Cette page explique comment contrôler l'accès aux ensembles de données et aux magasins de données de l'API Cloud Healthcare à l'aide des autorisations Cloud IAM (Cloud Identity and Access Management). Cloud IAM vous permet de contrôler qui a accès à vos ensembles de données et à vos magasins de données. Pour en savoir plus sur les autorisations Cloud IAM pour l'API Cloud Healthcare, consultez la page Contrôle des accès.
Présentation des stratégies IAM
L'accès à une ressource est géré via une stratégie IAM. Une stratégie contient un tableau appelé bindings
. Ce tableau contient un ensemble de liaisons qui associent des comptes principaux, tels qu'un compte utilisateur ou un compte de service, à un rôle. Les stratégies sont représentées par des valeurs JSON ou YAML.
L'exemple de stratégie suivant montre que user-1@example.com
a obtenu le rôle roles/healthcare.datasetAdmin
, et user-2@example.com
et service-account-13@appspot.gserviceaccount.com
ont obtenu le rôle roles/healthcare.datasetViewer
:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Pour mettre à jour une stratégie pour une ressource, utilisez le modèle lecture-modification-écriture. Il n'existe pas de méthode distincte pour créer, modifier et révoquer un accès utilisateur.
Pour mettre à jour une stratégie, procédez comme suit :
- Lisez la stratégie actuelle en appelant la méthode
getIamPolicy()
de la ressource. Par exemple, pour lire la stratégie actuelle d'un ensemble de données, appelez la méthodeprojects.locations.datasets.getIamPolicy
. - Modifiez la stratégie renvoyée à l’aide d’un éditeur de texte ou par programmation, afin d'ajouter ou de supprimer les comptes principaux applicables et leurs rôles.
- Écrivez la stratégie mise à jour en appelant la méthode
setIamPolicy()
de la ressource. Par exemple, pour écrire la stratégie mise à jour d'un ensemble de données, appelez la méthodeprojects.locations.datasets.setIamPolicy
.
Utiliser IAM avec des magasins d'autorisations
Les sections suivantes montrent comment obtenir, modifier et définir une stratégie pour un magasin d'autorisations. Ces sections utilisent l'exemple de stratégie suivant comme point de départ :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Obtenir une stratégie
Les exemples suivants montrent comment lire une stratégie IAM au niveau du magasin d'autorisations. Pour en savoir plus, consultez les sections sur projects.locations.datasets.consentStores.getIamPolicy
Console
Pour afficher la stratégie IAM d'un magasin d'autorisations, procédez comme suit :
- Dans la console Google Cloud, accédez à la page "Ensembles de données".
- Cliquez sur l'ID de l'ensemble de données contenant le magasin d'autorisations, puis sélectionnez le magasin d'autorisations pour lequel vous souhaitez obtenir une stratégie.
- Cliquez sur Afficher le panneau d'informations.
- Pour afficher les comptes principaux auxquels un rôle a été attribué, développez ce rôle.
gcloud
Pour afficher la stratégie IAM d'un magasin d'autorisations, exécutez la commande gcloud healthcare consent-stores get-iam-policy
. Spécifiez le nom du magasin d'autorisations, le nom de l'ensemble de données et l'emplacement.
gcloud healthcare consent-stores get-iam-policy CONSENT_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION
Si la requête aboutit, les liaisons sont affichées.
bindings: - members: - user:user-1@example.com role: roles/healthcare.consentStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.consentReader etag: bytes version: VERSION_NUMBER
Node.js
Python
curl
Pour lire la stratégie IAM d'un magasin d'autorisations, envoyez une requête GET
et spécifiez le nom de l'ensemble de données, le nom du magasin d'autorisations et un jeton d'accès.
L'exemple suivant montre une requête GET
utilisant curl
:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:getIamPolicy"
La réponse est la suivante :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
PowerShell
Pour lire la stratégie IAM d'un magasin d'autorisations, envoyez une requête GET
et spécifiez le nom de l'ensemble de données, le nom du magasin d'autorisations et un jeton d'accès.
L'exemple suivant montre une requête GET
utilisant Windows PowerShell :
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Get ` -Headers $headers ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:getIamPolicy" | Select-Object -Expand Content
La réponse est la suivante :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Modifier une stratégie
Les exemples suivants montrent comment attribuer le rôle roles/healthcare.consentReader
à un nouvel utilisateur. Pour en savoir plus, consultez projects.locations.datasets.consentStores.setIamPolicy
.
Définir une stratégie
Console
Pour définir une stratégie IAM au niveau du magasin d'autorisations, procédez comme suit :
- Dans la console Google Cloud, accédez à la page "Ensembles de données".
- Cliquez sur l'ID de l'ensemble de données contenant le magasin d'autorisations, puis sélectionnez le magasin d'autorisations pour lequel vous souhaitez définir une stratégie.
- Cliquez sur Afficher le panneau d'informations.
- Cliquez sur Ajouter un compte principal.
- Dans le champ Nouveaux comptes principaux, saisissez une ou plusieurs identités nécessitant un accès au magasin d'autorisations.
- Dans la liste Sélectionner un rôle, sous Cloud Healthcare, sélectionnez l'autorisation que vous souhaitez accorder. Par exemple, Lecteur de magasins d'autorisations Healthcare.
- Cliquez sur Enregistrer.
gcloud
Attribuez ou révoquez des rôles aux utilisateurs en modifiant la stratégie que vous avez récupérée, par programmation ou à l'aide d'un éditeur de texte. La valeur etag
change en cas de modification de la stratégie. Vous devez donc spécifier la valeur actuelle.
Pour attribuer le rôle à un nouvel utilisateur, ajoutez l'adresse e-mail de l'utilisateur au tableau members
sous la liaison roles/healthcare.consentReader
:
{ "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Pour révoquer l'accès du dernier compte principal doté d'un rôle, supprimez le tableau bindings
du rôle. Votre stratégie ne peut pas contenir de tableau bindings
vide.
