP アドレスを指定します。 インターネットまたはオンプレミスのネットワークからのアクセスを許可する IP 範囲を追加します。 次の表に、FHIR サービスがプロビジョニングされている Azure リージョンの IP アドレスを示します。
Azure リージョン パブリック IP アドレス オーストラリア東部 20.53.44.80 カナダ中部 20.48.192.84 米国中部 52.182.208.31 米国東部 20.62.128.148 米国東部 2 20.49.102.228 米国東部 2 EUAP 20.39.26.254 ドイツ北部 51.116.51.33 ドイツ中西部 51.116.146.216 東日本 20.191.160.26 韓国中部 20.41.69.51 米国中北部 20.49.114.188 北ヨーロッパ 52.146.131.52 南アフリカ北部 102.133.220.197 米国中南部 13.73.254.220 東南アジア 23.98.108.42 スイス北部 51.107.60.95 英国南部 51.104.30.170 英国西部 51.137.164.94 米国中西部 52.150.156.44 西ヨーロッパ 20.61.98.66 米国西部 2 40.64.135.77
同じリージョン内の Azure ストレージ アカウントへのアクセスを特定の IP アドレスに許可する
同じリージョンの IP アドレスの構成プロセスは前の手順と同じですが、クラスレス Inter-Doメイン Routing (CIDR) 形式 (つまり、100.64.0.0/10) で特定の IP アドレス範囲を使用する点が異なります。 操作要求を行うたびに FHIR サービスの IP アドレスが割り当てられるため、IP アドレス範囲 (100.64.0.0 から 100.127.255.255) を指定する必要があります。
Note
10.0.2.0/24 の範囲内でプライベート IP アドレスを使用することはできますが、このような場合に操作が成功する保証はありません。 操作要求が失敗した場合は再試行できますが、100.64.0.0/10 の範囲内の IP アドレスを使用するまで、要求は成功しません。
IP アドレス範囲に対するこのネットワーク動作は仕様です。 代替策として、ストレージ アカウントを別のリージョンで構成する方法があります。
次のステップ
この記事では、FHIR サービスから Azure ストレージ アカウントへのデータのエクスポートを許可するように環境を構成する 3 つの手順について説明しました。 FHIR サービスの一括エクスポート機能の詳細については、以下を参照してください。
FHIR® は HL7 の登録商標であり、HL7 の許可を得て使用しています。