Questa pagina descrive come determinare l'accesso utilizzando l'API Consent Management.
Le applicazioni possono richiedere determinazioni di accesso dall'API Consent Management per un elemento di dati specifico, per tutti gli elementi di dati associati a un utente o per interi archivi di dati. In ogni caso, l'API Consent Management determina l'accesso valutando le seguenti informazioni rispetto a quelle contenute nella richiesta di accesso:
- Il consenso dell'utente, ad esempio i valori degli attributi
REQUEST - Le mappature dei dati utente, ad esempio i valori degli attributi
RESOURCE.
Per impostazione predefinita, le determinazioni dell'accesso valutano solo i consensi ACTIVE. DRAFT
possono essere inclusi in una determinazione dell'accesso specificandoli in una
richiesta di determinazione dell'accesso.
Le richieste di determinazione dell'accesso ignorano sempre i consensi scaduti, revocati o rifiutati.
Determinazione dell'accesso al consenso per elementi di dati specifici
Puoi richiedere una determinazione dell'accesso per un elemento di dati specifico utilizzando il metodo
projects.locations.datasets.consentStores.checkDataAccess. Questo metodo restituisce un messaggio che indica se il UserDataMapping specificato ha un consenso valido per l'utilizzo proposto.
Per richiedere una determinazione dell'accesso per un elemento di dati specifico, effettua una richiesta POST e specifica le seguenti informazioni nella richiesta:
- Il nome dello store per il consenso dei genitori.
- Un ID risorsa dati, ovvero una descrizione dell'elemento di dati, ad esempio il percorso REST a una risorsa.
- Un insieme di coppie chiave-valore che rappresentano il richiedente in termini di
attributi
REQUESTpertinenti e dei relativi valori. Ad esempio,requesterIdentity == external-researcher. - Un flag facoltativo che indica se devono essere restituite determinazioni di accesso dettagliate. Se questo flag è impostato su
FULL, il metodo restituisce i risultati per ogni consenso valutato. Se questo flag è impostato suBASICo non è definito, il metodo restituisce solo se l'accesso ai dati specificati è consentito dai consensi valutati. Questa funzionalità facoltativa viene utilizzata quando la tua applicazione deve esaminare il modo in cui è stata presa una decisione sul consenso. - Un elenco facoltativo di consensi
ACTIVEoDRAFTda prendere in considerazione per il metodo. Se non vengono specificati consensi, il metodo valuta tutti i consensiACTIVE. Questa funzionalità facoltativa può essere utilizzata per testare il comportamento di consensi nuovi o specifici. - Un token di accesso
curl
Il seguente esempio mostra una richiesta POST mediante curl:
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/consent+json; charset=utf-8" \ --data "{ 'dataId' : 'DATA_ID', 'requestAttributes': { 'requesterIdentity': 'external-researcher'}, 'consentList':{ 'consents':[ 'projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID/consents/CONSENT_NAME' ] }, 'responseView': 'DETAILED_ACCESS_LEVEL' }" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:checkDataAccess"
Se la richiesta riesce, il server restituisce una risposta simile al
seguente esempio in formato JSON o un corpo della risposta vuoto se nessun dato utente
corrisponde all'accesso ai dati specificato. La risposta di esempio utilizza FULL come responseView.
{
"consentDetails": { "projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID/consents/CONSENT_ID": {
"evaluationResult": "EVALUATION_RESULT"
}
}
}
EVALUATION_RESULT è uno tra NOT_APPLICABLE,
NO_MATCHING_POLICY, NO_SATISFIED_POLICY oHAS_SATISFIED_POLICY.
PowerShell
Il seguente esempio mostra una richiesta POST mediante Windows PowerShell:
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/consent+json; charset=utf-8" ` -Body "{ 'dataId' : 'DATA_ID', 'requestAttributes': { 'requesterIdentity': 'external-researcher' }, 'consentList': { 'consents':[ 'projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID/consents/CONSENT_ID' ] }, 'responseView': 'DETAILED_ACCESS_LEVEL' }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:checkDataAccess" | Select-Object -Expand Content
Se la richiesta riesce, il server restituisce una risposta simile al
seguente esempio in formato JSON o un corpo della risposta vuoto se nessun dato utente
corrisponde all'accesso ai dati specificato. La risposta di esempio utilizza FULL come responseView.
{
"consentDetails": { "projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID/consents/CONSENT_ID": {
"evaluationResult": "EVALUATION_RESULT"
}
}
}
EVALUATION_RESULT è uno tra NOT_APPLICABLE,
NO_MATCHING_POLICY, NO_SATISFIED_POLICY oHAS_SATISFIED_POLICY.