Après avoir modifié la stratégie pour attribuer les rôles applicables, exécutez la commande set-iam-policy
appropriée pour effectuer les modifications. Pour définir une stratégie au niveau du magasin d'autorisations, exécutez la commande gcloud healthcare consent-stores set-iam-policy
. Spécifiez le nom du magasin d'autorisations, le nom de l'ensemble de données, l'emplacement et le chemin d'accès au fichier de stratégie que vous avez créé.
gcloud healthcare consent-stores set-iam-policy CONSENT_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION \ POLICY_FILE_NAME
Si la requête aboutit, le nom du magasin d'autorisations et les liaisons sont affichés.
Updated IAM policy for consentStore [CONSENT_STORE_ID]. bindings: - members: - user:user-1@example.com role: roles/healthcare.consentStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.consentReader etag: bytes version: VERSION_NUMBER
Node.js
Python
curl
Attribuez ou révoquez des rôles aux utilisateurs en modifiant la stratégie que vous avez récupérée, par programmation ou à l'aide d'un éditeur de texte. La valeur etag
change en cas de modification de la stratégie. Vous devez donc spécifier la valeur actuelle.
Pour attribuer le rôle à un nouvel utilisateur, ajoutez l'adresse e-mail de l'utilisateur au tableau members
sous la liaison roles/healthcare.consentReader
:
{ "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Pour révoquer l'accès du dernier compte principal doté d'un rôle, supprimez le tableau bindings
du rôle. Votre stratégie ne peut pas contenir de tableau bindings
vide.
Après avoir modifié la stratégie pour attribuer les rôles applicables, appelez projects.locations.datasets.consentStores.setIamPolicy
pour effectuer les mises à jour.
Pour définir une stratégie IAM au niveau du magasin d'autorisations, envoyez une requête POST
et indiquez le nom de l'ensemble de données, le nom du magasin d'autorisations, la stratégie et un jeton d'accès.
L'exemple suivant montre une requête POST
utilisant curl
pour attribuer le rôle roles/healthcare.consentReader
à un nouvel utilisateur :
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.consentStoreAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.consentReader', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:setIamPolicy"
La réponse est la suivante :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
PowerShell
Attribuez ou révoquez des rôles aux utilisateurs en modifiant la stratégie que vous avez récupérée, par programmation ou à l'aide d'un éditeur de texte. La valeur etag
change en cas de modification de la stratégie. Vous devez donc spécifier la valeur actuelle.
Pour attribuer le rôle à un nouvel utilisateur, ajoutez l'adresse e-mail de l'utilisateur au tableau members
sous la liaison roles/healthcare.consentReader
:
{ "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Pour révoquer l'accès du dernier compte principal doté d'un rôle, supprimez le tableau bindings
du rôle. Votre stratégie ne peut pas contenir de tableau bindings
vide.
Après avoir modifié la stratégie pour attribuer les rôles applicables, appelez projects.locations.datasets.consentStores.setIamPolicy
pour effectuer les mises à jour.
Pour définir une stratégie IAM au niveau du magasin d'autorisations, envoyez une requête POST
et indiquez le nom de l'ensemble de données, le nom du magasin d'autorisations, la stratégie et un jeton d'accès.
L'exemple suivant montre comment attribuer le rôle roles/healthcare.consentReader
existant à un nouvel utilisateur à l'aide d'une requête POST
utilisant Windows PowerShell :
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.consentStoreAdmin', 'members': [ 'user:user-1@example.com', ] }, { 'role': 'roles/healthcare.consentReader', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:setIamPolicy" | Select-Object -Expand Content
La réponse est la suivante :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
Utiliser Cloud IAM avec des ensembles de données
Les sections suivantes expliquent comment obtenir, modifier et définir une stratégie pour un ensemble de données. Ces sections utilisent l'exemple de stratégie suivant comme point de départ :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Obtenir une stratégie
Les exemples suivants montrent comment lire une stratégie Cloud IAM au niveau de l'ensemble de données. Pour en savoir plus, consultez les sections sur projects.locations.datasets.getIamPolicy
curl
Pour lire la stratégie IAM d'un ensemble de données, envoyez une requête GET
et indiquez le nom de l'ensemble de données et un jeton d'accès.
L'exemple suivant montre une requête GET
utilisant curl
:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID:getIamPolicy"
La réponse est la suivante :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
PowerShell
Pour afficher la stratégie IAM d'un ensemble de données, envoyez une requête GET
et spécifiez le nom de l'ensemble de données et un jeton d'accès.
L'exemple suivant montre une requête GET
utilisant Windows PowerShell :
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Get ` -Headers $headers ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID:getIamPolicy" | Select-Object -Expand Content
La réponse est la suivante :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Console
Pour afficher la stratégie IAM d'un ensemble de données :- Dans la console Google Cloud, accédez à la page "Ensembles de données".
- Sélectionnez un ensemble de données, puis cliquez sur Afficher le panneau d'informations.
- Pour afficher les comptes principaux auxquels un rôle a été attribué, développez ce rôle.
gcloud
Pour afficher la stratégie Cloud IAM d'un ensemble de données, exécutez la commande gcloud healthcare datasets get-iam-policy
. Spécifiez le nom de l'ensemble de données et l'emplacement.
gcloud healthcare datasets get-iam-policy DATASET_ID \ --location=LOCATION
Si la requête aboutit, les liaisons sont affichées.
bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.datasetViewer etag: bytes version: VERSION_NUMBER
Go
Java
Node.js
Python
Modifier une stratégie
Les exemples suivants montrent comment attribuer le rôle roles/healthcare.datasetViewer
à un nouvel utilisateur :
Définir une stratégie
Console
Pour définir une stratégie IAM au niveau de l'ensemble de données, procédez comme suit :
- Dans la console Google Cloud, accédez à la page "Ensembles de données".
