Cloud Healthcare API tidak memiliki akses otomatis ke Google Cloud resource lain dalam project Anda, seperti bucket Cloud Storage dan set data BigQuery. Saat mengakses resource ini, Cloud Healthcare API menggunakan agen layanan yang disebut Cloud Healthcare Service Agent.
Untuk melakukan operasi seperti memberi tahu topik Pub/Sub tentang perubahan, mengimpor data dari bucket Cloud Storage, mengekspor data ke set data BigQuery, dan sebagainya, Anda harus terlebih dahulu memberikan izin Identity and Access Management (IAM) yang diperlukan kepada akun layanan untuk mengakses resource di luar Cloud Healthcare API. Halaman ini menjelaskan izin yang diperlukan untuk berbagai operasi, dan cara memberikannya.
Untuk mempelajari lebih lanjut cara menggunakan IAM guna mengonfigurasi izin dalam Cloud Healthcare API, lihat Kontrol akses.
Agen Layanan Cloud Healthcare
Akun layanan Agen Layanan Cloud Healthcare
dibuat secara otomatis
setelah Anda mengaktifkan Cloud Healthcare API. Nama anggotanya adalah
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
Untuk menemukan PROJECT_NUMBER untuk project Google Cloud Anda, lihat Mengidentifikasi project.
Anda dapat melihat informasi mendetail tentang akun layanan Cloud Healthcare Service Agent, seperti peran yang telah diberikan, di halaman Identity and Access Management di konsolGoogle Cloud .
Untuk mempelajari lebih lanjut Agen Layanan Cloud Healthcare dan interaksinya dengan peran dan izin Identity and Access Management (IAM), lihat Kontrol akses.
Izin CMEK set data
Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) saat
membuat set data Cloud Healthcare API. Untuk mengizinkan akun layanan
Agen Layanan Cloud Healthcare mengenkripsi dan mendekripsi objek
menggunakan kunci CMEK, berikan peran
CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter)
kepada akun layanan.
Konsol
Di konsol Google Cloud , buka halaman IAM.
Centang kotak Sertakan pemberian peran yang disediakan Google.
Pastikan tab Lihat menurut prinsipal dipilih. Temukan baris yang berisi akun layanan Cloud Healthcare Service Agent, lalu klik Edit principal di baris tersebut. Panel Edit izin akan ditampilkan.
Klik Add another role.
Dari menu drop-down Select a role, telusuri, lalu klik CryptoKey Encrypter/Decrypter.
Klik Simpan.
Izin Pub/Sub penyimpanan DICOM, FHIR, dan HL7v2
Perubahan dalam penyimpanan DICOM, FHIR, dan HL7v2 dapat dikirim ke topik Pub/Sub. Untuk mengetahui informasi selengkapnya, lihat Menggunakan Cloud Pub/Sub untuk Notifikasi.
Metode dalam penyimpanan ini memerlukan izin tambahan pada akun layanan Agen Layanan Cloud Healthcare untuk memublikasikan perubahan ke topik Pub/Sub.
Gunakan konsol Google Cloud atau gcloud CLI untuk menambahkan peran
pubsub.publisher ke akun layanan project Anda:
Konsol
- Pastikan Anda telah mengaktifkan Cloud Healthcare API.
- Di halaman IAM
di konsol, pastikan peran Healthcare Service Agent
muncul di kolom Role untuk akun layanan Cloud Healthcare Service Agent. Google Cloud
ID akun layanan adalah
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Di kolom Pewarisan yang cocok dengan peran, klik ikon pensil. Panel Edit izin akan terbuka.
- Klik Tambahkan peran lain, lalu cari peran Pub/Sub Publisher.
