Share via

Konfigurera exportinställningar och konfigurera ett lagringskonto

  • Artikel

FHIR-tjänsten stöder den $export åtgärd som anges av HL7 för att exportera FHIR-data från en FHIR-server. I FHIR-tjänstimplementeringen gör anrop till $export slutpunkten att FHIR-tjänsten exporterar data till ett förkonfigurerat Azure Storage-konto.

Se till att du beviljas med programrollen FHIR Data Exporter-roll innan du konfigurerar export. Mer information om programroller finns i Autentisering och auktorisering för FHIR-tjänsten.

Tre steg när du konfigurerar $export åtgärden för FHIR-tjänsten–

  • Aktivera en hanterad identitet för FHIR-tjänsten.
  • Konfigurera ett nytt eller befintligt Azure Data Lake Storage Gen2-konto (ADLS Gen2) och ge FHIR-tjänsten behörighet att komma åt kontot.
  • Ange ADLS Gen2-kontot som exportmål för FHIR-tjänsten.

Aktivera hanterad identitet för FHIR-tjänsten

Det första steget i att konfigurera din miljö för FHIR-dataexport är att aktivera en systemomfattande hanterad identitet för FHIR-tjänsten. Den här hanterade identiteten används för att autentisera FHIR-tjänsten för att tillåta åtkomst till ADLS Gen2-kontot under en $export åtgärd. Mer information om hanterade identiteter i Azure finns i Om hanterade identiteter för Azure-resurser.

I det här steget bläddrar du till din FHIR-tjänst i Azure-portalen och väljer bladet Identitet . Ange alternativet Status till och klicka sedan på Spara. När knapparna Ja och Nej visas väljer du Ja för att aktivera den hanterade identiteten för FHIR-tjänsten. När systemidentiteten har aktiverats visas ett objekt-ID-värde (huvudnamn) för din FHIR-tjänst.

Enable Managed Identity

Ge behörighet i lagringskontot för FHIR-tjänståtkomst

  1. Gå till ditt ADLS Gen2-konto i Azure-portalen. Om du inte redan har ett ADSL Gen2-konto distribuerat följer du de här anvisningarna för att skapa ett Azure-lagringskonto och uppgradera till ADLS Gen2. Se till att aktivera alternativet hierarkisk namnrymd på fliken Avancerat för att skapa ett ADLS Gen2-konto.

  2. I ditt ADLS Gen2-konto väljer du Åtkomstkontroll (IAM).

  3. Välj Lägg till lägg till > rolltilldelning. Om alternativet Lägg till rolltilldelning är nedtonat ber du Azure-administratören om hjälp med det här steget.

    Screenshot that shows Access control (IAM) page with Add role assignment menu open.

  4. På fliken Roll väljer du rollen Lagringsblobdatadeltagare .

    Screen shot showing user interface of Add role assignment page.

  5. På fliken Medlemmar väljer du Hanterad identitet och klickar sedan på Välj medlemmar.

  6. Välj din Azure-prenumerationen.

  7. Välj Systemtilldelad hanterad identitet och välj sedan den hanterade identitet som du aktiverade tidigare för din FHIR-tjänst.

  8. På fliken Granska + tilldela klickar du på Granska + tilldela för att tilldela rollen Storage Blob Data Contributor till din FHIR-tjänst.

Mer information om hur du tilldelar roller i Azure-portalen finns i Inbyggda Azure-roller.

Nu är du redo att konfigurera FHIR-tjänsten genom att ange ADLS Gen2-kontot som standardlagringskonto för export.

Ange lagringskontot för FHIR-tjänstexport

Det sista steget är att ange det ADLS Gen2-konto som FHIR-tjänsten använder när data exporteras.

Kommentar

Om du inte har tilldelat rollen Storage Blob Data Contributor till FHIR-tjänsten i lagringskontot misslyckas åtgärden $export .

  1. Gå till dina FHIR-tjänstinställningar.

  2. Välj bladet Exportera.

  3. Välj namnet på lagringskontot i listan. Om du behöver söka efter ditt lagringskonto använder du filtren Namn, Resursgrupp eller Region .

Screen shot showing user interface of FHIR Export Storage.

När du har slutfört det här sista konfigurationssteget är du redo att exportera data från FHIR-tjänsten. Mer information om hur du utför $export åtgärder med FHIR-tjänsten finns i Exportera FHIR-data.

Kommentar

Endast lagringskonton i samma prenumeration som FHIR-tjänsten kan registreras som mål för $export åtgärder.

Skydda FHIR-tjänståtgärden $export

För säker export från FHIR-tjänsten till ett ADLS Gen2-konto finns det två huvudsakliga alternativ:

  • Tillåter att FHIR-tjänsten får åtkomst till lagringskontot som en Betrodd Microsoft-tjänst.

  • Tillåta att specifika IP-adresser som är associerade med FHIR-tjänsten får åtkomst till lagringskontot. Det här alternativet tillåter två olika konfigurationer beroende på om lagringskontot finns i samma Azure-region som FHIR-tjänsten.

Tillåta FHIR-tjänsten som en Betrodd Microsoft-tjänst

Gå till ditt ADLS Gen2-konto i Azure-portalen och välj bladet Nätverk . Välj Aktiverad från valda virtuella nätverk och IP-adresser under fliken Brandväggar och virtuella nätverk .