- Sélectionnez l'ensemble de données pour lequel vous souhaitez définir une stratégie, puis cliquez sur Afficher le panneau d'informations.
- Cliquez sur Ajouter un compte principal.
- Dans le champ Nouveaux comptes principaux, saisissez une ou plusieurs identités ayant besoin d'accéder à l'ensemble de données.
- Dans la liste Sélectionner un rôle, sous Cloud Healthcare, sélectionnez l'autorisation que vous souhaitez accorder. Par exemple, Lecteur d'ensemble de données Healthcare.
- Cliquez sur Enregistrer.
gcloud
Attribuez ou révoquez des rôles aux utilisateurs en modifiant la stratégie que vous avez récupérée, par programmation ou à l'aide d'un éditeur de texte. La valeur etag
change en cas de modification de la stratégie. Vous devez donc spécifier la valeur actuelle.
Pour attribuer le rôle à un nouvel utilisateur, ajoutez l'adresse e-mail de l'utilisateur au tableau members
sous la liaison roles/healthcare.datasetViewer
:
{ "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Pour révoquer l'accès du dernier compte principal doté d'un rôle, supprimez le tableau bindings
du rôle. Votre stratégie ne peut pas contenir de tableau bindings
vide.
Après avoir modifié la stratégie pour attribuer les rôles applicables, exécutez la commande set-iam-policy
appropriée pour effectuer les modifications. Pour définir une stratégie au niveau de l'ensemble de données, exécutez la commande gcloud healthcare datasets set-iam-policy
. Spécifiez le nom de l'ensemble de données, l'emplacement et le chemin d'accès au fichier de stratégie que vous avez créé.
gcloud healthcare datasets set-iam-policy DATASET_ID \ --location=LOCATION \ POLICY_FILE_NAME
Si la requête aboutit, le nom de l'ensemble de données et les liaisons sont affichés.
Updated IAM policy for dataset [DATASET_ID]. bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.datasetAdmin - user:user-1@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.datasetViewer etag: bytes version: VERSION_NUMBER
curl
Attribuez ou révoquez des rôles aux utilisateurs en modifiant la stratégie que vous avez récupérée, par programmation ou à l'aide d'un éditeur de texte. La valeur etag
change en cas de modification de la stratégie. Vous devez donc spécifier la valeur actuelle.
Pour attribuer le rôle à un nouvel utilisateur, ajoutez l'adresse e-mail de l'utilisateur au tableau members
sous la liaison roles/healthcare.datasetViewer
:
{ "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Pour révoquer l'accès du dernier compte principal doté d'un rôle, supprimez le tableau bindings
du rôle. Votre stratégie ne peut pas contenir de tableau bindings
vide.
Après avoir modifié la stratégie pour attribuer les rôles applicables, appelez projects.locations.datasets.setIamPolicy
pour effectuer les mises à jour.
Pour définir une stratégie IAM au niveau de l'ensemble de données, envoyez une requête POST
et indiquez le nom de l'ensemble de données, la stratégie et un jeton d'accès.
L'exemple suivant montre une requête POST
utilisant curl
pour attribuer le rôle roles/healthcare.datasetViewer
à un nouvel utilisateur :
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.datasetAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.datasetViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID:setIamPolicy"
La réponse est la suivante :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
PowerShell
Attribuez ou révoquez des rôles aux utilisateurs en modifiant la stratégie que vous avez récupérée, par programmation ou à l'aide d'un éditeur de texte. La valeur etag
change en cas de modification de la stratégie. Vous devez donc spécifier la valeur actuelle.
Pour attribuer le rôle à un nouvel utilisateur, ajoutez l'adresse e-mail de l'utilisateur au tableau members
sous la liaison roles/healthcare.datasetViewer
:
{ "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Pour révoquer l'accès du dernier compte principal doté d'un rôle, supprimez le tableau bindings
du rôle. Votre stratégie ne peut pas contenir de tableau bindings
vide.
Après avoir modifié la stratégie pour attribuer les rôles applicables, appelez projects.locations.datasets.setIamPolicy
pour effectuer les mises à jour.
Pour définir une stratégie IAM au niveau de l'ensemble de données, envoyez une requête POST
et indiquez le nom de l'ensemble de données, la stratégie et un jeton d'accès.
L'exemple suivant montre comment attribuer le rôle roles/healthcare.datasetViewer
existant à un nouvel utilisateur à l'aide d'une requête POST
utilisant Windows PowerShell :
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.datasetAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role': 'roles/healthcare.datasetViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID:setIamPolicy" | Select-Object -Expand Content
La réponse est la suivante :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
Go
Java
Node.js
Python
Utiliser Cloud IAM avec des magasins DICOM
Les sections suivantes montrent comment obtenir, modifier et définir une stratégie pour un magasin DICOM. Ces sections utilisent l'exemple de stratégie suivant comme point de départ :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Obtenir une stratégie
Les exemples suivants montrent comment lire une stratégie Cloud IAM au niveau du magasin DICOM. Pour en savoir plus, consultez les sections sur projects.locations.datasets.dicomStores.getIamPolicy
Console
Pour afficher la stratégie Cloud IAM d'un magasin DICOM, procédez comme suit :
- Dans la console Google Cloud, accédez à la page "Ensembles de données".
- Cliquez sur l'ID de l'ensemble de données contenant le magasin DICOM, puis sélectionnez le magasin DICOM pour lequel vous souhaitez obtenir une stratégie.
- Cliquez sur Afficher le panneau d'informations.