- Pilih peran, lalu klik Simpan. Peran
pubsub.publisherditambahkan ke akun layanan.
gcloud
Untuk menambahkan izin akun layanan, jalankan perintah
gcloud projects add-iam-policy-binding. Untuk menemukan PROJECT_ID dan PROJECT_NUMBER,
lihat Mengidentifikasi project.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/pubsub.publisher
Mengonfigurasi izin Pub/Sub antar-project
Untuk memublikasikan notifikasi Pub/Sub ke topik di project lain, berikan peran pubsub.publisher ke akun layanan Agen Layanan Cloud Healthcare pada topik tersebut. Untuk mengetahui informasi selengkapnya, lihat Mengontrol akses melalui konsol Google Cloud
dan Mengontrol akses melalui IAM API.
Untuk contoh memublikasikan notifikasi Pub/Sub antarproject, lihat Contoh kasus penggunaan: komunikasi antarproject.
Izin Cloud Storage penyimpanan DICOM
Metode projects.locations.datasets.dicomStores.import
dan projects.locations.datasets.dicomStores.export
memerlukan izin tambahan pada akun layanan Cloud Healthcare Service Agent
untuk mengimpor data dari dan mengekspor
data ke Cloud Storage.
Mengimpor data dari Cloud Storage
Anda dapat menggunakan Google Cloud konsol atau gcloud CLI untuk menambahkan peranstorage.objectViewer yang diperlukan ke akun layanan project Anda.
Konsol
- Pastikan Anda telah mengaktifkan Cloud Healthcare API.
- Di halaman IAM di konsol Google Cloud , pastikan peran
Healthcare Service Agent muncul di kolom Role untuk akun layanan
Agen Layanan Cloud Healthcare.
ID akun layanan adalah
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Di kolom Pewarisan yang sesuai dengan peran, klik ikon pensil. Panel Edit izin akan terbuka.
- Klik Tambahkan peran lain, lalu cari peran Storage Object Viewer.
- Pilih peran, lalu klik Simpan. Peran
storage.objectViewerkemudian ditambahkan ke akun layanan.
gcloud
Untuk menambahkan izin akun layanan, jalankan perintahgcloud projects add-iam-policy-binding. Untuk menemukan PROJECT_ID dan PROJECT_NUMBER,
lihat Mengidentifikasi project.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectViewer
Mengekspor data ke Cloud Storage
Anda dapat menggunakan Google Cloud konsol atau gcloud CLI untuk menambahkan peran
storage.objectAdmin yang diperlukan ke akun layanan project Anda:
Konsol
- Pastikan Anda telah mengaktifkan Cloud Healthcare API.
- Di halaman IAM
di Google Cloud konsol, pastikan peran Healthcare Service Agent
muncul di kolom Role untuk akun layanan
Agen Layanan Cloud Healthcare.
ID akun layanan adalah
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Di kolom Pewarisan yang cocok dengan peran, klik ikon pensil. Panel Edit izin akan terbuka.
- Klik Tambahkan peran lain, lalu cari peran Storage Object Admin.
- Pilih peran, lalu klik Simpan. Peran
storage.objectAdminkemudian ditambahkan ke akun layanan.
gcloud
Untuk menambahkan izin akun layanan, jalankan perintah gcloud projects add-iam-policy-binding. Untuk menemukan PROJECT_ID dan PROJECT_NUMBER,
lihat Mengidentifikasi project.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectAdmin
Izin BigQuery penyimpanan DICOM
Metode projects.locations.datasets.dicomStores.export
memerlukan izin tambahan pada akun layanan Agen Layanan Cloud Healthcare
untuk mengekspor metadata DICOM ke
BigQuery. Anda juga harus memberikan akses WRITER untuk
set data BigQuery
ke akun layanan Cloud Healthcare Service Agent.
Memberikan izin ke akun layanan Cloud Healthcare Service Agent
Anda dapat menggunakan konsol Google Cloud atau gcloud CLI untuk menambahkan peran
bigquery.dataEditor dan bigquery.jobUser yang diperlukan ke akun layanan project Anda.
Konsol
- Pastikan Anda telah mengaktifkan Cloud Healthcare API.