Determinare l'accesso per tutti i consensi di un utente
Puoi richiedere una determinazione dell'accesso per tutti gli elementi di dati associati a un utente utilizzando il metodo
projects.locations.datasets.consentStores.evaluateUserConsents. Questo metodo restituisce tutti gli elementi di dati associati a un utente specifico
che hanno un consenso valido per l'utilizzo proposto.
Per richiedere una determinazione dell'accesso per tutti gli elementi di dati associati a un utente, effettua una richiesta POST e specifica le seguenti informazioni:
- Il nome dello store per il consenso dei genitori.
- Un ID utente che definisce gli elementi di dati e i consensi da valutare.
- Un insieme facoltativo di coppie chiave-valore che definiscono gli attributi
RESOURCEdegli elementi di dati da valutare. Ad esempio,dataIdentifiable == de-identified. Se non definisci un insieme di attributiRESOURCE, vengono valutati tutti gli elementi di dati. - Un insieme di coppie chiave-valore che definiscono gli attributi
REQUESTpertinenti e i relativi valori. Ad esempio,requesterIdentity == external-researcher. - Un flag facoltativo che indica se devono essere restituite determinazioni di accesso dettagliate. Se questo flag è impostato su
FULL, il metodo restituisce i risultati per ogni consenso valutato. Se questo flag è impostato suBASICo non è definito, il metodo restituisce solo se l'accesso ai dati specificati è consentito dai consensi valutati. Questa funzionalità facoltativa viene utilizzata quando la tua applicazione deve esaminare il modo in cui è stata presa una decisione sul consenso. - Un elenco facoltativo di consensi
ACTIVEoDRAFTda prendere in considerazione per il metodo. Se non vengono specificati consensi, il metodo valuta tutti i consensiACTIVE. Questa funzionalità facoltativa può essere utilizzata per testare il comportamento di consensi nuovi o specifici. - Un token di accesso
curl
Il seguente esempio mostra una richiesta POST mediante curl:
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/consent+json; charset=utf-8" \ --data "{ 'userId' : 'USER_ID', 'consentList':{ 'consents':[ 'projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID/consents/CONSENT_ID' ] }, 'resourceAttributes': { 'dataIdentifiable': 'de-identified' }, 'requestAttributes': { 'requesterIdentity': 'external-researcher' }, 'responseView': 'DETAILED_ACCESS_LEVEL' }" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:evaluateUserConsents"
Se la richiesta riesce, il server restituisce una risposta simile al
seguente esempio in formato JSON o un corpo della risposta vuoto se nessun dato utente
corrisponde all'accesso ai dati specificato. La risposta di esempio utilizza FULL come
responseView.
{
"results": [
{
"dataId": "DATA_ID",
"consentDetails": {
"projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID/consents/CONSENT_ID": {
"evaluationResult": "EVALUATION_RESULT"
}
}
}
]
}
PowerShell
Il seguente esempio mostra una richiesta POST mediante Windows PowerShell:
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/consent+json; charset=utf-8" ` -Body "{ 'userId' : 'USER_ID', 'consentList':{ 'consents':[ 'projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID/consents/CONSENT_NAME' ] }, 'resourceAttributes': { 'dataIdentifiable': 'de-identified'}, 'requestAttributes': { 'requesterIdentity': 'external-researcher'}, 'responseView': 'DETAILED_ACCESS_LEVEL' }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:evaluateUserConsents" | Select-Object -Expand Content
Se la richiesta riesce, il server restituisce una risposta simile al
seguente esempio in formato JSON o un corpo della risposta vuoto se nessun dato utente
corrisponde all'accesso ai dati specificato. La risposta di esempio utilizza FULL come
responseView.
{
"results": [
{
"dataId": "DATA_ID",
"consentDetails": {
"projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID/consents/CONSENT_ID": {
"evaluationResult": "EVALUATION_RESULT"
}
}
}
]
}
Determinazione degli accessi per gli archivi di consensi
Puoi richiedere una determinazione degli accessi per un intero archivio di consensi utilizzando il metodo
projects.locations.datasets.consentStores.queryAccessibleData. Questo metodo restituisce tutti gli elementi dati all'interno di un archivio di consensi che dispongono
di un consenso valido.