- Pour afficher les comptes principaux auxquels un rôle a été attribué, développez ce rôle.
gcloud
Pour afficher la stratégie Cloud IAM d'un magasin DICOM, exécutez la commande gcloud healthcare dicom-stores get-iam-policy
. Spécifiez le nom du magasin DICOM, le nom de l'ensemble de données et l'emplacement.
gcloud healthcare dicom-stores get-iam-policy DICOM_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION
Si la requête aboutit, les liaisons sont affichées.
bindings: - members: - user:user-1@example.com role: roles/healthcare.dicomStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.dicomViewer etag: bytes version: VERSION_NUMBER
Go
Java
Node.js
Python
curl
Pour lire la stratégie IAM d'un magasin DICOM, envoyez une requête GET
et spécifiez le nom de l'ensemble de données, le nom du magasin DICOM et un jeton d'accès.
L'exemple suivant montre une requête GET
utilisant curl
:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/dicomStores/DICOM_STORE_ID:getIamPolicy"
La réponse est la suivante :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
PowerShell
Pour lire la stratégie IAM d'un magasin DICOM, envoyez une requête GET
et spécifiez le nom de l'ensemble de données, le nom du magasin DICOM et un jeton d'accès.
L'exemple suivant montre une requête GET
utilisant Windows PowerShell :
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Get ` -Headers $headers ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/dicomStores/DICOM_STORE_ID:getIamPolicy" | Select-Object -Expand Content
La réponse est la suivante :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Modifier une stratégie
Les exemples suivants montrent comment attribuer le rôle roles/healthcare.dicomViewer
à un nouvel utilisateur. Pour en savoir plus, consultez projects.locations.datasets.dicomStores.setIamPolicy
.
Définir une stratégie
Console
Pour définir une stratégie IAM au niveau du magasin DICOM, procédez comme suit :
- Dans la console Google Cloud, accédez à la page "Ensembles de données".
- Cliquez sur l'ID de l'ensemble de données contenant le magasin DICOM, puis sélectionnez le magasin DICOM pour lequel vous souhaitez définir une stratégie.
- Cliquez sur Afficher le panneau d'informations.
- Cliquez sur Ajouter un compte principal.
- Dans le champ Nouveaux comptes principaux, saisissez une ou plusieurs identités nécessitant un accès au magasin DICOM.
- Dans la liste Sélectionner un rôle, sous Cloud Healthcare, sélectionnez l'autorisation que vous souhaitez accorder. Par exemple, Lecteur de magasin Healthcare DICOM.
- Cliquez sur Enregistrer.
gcloud
Attribuez ou révoquez des rôles aux utilisateurs en modifiant la stratégie que vous avez récupérée, par programmation ou à l'aide d'un éditeur de texte. La valeur etag
change en cas de modification de la stratégie. Vous devez donc spécifier la valeur actuelle.
Pour attribuer le rôle à un nouvel utilisateur, ajoutez l'adresse e-mail de l'utilisateur au tableau members
sous la liaison roles/healthcare.dicomViewer
:
{ "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Pour révoquer l'accès du dernier compte principal doté d'un rôle, supprimez le tableau bindings
du rôle. Votre stratégie ne peut pas contenir de tableau bindings
vide.
Après avoir modifié la stratégie pour attribuer les rôles applicables, exécutez la commande set-iam-policy
appropriée pour effectuer les modifications. Pour définir une stratégie au niveau du magasin DICOM, exécutez la commande gcloud healthcare dicom-stores set-iam-policy
. Spécifiez le nom du magasin DICOM, le nom de l'ensemble de données, l'emplacement et le chemin d'accès au fichier de stratégie que vous avez créé.
gcloud healthcare dicom-stores set-iam-policy DICOM_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION \ POLICY_FILE_NAME
Si la requête aboutit, le nom du magasin DICOM et les liaisons sont affichés.
Updated IAM policy for dicomStore [DICOM_STORE_ID]. bindings: - members: - user:user-1@example.com role: roles/healthcare.dicomStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.dicomViewer etag: bytes version: VERSION_NUMBER
Go
Java
Node.js
Python
curl
Attribuez ou révoquez des rôles aux utilisateurs en modifiant la stratégie que vous avez récupérée, par programmation ou à l'aide d'un éditeur de texte. La valeur etag
change en cas de modification de la stratégie. Vous devez donc spécifier la valeur actuelle.
Pour attribuer le rôle à un nouvel utilisateur, ajoutez l'adresse e-mail de l'utilisateur au tableau members
sous la liaison roles/healthcare.dicomViewer
:
{ "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Pour révoquer l'accès du dernier compte principal doté d'un rôle, supprimez le tableau bindings
du rôle. Votre stratégie ne peut pas contenir de tableau bindings
vide.
Après avoir modifié la stratégie pour attribuer les rôles applicables, appelez projects.locations.datasets.dicomStores.setIamPolicy
pour effectuer les mises à jour.
Pour définir une stratégie IAM au niveau du magasin DICOM, envoyez une requête POST
et indiquez le nom de l'ensemble de données, le nom du magasin DICOM, la stratégie et un jeton d'accès.
L'exemple suivant montre une requête POST
utilisant curl
pour attribuer le rôle roles/healthcare.dicomViewer
à un nouvel utilisateur :
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.dicomStoreAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.dicomViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/dicomStores/DICOM_STORE_ID:setIamPolicy"
La réponse est la suivante :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
PowerShell
Attribuez ou révoquez des rôles aux utilisateurs en modifiant la stratégie que vous avez récupérée, par programmation ou à l'aide d'un éditeur de texte. La valeur etag
change en cas de modification de la stratégie. Vous devez donc spécifier la valeur actuelle.
Pour attribuer le rôle à un nouvel utilisateur, ajoutez l'adresse e-mail de l'utilisateur au tableau members
sous la liaison roles/healthcare.dicomViewer
:
{ "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Pour révoquer l'accès du dernier compte principal doté d'un rôle, supprimez le tableau bindings
du rôle. Votre stratégie ne peut pas contenir de tableau bindings
vide.