- Di halaman IAM di konsol Google Cloud , pastikan peran
Healthcare Service Agent muncul di kolom Role untuk akun layanan
Agen Layanan Cloud Healthcare.
ID akun layanan adalah
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Di kolom Pewarisan yang sesuai dengan peran, klik ikon pensil. Panel Edit izin akan terbuka.
- Klik Add another role, lalu telusuri peran BigQuery Data Editor dan BigQuery Job User.
- Pilih setiap peran, lalu klik Simpan. Peran
bigquery.dataEditordanbigquery.jobUserkemudian ditambahkan ke akun layanan.
gcloud
Untuk menambahkan izin akun layanan, jalankan perintah gcloud projects add-iam-policy-binding. Untuk menemukan PROJECT_ID dan PROJECT_NUMBER,
lihat Mengidentifikasi project.
Berikan peran
roles/bigquery.dataEditor:Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
- PROJECT_ID: ID Google Cloud project Anda
- PROJECT_NUMBER: jumlah Google Cloud project Anda
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditor
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.dataEditor
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.dataEditor
Anda akan melihat respons seperti berikut:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.dataEditor ... etag: ETAG version: VERSION
Berikan peran
roles/bigquery.jobUser:Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
- PROJECT_ID: ID Google Cloud project Anda
- PROJECT_NUMBER: jumlah Google Cloud project Anda
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUser
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.jobUser
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.jobUser
Anda akan melihat respons seperti berikut:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.jobUser ... etag: ETAG version: VERSION
Memberikan akses WRITER ke set data BigQuery
Jika telah menambahkan peran bigquery.dataEditor dan bigquery.jobUser ke akun layanan project, Anda akan memiliki akses WRITER untuk semua set data BigQuery. Namun, jika Anda belum menambahkan peran ini dan memerlukan
akses WRITER ke satu set data BigQuery, Anda dapat memberikan
akses WRITER hanya untuk set data tersebut.
Untuk memberikan akses WRITER ke set data BigQuery, selesaikan
langkah-langkah berikut:
- Buka Mengontrol akses ke set data.
- Dengan menggunakan salah satu metode yang tersedia, berikan akses
WRITERalamat email Cloud Healthcare Service Agent ke set data BigQuery. (Cari alamat email yang diakhiri dengan@gcp-sa-healthcare.iam.gserviceaccount.com).
Misalnya, jika alamat email Agen Layanan Cloud Healthcare Anda adalah
service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com, dan jika Anda menggunakan
UI web BigQuery, Anda harus:
- Ikuti petunjuk Konsol.
- Di kolom Add principals, masukkan
service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com, lalu pilih peranbigquery.dataEditor.
Mengekspor metadata DICOM di seluruh Google Cloud project
Untuk mengekspor metadata DICOM dari penyimpanan DICOM di satu project ke tabel BigQuery di project lain, Anda harus menambahkan akun layanan Agen Layanan Cloud Healthcare project sumber ke project tujuan dan memberikan peran bigquery.dataEditor dan bigquery.jobUser kepada akun layanan di project tujuan.
Untuk menemukan akun layanan Cloud Healthcare Service Agent project sumber, selesaikan langkah-langkah berikut:
- Pastikan Anda telah mengaktifkan Cloud Healthcare API.
- Di halaman IAM di konsol, pastikan peran
Healthcare Service Agent muncul di kolom Role untuk akun layanan
Cloud Healthcare Service Agent. Google Cloud
ID akun layanan adalah
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. Catat alamat ini di project sumber, karena akan digunakan pada langkah-langkah berikut.
Tambahkan akun layanan Agen Layanan Cloud Healthcare dari project sumber ke project tujuan dan beri akun layanan izin BigQuery yang diperlukan dengan menyelesaikan langkah-langkah berikut:
Konsol
- Buka halaman IAM project tujuan di Google Cloud console.
- Klik Tambahkan.
- Di kolom New members, masukkan alamat akun layanan Cloud Healthcare Service Agent project sumber.