Per richiedere una determinazione dell'accesso per un intero archivio del consenso, effettua una richiesta POST e specifica le seguenti informazioni:
- Il nome dello store per il consenso dei genitori
- Un insieme di coppie chiave-valore che definiscono gli attributi
REQUESTpertinenti e i relativi valori. Ad esempio,requesterIdentity == external-researcher. - Un insieme facoltativo di coppie chiave-valore che definiscono gli attributi
RESOURCEdegli elementi di dati da valutare. Ad esempio,dataIdentifiable == de-identified. Se non definisci un insieme di attributiRESOURCE, vengono valutati tutti gli elementi di dati - Una destinazione Cloud Storage in cui viene salvato l'elenco dei risultati. L'account di servizio
dell'API Cloud Healthcare deve avere il ruolo IAM
roles/storage.objectAdminin questa destinazione. Per maggiori informazioni, consulta Autorizzazioni Cloud Storage per gli archivi di consenso. - Un token di accesso
curl
Il seguente esempio mostra una richiesta POST mediante curl:
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/consent+json; charset=utf-8" \ --data "{ 'gcsDestination': { 'uriPrefix': 'gs://BUCKET/DIRECTORY' }, 'resourceAttributes': { 'dataIdentifiable': 'de-identified' }, 'requestAttributes': { 'requesterIdentity': 'external-researcher' } }" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:queryAccessibleData"
Se la richiesta riesce, il server restituisce una risposta simile a quella dell'esempio seguente in formato JSON:
{
"name": "projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID"
}
La risposta contiene il nome di un'operazione. Per monitorare lo stato dell'operazione,
puoi utilizzare il
metodo Operation get:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID"
Se la richiesta riesce, il server restituisce una risposta con lo stato dell'operazione in formato JSON:
{
"name": "projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID",
"metadata": {
"@type": "type.googleapis.com/google.cloud.healthcare.v1beta1.OperationMetadata",
"apiMethodName": "google.cloud.healthcare.v1beta1.consent.consentService.queryAccessibleData",
"createTime": "CREATE_TIME",
"endTime": "END_TIME"
"logsUrl": "LOGS_URL",
"counter": {
"success": "SUCCESS_COUNT"
}
},
"done": true,
"response": {
"@type": "type.googleapis.com/google.protobuf.Empty"
}
}
Al termine dell'operazione a lunga esecuzione, i risultati vengono visualizzati in un file di testo nella cartella specificata. Per informazioni sulle operazioni a lunga esecuzione, vedi Gestione di operazioni a lunga esecuzione.
PowerShell
Il seguente esempio mostra una richiesta POST mediante Windows PowerShell:
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/consent+json; charset=utf-8" ` -Body "{ 'gcsDestination': { 'uriPrefix': 'gs://BUCKET/DIRECTORY' }, 'resourceAttributes': { 'dataIdentifiable': 'de-identified' }, 'requestAttributes': { 'requesterIdentity': 'external-researcher' } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:queryAccessibleData" | Select-Object -Expand Content
Se la richiesta riesce, il server restituisce una risposta simile a quella dell'esempio seguente in formato JSON:
{
"name": "projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID"
}
La risposta contiene il nome di un'operazione. Per monitorare lo stato dell'operazione,
puoi utilizzare il
metodo Operation get:
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Get ` -Headers $headers ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID" | Select-Object -Expand Content
Se la richiesta riesce, il server restituisce una risposta con lo stato dell'operazione in formato JSON:
{
"name": "projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID",
"metadata": {
"@type": "type.googleapis.com/google.cloud.healthcare.v1beta1.OperationMetadata",
"apiMethodName": "google.cloud.healthcare.v1beta1.consent.consentService.queryAccessibleData",
"createTime": "CREATE_TIME",
"endTime": "END_TIME"
"logsUrl": "LOGS_URL",
"counter": {
"success": "SUCCESS_COUNT"
}
},
"done": true,
"response": {
"@type": "type.googleapis.com/google.protobuf.Empty"
}
}
Al termine dell'operazione a lunga esecuzione, i risultati vengono visualizzati in un file di testo nella cartella specificata. Per informazioni sulle operazioni a lunga esecuzione, vedi Gestione di operazioni a lunga esecuzione.
Registrazione delle richieste e delle risposte di determinazione dell'accesso
Quando gli audit log di accesso ai dati sono abilitati, l'API Consent Management registra le richieste effettuate utilizzando i metodi checkDataAccess, evaluateUserConsents e queryAccessibleData. Questi log registrano le informazioni contenute nella richiesta, come il UserDataMapping di destinazione o gli attributi RESOURCE o REQUEST specificati. I log conterranno anche la risposta dell'API, che include il risultato della determinazione dell'accesso all'API Consent Management. Ogni log include l'identità dello strumento Google Cloud che effettua la richiesta.
Per saperne di più sull'abilitazione degli audit log di accesso ai dati, consulta la pagina Configurazione degli audit log di accesso ai dati. Per ulteriori informazioni sull'audit logging nell'API Cloud Healthcare, consulta Visualizzazione degli audit log di Cloud.