Après avoir modifié la stratégie pour attribuer les rôles applicables, appelez projects.locations.datasets.dicomStores.setIamPolicy
pour effectuer les mises à jour.
Pour définir une stratégie IAM au niveau du magasin DICOM, envoyez une requête POST
et indiquez le nom de l'ensemble de données, le nom du magasin DICOM, la stratégie et un jeton d'accès.
L'exemple suivant montre comment attribuer le rôle roles/healthcare.dicomViewer
existant à un nouvel utilisateur à l'aide d'une requête POST
utilisant Windows PowerShell :
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.dicomStoreAdmin', 'members': [ 'user:user-1@example.com', ] }, { 'role': 'roles/healthcare.dicomViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/dicomStores/DICOM_STORE_ID:setIamPolicy" | Select-Object -Expand Content
La réponse est la suivante :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
Utiliser Cloud IAM avec des magasins FHIR
Les sections suivantes montrent comment obtenir, modifier et définir une stratégie pour un magasin FHIR. Ces sections utilisent l'exemple de stratégie suivant comme point de départ :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Obtenir une stratégie
Les exemples suivants montrent comment lire une stratégie Cloud IAM au niveau du magasin FHIR. Pour en savoir plus, consultez les sections sur projects.locations.datasets.fhirStores.getIamPolicy
Console
Pour afficher la stratégie Cloud IAM d'un magasin FHIR, procédez comme suit :
- Dans la console Google Cloud, accédez à la page "Ensembles de données".
- Cliquez sur l'ID de l'ensemble de données contenant le magasin FHIR, puis sélectionnez le magasin FHIR pour lequel vous souhaitez obtenir une stratégie.
- Cliquez sur Afficher le panneau d'informations.
- Pour afficher les comptes principaux auxquels un rôle a été attribué, développez ce rôle.
gcloud
Pour afficher la stratégie Cloud IAM d'un magasin FHIR, exécutez la commande gcloud healthcare fhir-stores get-iam-policy
. Spécifiez le nom du magasin FHIR, le nom de l'ensemble de données et l'emplacement.
gcloud healthcare fhir-stores get-iam-policy FHIR_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION
Si la requête aboutit, les liaisons sont affichées.
bindings: - members: - user:user-1@example.com role: roles/healthcare.fhirStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.fhirResourceReader etag: bytes version: VERSION_NUMBER
Go
Java
Node.js
Python
curl
Pour lire la stratégie IAM d'un magasin FHIR, envoyez une requête POST
et spécifiez le nom de l'ensemble de données, le nom du magasin FHIR et un jeton d'accès.
L'exemple suivant montre une requête POST
utilisant curl
:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/fhirStores/FHIR_STORE_ID:getIamPolicy"
La réponse est la suivante :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
PowerShell
Pour lire la stratégie IAM d'un magasin FHIR, envoyez une requête POST
et spécifiez le nom de l'ensemble de données, le nom du magasin FHIR et un jeton d'accès.
L'exemple suivant montre une requête POST
utilisant Windows PowerShell :
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/fhirStores/FHIR_STORE_ID:getIamPolicy" | Select-Object -Expand Content
La réponse est la suivante :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Modifier une stratégie
Les exemples suivants montrent comment attribuer le rôle roles/healthcare.fhirResourceReader
à un nouvel utilisateur. Pour en savoir plus, consultez projects.locations.datasets.fhirStores.setIamPolicy
.
Définir une stratégie
Console
Pour définir une stratégie IAM au niveau du magasin FHIR, procédez comme suit :
- Dans la console Google Cloud, accédez à la page "Ensembles de données".
- Cliquez sur l'ID de l'ensemble de données contenant le magasin FHIR, puis sélectionnez le magasin FHIR pour lequel vous souhaitez définir une stratégie.
- Cliquez sur Afficher le panneau d'informations.
- Cliquez sur Ajouter un compte principal.
- Dans le champ Nouveaux comptes principaux, saisissez une ou plusieurs identités nécessitant un accès au magasin FHIR.
- Dans la liste Sélectionner un rôle, sous Cloud Healthcare, sélectionnez l'autorisation que vous souhaitez accorder. Par exemple, Lecteur de ressources FHIR Healthcare.
- Cliquez sur Enregistrer.
gcloud
Attribuez ou révoquez des rôles aux utilisateurs en modifiant la stratégie que vous avez récupérée, par programmation ou à l'aide d'un éditeur de texte. La valeur etag
change en cas de modification de la stratégie. Vous devez donc spécifier la valeur actuelle.
Pour attribuer le rôle à un nouvel utilisateur, ajoutez l'adresse e-mail de l'utilisateur au tableau members
sous la liaison roles/healthcare.fhirResourceReader
:
{ "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Pour révoquer l'accès du dernier compte principal doté d'un rôle, supprimez le tableau bindings
du rôle. Votre stratégie ne peut pas contenir de tableau bindings
vide.
Après avoir modifié la stratégie pour attribuer les rôles applicables, exécutez la commande set-iam-policy
appropriée pour effectuer les modifications.
Pour définir une stratégie au niveau du magasin FHIR, exécutez la commande gcloud healthcare fhir-stores set-iam-policy
. Spécifiez le nom du magasin FHIR, le nom de l'ensemble de données, l'emplacement et le chemin d'accès au fichier de stratégie que vous avez créé.
gcloud healthcare fhir-stores set-iam-policy FHIR_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION \ POLICY_FILE_NAME
Si la requête aboutit, le nom du magasin FHIR et les liaisons sont affichés.
Updated IAM policy for fhirStore [FHIR_STORE_ID]. bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.fhirResourceReader etag: bytes version: VERSION_NUMBER
Go
Java
Node.js
Python
curl
Attribuez ou révoquez des rôles aux utilisateurs en modifiant la stratégie que vous avez récupérée, par programmation ou à l'aide d'un éditeur de texte. La valeuretag
change en cas de modification de la stratégie. Vous devez donc spécifier la valeur actuelle.
Pour attribuer le rôle à un nouvel utilisateur, ajoutez l'adresse e-mail de l'utilisateur au tableau members
sous la liaison roles/healthcare.fhirResourceReader
:
{ "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Pour révoquer l'accès du dernier compte principal doté d'un rôle, supprimez le tableau bindings
du rôle. Votre stratégie ne peut pas contenir de tableau bindings
vide.
Après avoir modifié la stratégie pour attribuer les rôles applicables, appelez projects.locations.datasets.fhirStores.setIamPolicy
pour effectuer les mises à jour.
Pour définir une stratégie IAM au niveau du magasin FHIR, envoyez une requête POST
et spécifiez le nom de l'ensemble de données, le nom du magasin FHIR, la stratégie et un jeton d'accès.
L'exemple suivant montre une requête POST
utilisant curl
pour attribuer le rôle roles/healthcare.fhirResourceReader
à un nouvel utilisateur :
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.fhirStoreAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.fhirResourceReader', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/fhirStores/FHIR_STORE_ID:setIamPolicy"
La réponse est la suivante :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
PowerShell
Attribuez ou révoquez des rôles aux utilisateurs en modifiant la stratégie que vous avez récupérée, par programmation ou à l'aide d'un éditeur de texte. La valeur etag
change en cas de modification de la stratégie. Vous devez donc spécifier la valeur actuelle.
Pour attribuer le rôle à un nouvel utilisateur, ajoutez l'adresse e-mail de l'utilisateur au tableau members
sous la liaison roles/healthcare.fhirResourceReader
:
{ "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Pour révoquer l'accès du dernier compte principal doté d'un rôle, supprimez le tableau bindings
du rôle. Votre stratégie ne peut pas contenir de tableau bindings
vide.
Après avoir modifié la stratégie pour attribuer les rôles applicables, appelez projects.locations.datasets.fhirStores.setIamPolicy
pour effectuer les mises à jour.
Pour définir une stratégie IAM au niveau du magasin FHIR, envoyez une requête POST
et spécifiez le nom de l'ensemble de données, le nom du magasin FHIR, la stratégie et un jeton d'accès.
L'exemple suivant montre comment attribuer le rôle roles/healthcare.fhirResourceReader
existant à un nouvel utilisateur à l'aide d'une requête POST
utilisant Windows PowerShell :
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.fhirStoreAdmin', 'members': [ 'user:user-1@example.com', ] }, { 'role': 'roles/healthcare.fhirResourceReader', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/fhirStores/FHIR_STORE_ID:setIamPolicy" | Select-Object -Expand Content
La réponse est la suivante :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
Utiliser Cloud IAM avec des magasins HL7v2
Les sections suivantes montrent comment obtenir, modifier et définir une stratégie pour un magasin HL7v2. Ces sections utilisent l'exemple de stratégie suivant comme point de départ :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Obtenir une stratégie
Les exemples suivants montrent comment lire une stratégie Cloud IAM au niveau du magasin HL7v2. Pour en savoir plus, consultez les sections sur projects.locations.datasets.hl7V2Stores.getIamPolicy
Console
Pour afficher la stratégie Cloud IAM d'un magasin HL7v2, procédez comme suit :
- Dans la console Google Cloud, accédez à la page "Ensembles de données".
- Cliquez sur l'ID de l'ensemble de données contenant le magasin DICOM, puis sélectionnez le magasin HL7v2 pour lequel vous souhaitez obtenir une stratégie.
- Cliquez sur Afficher le panneau d'informations.
- Pour afficher les comptes principaux auxquels un rôle a été attribué, développez ce rôle.
gcloud
Pour afficher la stratégie Cloud IAM d'un magasin HL7v2, exécutez la commande hl7v2-stores get-iam-policy
. Spécifiez le nom du magasin HL7v2, le nom de l'ensemble de données et l'emplacement.
gcloud healthcare hl7v2-stores get-iam-policy HL7V2_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION
Si la requête aboutit, les liaisons sont affichées.
bindings: - members: - user:user-1@example.com role: roles/healthcare.hl7v2StoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.hl7v2Consumer etag: bytes version: VERSION_NUMBER
curl
Pour lire la stratégie IAM d'un magasin HL7v2, envoyez une requête GET
et spécifiez le nom de l'ensemble de données, le nom du magasin HL7v2 et un jeton d'accès.
L'exemple suivant montre une requête GET
utilisant curl
:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/hl7V2Stores/HL7V2_STORE_ID:getIamPolicy"
La réponse est la suivante :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
PowerShell
Pour lire la stratégie IAM d'un magasin HL7v2, envoyez une requête GET
et spécifiez le nom de l'ensemble de données, le nom du magasin HL7v2 et un jeton d'accès.
L'exemple suivant montre une requête GET
utilisant Windows PowerShell :
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Get ` -Headers $headers ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/hl7V2Stores/HL7V2_STORE_ID:getIamPolicy" | Select-Object -Expand Content
La réponse est la suivante :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Go
Java
Node.js
Python
Modifier une stratégie
Les exemples suivants montrent comment attribuer le rôle roles/healthcare.hl7V2Consumer
à un nouvel utilisateur. Pour en savoir plus, consultez projects.locations.datasets.hl7V2Stores.setIamPolicy
.
Définir une stratégie
Console
Pour définir une stratégie IAM au niveau du magasin HL7v2, procédez comme suit :
- Dans la console Google Cloud, accédez à la page "Ensembles de données".
- Cliquez sur l'ID de l'ensemble de données contenant le magasin HL7v2, puis sélectionnez le magasin HL7v2 pour lequel vous souhaitez définir une stratégie.
- Cliquez sur Afficher le panneau d'informations.
- Cliquez sur Ajouter un compte principal.
- Dans le champ Nouveaux comptes principaux, saisissez une ou plusieurs identités nécessitant un accès au magasin HL7v2.
- Dans la liste Sélectionner un rôle, sous Cloud Healthcare, sélectionnez l'autorisation que vous souhaitez accorder. Par exemple, Consommateur de message HL7v2 Healthcare.
- Cliquez sur Enregistrer.
gcloud
Attribuez ou révoquez des rôles aux utilisateurs en modifiant la stratégie que vous avez récupérée, par programmation ou à l'aide d'un éditeur de texte. La valeur etag
change en cas de modification de la stratégie. Vous devez donc spécifier la valeur actuelle.
Pour attribuer le rôle à un nouvel utilisateur, ajoutez l'adresse e-mail de l'utilisateur au tableau members
sous la liaison roles/healthcare.hl7V2Consumer
:
{ "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Pour révoquer l'accès du dernier compte principal doté d'un rôle, supprimez le tableau bindings
du rôle. Votre stratégie ne peut pas contenir de tableau bindings
vide.
Après avoir modifié la stratégie pour attribuer les rôles applicables, exécutez la commande set-iam-policy
appropriée pour effectuer les modifications.
Pour définir une stratégie HL7v2 au niveau du magasin, exécutez la commande gcloud healthcare hl7v2-stores set-iam-policy
. Spécifiez le nom du magasin HL7v2, le nom de l'ensemble de données, l'emplacement et le chemin d'accès au fichier de stratégie que vous avez créé.
gcloud healthcare hl7v2-stores set-iam-policy HL7V2_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION \ POLICY_FILE_NAME
Si la requête aboutit, le nom du magasin HL7v2 et les liaisons sont affichés.
Updated IAM policy for hl7v2Store [HL7V2_STORE_ID]. bindings: - members: - user:user-1@example.com role: roles/healthcare.hl7v2StoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.hl7v2Consumer etag: bytes version: VERSION_NUMBER
curl
Attribuez ou révoquez des rôles aux utilisateurs en modifiant la stratégie que vous avez récupérée, par programmation ou à l'aide d'un éditeur de texte. La valeur etag
change en cas de modification de la stratégie. Vous devez donc spécifier la valeur actuelle.
Pour attribuer le rôle à un nouvel utilisateur, ajoutez l'adresse e-mail de l'utilisateur au tableau members
sous la liaison roles/healthcare.hl7V2Consumer
:
{ "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Pour révoquer l'accès du dernier compte principal doté d'un rôle, supprimez le tableau bindings
du rôle. Votre stratégie ne peut pas contenir de tableau bindings
vide.
Après avoir modifié la stratégie pour attribuer les rôles applicables, appelez projects.locations.datasets.hl7V2Stores.setIamPolicy
pour effectuer les mises à jour.
Pour définir une stratégie IAM au niveau du magasin HL7v2, envoyez une requête POST
et indiquez le nom de l'ensemble de données, le nom du magasin HL7v2, la stratégie et un jeton d'accès.
L'exemple suivant montre une requête POST
utilisant curl
pour attribuer le rôle roles/healthcare.hl7V2Consumer
à un nouvel utilisateur.
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.hl7V2StoreAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.hl7V2Consumer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/hl7V2Stores/HL7V2_STORE_ID:setIamPolicy"
La réponse est la suivante :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
PowerShell
Attribuez ou révoquez des rôles aux utilisateurs en modifiant la stratégie que vous avez récupérée, par programmation ou à l'aide d'un éditeur de texte. La valeur etag
change en cas de modification de la stratégie. Vous devez donc spécifier la valeur actuelle.
Pour attribuer le rôle à un nouvel utilisateur, ajoutez l'adresse e-mail de l'utilisateur au tableau members
sous la liaison roles/healthcare.hl7V2Consumer
:
{ "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Pour révoquer l'accès du dernier compte principal doté d'un rôle, supprimez le tableau bindings
du rôle. Votre stratégie ne peut pas contenir de tableau bindings
vide.
Après avoir modifié la stratégie pour attribuer les rôles applicables, appelez projects.locations.datasets.hl7V2Stores.setIamPolicy
pour effectuer les mises à jour.
Pour définir une stratégie IAM au niveau du magasin HL7v2, envoyez une requête POST
et indiquez le nom de l'ensemble de données, le nom du magasin HL7v2, la stratégie et un jeton d'accès.
L'exemple suivant montre une requête POST
utilisant curl
pour attribuer le rôle roles/healthcare.hl7V2Consumer
à un nouvel utilisateur :
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.hl7V2StoreAdmin', 'members': [ 'user:user-1@example.com', ] }, { 'role': 'roles/healthcare.hl7V2Consumer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/hl7V2Stores/HL7V2_STORE_ID:setIamPolicy" | Select-Object -Expand Content
La réponse est la suivante :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
Go
Java
Node.js
Python
Utiliser IAM avec l'API Healthcare Natural Language
Les sections suivantes montrent comment obtenir, modifier et définir une stratégie pour l'API Healthcare Natural Language. Ces sections utilisent l'exemple de stratégie suivant comme point de départ :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com" ] } ] }
Obtenir une stratégie
Les exemples suivants montrent comment lire une stratégie IAM au niveau du projet. Pour en savoir plus, consultez la page sur la méthode projects.getIamPolicy
.
curl
Pour lire la stratégie IAM d'un projet, envoyez une requête POST
et spécifiez le nom du projet et un jeton d'accès.
L'exemple suivant montre une requête POST
utilisant curl
:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy"
La réponse est la suivante :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com" ] } ] }
PowerShell
Pour afficher la stratégie IAM d'un projet, envoyez une requête POST
et spécifiez le nom du projet et un jeton d'accès.
L'exemple suivant montre une requête POST
utilisant Windows PowerShell :
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method POST ` -Headers $headers ` -Uri "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy" | Select-Object -Expand Content
La réponse est la suivante :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com" ] } ] }
Console
Pour afficher la stratégie IAM d'un projet, procédez comme suit :
- Dans la console Google Cloud, accédez à la page IAM.
- Pour afficher les comptes principaux affectés à un rôle, cliquez sur Rôles, puis développez le rôle.
gcloud
Pour afficher la stratégie IAM d'un projet, exécutez la commande gcloud projects get-iam-policy
. Spécifiez le nom du projet dans la requête.
gcloud projects get-iam-policy PROJECT_ID
Si la requête aboutit, les liaisons sont affichées.
bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com role: roles/healthcare.nlpServiceViewer etag: bytes version: VERSION_NUMBER
Modifier une stratégie
Les exemples suivants accordent le rôle roles/healthcare.nlpServiceViewer
à un service. Pour en savoir plus, consultez la page sur la méthode projects.setIamPolicy
.
Définir une stratégie
Console
Pour définir une stratégie IAM au niveau du projet, procédez comme suit :
- Dans la console Google Cloud, accédez à la page IAM.
- Cliquez sur le bouton Modifier à côté du compte principal, ou cliquez sur Ajouter un compte principal, puis, dans le champ Nouveaux comptes principaux, saisissez une ou plusieurs identités qui ont besoin d'accéder au projet.
- Dans la liste Sélectionner un rôle, sous Cloud Healthcare, sélectionnez Lecteur de service Healthcare Natural Language.
- Cliquez sur Enregistrer.
gcloud
Attribuez ou révoquez des rôles aux utilisateurs en modifiant la stratégie que vous avez récupérée, par programmation ou à l'aide d'un éditeur de texte. La valeur etag
change en cas de modification de la stratégie. Vous devez donc spécifier la valeur actuelle.
Pour accorder le rôle à un nouveau compte de service, ajoutez l'adresse e-mail du compte de service au tableau members
sous la liaison roles/healthcare.nlpServiceViewer
:
{ "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "serviceAccount:NEW_SERVICE_ACCOUNT_EMAIL_ADDRESS" ] }
members
. Pour révoquer l'accès du dernier compte principal doté d'un rôle, supprimez le tableau bindings
du rôle. Votre stratégie ne peut pas contenir de tableau bindings
vide.
Après avoir modifié la stratégie pour attribuer les rôles applicables, exécutez la commande gcloud projects set-iam-policy
pour effectuer les modifications. Spécifiez le projet et le chemin d'accès au fichier de stratégie que vous avez créé.
gcloud projects set-iam-policy PROJECT_STORE_ID \ POLICY_FILE_NAME
Si la requête aboutit, le nom du projet et les liaisons sont affichés.
Updated IAM policy for project [PROJECT_ID]. bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com - serviceAccount:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.nlpServiceViewer etag: bytes version: VERSION_NUMBER
curl
Attribuez ou révoquez des rôles aux utilisateurs en modifiant la stratégie que vous avez récupérée, par programmation ou à l'aide d'un éditeur de texte. La valeur etag
change en cas de modification de la stratégie. Vous devez donc spécifier la valeur actuelle.
Pour accorder le rôle à un nouveau compte de service, ajoutez l'adresse e-mail du compte de service au tableau members
sous la liaison roles/healthcare.nlpServiceViewer
:
{ "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "serviceAccount:NEW_SERVICE_ACCOUNT_EMAIL_ADDRESS" ] }
members
. Pour révoquer l'accès du dernier compte principal doté d'un rôle, supprimez le tableau bindings
du rôle. Votre stratégie ne peut pas contenir de tableau bindings
vide.
Après avoir modifié la stratégie pour attribuer les rôles applicables, appelez projects.setIamPolicy
pour effectuer les mises à jour.
Pour définir une stratégie IAM au niveau du projet, effectuez une requête POST
et spécifiez le nom du projet, la stratégie et un jeton d'accès.
L'exemple suivant montre une requête POST
utilisant curl
pour attribuer le rôle roles/healthcare.nlpServiceViewer
à un nouvel utilisateur :
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.nlpServiceViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com' ] } ] } }" "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy"
La réponse est la suivante :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com" ] } ] }
PowerShell
Attribuez ou révoquez des rôles aux utilisateurs en modifiant la stratégie que vous avez récupérée, par programmation ou à l'aide d'un éditeur de texte. La valeur etag
change en cas de modification de la stratégie. Vous devez donc spécifier la valeur actuelle.
Pour accorder le rôle à un nouveau compte de service, ajoutez l'adresse e-mail du compte de service au tableau members
sous la liaison roles/healthcare.nlpServiceViewer
:
{ "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "serviceAccount:NEW_SERVICE_ACCOUNT_EMAIL_ADDRESS" ] }
members
. Pour révoquer l'accès du dernier compte principal doté d'un rôle, supprimez le tableau bindings
du rôle. Votre stratégie ne peut pas contenir de tableau bindings
vide.
Après avoir modifié la stratégie pour attribuer les rôles applicables, appelez projects.setIamPolicy
pour effectuer les mises à jour.
Pour définir une stratégie IAM au niveau du projet, effectuez une requête POST
et spécifiez le nom du projet, la stratégie et un jeton d'accès.
L'exemple suivant montre une requête POST
utilisant curl
pour attribuer le rôle roles/healthcare.nlpServiceViewer
à un nouvel utilisateur :
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.nlpServiceViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'serviceAccount:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy" | Select-Object -Expand Content
La réponse est la suivante :
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "serviceAccount:NEW_USER_EMAIL_ADDRESS" ] } ] }
Étapes suivantes
- Découvrez le modèle lecture-modification-écriture à l'aide de stratégies Cloud IAM.
- Affichez les rôles API Cloud Healthcare disponibles.