- Klik Add another role, lalu telusuri peran BigQuery Data Editor dan BigQuery Job User.
- Pilih peran, lalu klik Simpan. Akun layanan Cloud Healthcare Service Agent project sumber kini memiliki peran
bigquery.dataEditordanbigquery.jobUserdi project tujuan.
gcloud
Untuk menambahkan akun layanan Cloud Healthcare Service Agent dari project sumber ke project tujuan dan memberikan izin BigQuery yang diperlukan ke akun layanan, jalankan perintah
gcloud projects add-iam-policy-binding. Untuk menemukan project ID dan nomor project untuk project sumber dan tujuan Anda, lihat Mengidentifikasi project.
gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \ --member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditor
gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \ --member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUser
Selesaikan langkah-langkah di Memberi akses WRITER ke set data BigQuery
agar project sumber dapat menulis ke set data tujuan.
Izin Cloud Storage FHIR store
Bagian berikut menjelaskan metode FHIR yang memerlukan izin tambahan pada Agen Layanan Cloud Healthcare untuk membaca dari atau menulis ke Cloud Storage.
Mengimpor resource FHIR dari Cloud Storage
Metode projects.locations.datasets.fhirStores.import
memerlukan izin berikut pada akun layanan Agen Layanan Cloud Healthcare:
storage.objects.getstorage.objects.list
Izin ini disertakan dalam peran storage.objectViewer bawaan.
Anda juga dapat menambahkan izin ke peran khusus, atau izin tersebut mungkin disertakan dalam peran dasar lainnya.
Anda dapat menggunakan Google Cloud konsol atau gcloud CLI untuk menambahkan peranstorage.objectViewer yang diperlukan ke akun layanan project Anda.
Konsol
- Pastikan Anda telah mengaktifkan Cloud Healthcare API.
- Di halaman IAM di konsol Google Cloud , pastikan peran
Healthcare Service Agent muncul di kolom Role untuk akun layanan
Agen Layanan Cloud Healthcare.
ID akun layanan adalah
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Di kolom Pewarisan yang sesuai dengan peran, klik ikon pensil. Panel Edit izin akan terbuka.
- Klik Tambahkan peran lain, lalu cari peran Storage Object Viewer.
- Pilih peran, lalu klik Simpan. Peran
storage.objectViewerkemudian ditambahkan ke akun layanan.
gcloud
Untuk menambahkan izin akun layanan, jalankan perintahgcloud projects add-iam-policy-binding. Untuk menemukan PROJECT_ID dan PROJECT_NUMBER,
lihat Mengidentifikasi project.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectViewer
Mengekspor resource FHIR ke Cloud Storage
Untuk menggunakan metode projects.locations.datasets.fhirStores.export
diperlukan izin berikut pada akun layanan Agen Layanan Cloud Healthcare:
storage.objects.createstorage.objects.deletestorage.objects.list
Izin ini disertakan dalam peran storage.objectAdmin bawaan.
Anda juga dapat menambahkan izin ke peran khusus, atau izin tersebut mungkin disertakan dalam peran dasar lainnya.
Untuk memberikan peran storage.objectAdmin ke akun layanan, ikuti langkah-langkah berikut:
Konsol
- Pastikan Anda telah mengaktifkan Cloud Healthcare API.
- Di halaman IAM
di Google Cloud konsol, pastikan peran Healthcare Service Agent
muncul di kolom Role untuk akun layanan
Agen Layanan Cloud Healthcare.
ID akun layanan adalah
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Di kolom Pewarisan yang cocok dengan peran, klik ikon pensil. Panel Edit izin akan terbuka.
- Klik Tambahkan peran lain, lalu cari peran Storage Object Creator.