Screenshot of Azure Storage Networking Settings.

Välj Microsoft.HealthcareApis/workspaces i listrutan Resurstyp och välj sedan din arbetsyta i listrutan Instansnamn .

Under avsnittet Undantag väljer du rutan Tillåt att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här lagringskontot. Se till att klicka på Spara för att behålla inställningarna.

Allow trusted Microsoft services to access this storage account.

Kör sedan följande PowerShell-kommando för att installera Az.Storage PowerShell-modulen i din lokala miljö. På så sätt kan du konfigurera dina Azure Storage-konton med hjälp av PowerShell.

Install-Module Az.Storage -Repository PsGallery -AllowClobber -Force

Använd nu PowerShell-kommandot nedan för att ange den valda FHIR-tjänstinstansen som en betrodd resurs för lagringskontot. Kontrollera att alla listade parametrar har definierats i PowerShell-miljön.

Du måste köra Add-AzStorageAccountNetworkRule kommandot som administratör i din lokala miljö. Mer information finns i Konfigurera Azure Storage-brandväggar och virtuella nätverk.

$subscription="xxx"
$tenantId = "xxx"
$resourceGroupName = "xxx"
$storageaccountName = "xxx"
$workspacename="xxx"
$fhirname="xxx"
$resourceId = "/subscriptions/$subscription/resourceGroups/$resourceGroupName/providers/Microsoft.HealthcareApis/workspaces/$workspacename/fhirservices/$fhirname"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $storageaccountName -TenantId $tenantId -ResourceId $resourceId

När du har kört det här kommandot visas 2 markerade i listrutan Instansnamn i avsnittet Brandvägg under Resursinstanser. Det här är namnen på arbetsyteinstansen och FHIR-tjänstinstansen som du registrerade som Microsoft Trusted Resources.

Screenshot of Azure Storage Networking Settings with resource type and instance names.

Nu är du redo att på ett säkert sätt exportera FHIR-data till lagringskontot.

Lagringskontot finns i valda nätverk och är inte offentligt tillgängligt. Om du vill komma åt filerna på ett säkert sätt kan du aktivera privata slutpunkter för lagringskontot .

Tillåt att specifika IP-adresser får åtkomst till Azure Storage-kontot från andra Azure-regioner

  1. Gå till Azure Data Lake Storage Gen2-kontot i Azure-portalen.

  2. Välj Nätverk på den vänstra menyn.

  3. Välj Aktiverad från valda virtuella nätverk och IP-adresser.

  4. I avsnittet Brandvägg i rutan Adressintervall anger du IP-adressen. Lägg till IP-intervall för att tillåta åtkomst från Internet eller dina lokala nätverk. Du hittar IP-adressen i följande tabell för Den Azure-region där FHIR-tjänsten etableras.

    Azure-region Offentlig IP-adress
    Australien, östra 20.53.44.80
    Kanada, centrala 20.48.192.84
    Centrala USA 52.182.208.31
    USA, östra 20.62.128.148
    USA, östra 2 20.49.102.228
    Östra USA 2 EUAP 20.39.26.254
    Tyskland, norra 51.116.51.33
    Tyskland, västra centrala 51.116.146.216
    Japan, östra 20.191.160.26
    Sydkorea, centrala 20.41.69.51
    Norra centrala USA 20.49.114.188
    Europa, norra 52.146.131.52
    Sydafrika, norra 102.133.220.197
    USA, södra centrala 13.73.254.220
    Sydostasien 23.98.108.42
    Schweiz, norra 51.107.60.95
    Södra Storbritannien 51.104.30.170
    Västra Storbritannien 51.137.164.94
    Västra centrala USA 52.150.156.44
    Västeuropa 20.61.98.66
    Västra USA 2 40.64.135.77

Tillåt att specifika IP-adresser får åtkomst till Azure Storage-kontot i samma region

Konfigurationsprocessen för IP-adresser i samma region är precis som föregående procedur, förutom att du använder ett specifikt IP-adressintervall i CIDR-format (Classless Inter-Domain Routing) i stället (dvs. 100.64.0.0/10). Du måste ange IP-adressintervallet (100.64.0.0 till 100.127.255.255) eftersom en IP-adress för FHIR-tjänsten allokeras varje gång du gör en åtgärdsbegäran.

Kommentar

Det går att använda en privat IP-adress inom intervallet 10.0.2.0/24, men det finns ingen garanti för att åtgärden lyckas i ett sådant fall. Du kan försöka igen om åtgärdsbegäran misslyckas, men tills du använder en IP-adress inom intervallet 100.64.0.0/10 lyckas inte begäran.

Det här nätverksbeteendet för IP-adressintervall är avsiktligt. Alternativet är att konfigurera lagringskontot i en annan region.

Nästa steg

I den här artikeln har du lärt dig om de tre stegen i konfigurationen av din miljö för att tillåta export av data från FHIR-tjänsten till ett Azure-lagringskonto. Mer information om massexportfunktioner i FHIR-tjänsten finns i

Så här exporterar du FHIR-data

FHIR® är ett registrerat varumärke som tillhör HL7 och används med tillstånd av HL7.