- Pilih peran, lalu klik Simpan. Peran
storage.objectAdminkemudian ditambahkan ke akun layanan.
gcloud
Untuk menambahkan izin akun layanan, jalankan perintah gcloud projects add-iam-policy-binding. Untuk menemukan PROJECT_ID dan PROJECT_NUMBER,
lihat Mengidentifikasi project.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectAdmin
Membaca file filter dari Cloud Storage
Metode projects.locations.datasets.fhirStores.rollback
memerlukan izin berikut pada akun layanan Agen Layanan Cloud Healthcare
untuk membaca file filter
dari Cloud Storage:
storage.objects.getstorage.objects.list
Izin ini disertakan dalam peran storage.objectViewer bawaan.
Anda juga dapat menambahkan izin ke peran khusus, atau izin tersebut mungkin disertakan dalam peran dasar lainnya.
Untuk memberikan peran storage.objectViewer ke akun layanan, ikuti
langkah-langkah berikut:
Menulis file output ke Cloud Storage
Metode projects.locations.datasets.fhirStores.rollback
memerlukan izin berikut pada akun layanan Agen Layanan Cloud Healthcare
untuk menulis file output
ke Cloud Storage:
storage.objects.createstorage.objects.deletestorage.objects.getstorage.objects.list
Izin ini disertakan dalam peran storage.objectAdmin bawaan.
Anda juga dapat menambahkan izin ke peran khusus, atau izin tersebut mungkin disertakan dalam peran dasar lainnya.
Untuk memberikan peran storage.objectAdmin ke akun layanan, ikuti
langkah-langkah berikut:
Izin BigQuery untuk penyimpanan FHIR
Metode projects.locations.datasets.fhirStores.export
memerlukan izin tambahan pada akun layanan Agen Layanan Cloud Healthcare
untuk mengekspor resource FHIR ke
BigQuery. Anda juga harus memberikan akses WRITER untuk
set data BigQuery
ke akun layanan Cloud Healthcare Service Agent.
Memberikan izin ke akun layanan Cloud Healthcare Service Agent
Konsol
- Pastikan Anda telah mengaktifkan Cloud Healthcare API.
- Di halaman IAM di konsol Google Cloud , pastikan peran
Healthcare Service Agent muncul di kolom Role untuk akun layanan
Agen Layanan Cloud Healthcare.
ID akun layanan adalah
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Di kolom Pewarisan yang sesuai dengan peran, klik ikon pensil. Panel Edit izin akan terbuka.
- Klik Add another role, lalu telusuri peran BigQuery Data Editor dan BigQuery Job User.
- Pilih setiap peran, lalu klik Simpan. Peran
bigquery.dataEditordanbigquery.jobUserkemudian ditambahkan ke akun layanan.
gcloud
Untuk menambahkan izin akun layanan, jalankan perintah gcloud projects add-iam-policy-binding. Untuk menemukan PROJECT_ID dan PROJECT_NUMBER,
lihat Mengidentifikasi project.
Berikan peran
roles/bigquery.dataEditor:Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
- PROJECT_ID: ID Google Cloud project Anda
- PROJECT_NUMBER: jumlah Google Cloud project Anda
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditor
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.dataEditor
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.dataEditor
Anda akan melihat respons seperti berikut:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.dataEditor ... etag: ETAG version: VERSION
Berikan peran
roles/bigquery.jobUser:Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
- PROJECT_ID: ID Google Cloud project Anda
- PROJECT_NUMBER: jumlah Google Cloud project Anda
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUser
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.jobUser
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.jobUser
Anda akan melihat respons seperti berikut:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.jobUser ... etag: ETAG version: VERSION
Memberikan akses WRITER ke set data BigQuery
Jika telah menambahkan peran bigquery.dataEditor dan bigquery.jobUser ke akun layanan project, Anda akan memiliki akses WRITER untuk semua set data BigQuery. Namun, jika Anda belum menambahkan peran ini dan memerlukan
akses WRITER ke satu set data BigQuery, Anda dapat memberikan
akses WRITER hanya untuk set data tersebut.
Untuk memberikan akses WRITER ke set data BigQuery, selesaikan
langkah-langkah berikut:
- Buka Mengontrol akses ke set data.
- Dengan menggunakan salah satu metode yang tersedia, berikan akses
WRITERalamat email Cloud Healthcare Service Agent ke set data BigQuery. (Cari alamat email yang diakhiri dengan@gcp-sa-healthcare.iam.gserviceaccount.com).
Misalnya, jika alamat email Agen Layanan Cloud Healthcare Anda adalah
service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com, dan jika Anda menggunakan
UI web BigQuery, Anda harus:
- Ikuti petunjuk Konsol.
- Di kolom Add principals, masukkan
service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com, lalu pilih peranbigquery.dataEditor.
Izin Cloud Storage untuk penyimpanan HL7v2
Metode projects.locations.datasets.hl7V2Stores.import
dan projects.locations.datasets.hl7V2Stores.export
memerlukan izin tambahan pada akun layanan Cloud Healthcare Service Agent
untuk mengimpor pesan HL7v2 dari
dan mengekspor pesan HL7v2 ke Cloud Storage.
Tentukan izin yang diperlukan akun layanan berdasarkan tindakan yang dilakukan aplikasi:
- Jika aplikasi mengimpor pesan HL7v2 dari Cloud Storage ke penyimpanan HL7v2, akun layanan memerlukan izin
storage.objects.getdanstorage.objects.list, yang disertakan dalam peranstorage.objectViewer. - Jika aplikasi mengekspor pesan HL7v2 dari penyimpanan HL7v2 ke
Cloud Storage, akun layanan memerlukan izin
storage.objects.create,storage.objects.delete, danstorage.objects.list, yang disertakan dalam peranstorage.objectCreator.
Mengimpor pesan HL7v2 dari Cloud Storage
Anda dapat menggunakan Google Cloud konsol atau gcloud CLI untuk menambahkan peranstorage.objectViewer yang diperlukan ke akun layanan project Anda.
Konsol
- Pastikan Anda telah mengaktifkan Cloud Healthcare API.
- Di halaman IAM di konsol Google Cloud , pastikan peran
Healthcare Service Agent muncul di kolom Role untuk akun layanan
Agen Layanan Cloud Healthcare.
ID akun layanan adalah
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Di kolom Pewarisan yang sesuai dengan peran, klik ikon pensil. Panel Edit izin akan terbuka.
- Klik Tambahkan peran lain, lalu cari peran Storage Object Viewer.
- Pilih peran, lalu klik Simpan. Peran
storage.objectViewerkemudian ditambahkan ke akun layanan.
gcloud
Untuk menambahkan izin akun layanan, jalankan perintahgcloud projects add-iam-policy-binding. Untuk menemukan PROJECT_ID dan PROJECT_NUMBER,
lihat Mengidentifikasi project.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectViewer
Mengekspor pesan HL7v2 ke Cloud Storage
Anda dapat menggunakan Google Cloud konsol atau gcloud CLI untuk menambahkan
peran storage.objectCreator yang diperlukan ke akun layanan project Anda:
Konsol
- Pastikan Anda telah mengaktifkan Cloud Healthcare API.
- Di halaman IAM
di Google Cloud konsol, pastikan peran Healthcare Service Agent
muncul di kolom Role untuk akun layanan
Agen Layanan Cloud Healthcare.
ID akun layanan adalah
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Di kolom Pewarisan yang cocok dengan peran, klik ikon pensil. Panel Edit izin akan terbuka.
- Klik Tambahkan peran lain, lalu cari peran Storage Object Creator.
- Pilih peran, lalu klik Simpan. Peran
storage.objectCreatorkemudian ditambahkan ke akun layanan.
gcloud
Untuk menambahkan izin akun layanan, jalankan perintah gcloud projects add-iam-policy-binding. Untuk menemukan PROJECT_ID dan PROJECT_NUMBER,
lihat Mengidentifikasi project.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectCreator