L'API Cloud Healthcare non ha accesso automatico ad altre risorseGoogle Cloud nel tuo progetto, come bucket Cloud Storage e set di dati BigQuery. Quando accede a queste risorse, l'API Cloud Healthcare utilizza un service agent denominato service agent Cloud Healthcare.
Per eseguire operazioni come la notifica degli argomenti Pub/Sub delle modifiche, l'importazione di dati dai bucket Cloud Storage, l'esportazione di dati nei set di dati BigQuery e così via, devi prima concedere all'account di servizio le autorizzazioni Identity and Access Management (IAM) necessarie per accedere alle risorse esterne all'API Cloud Healthcare. Questa pagina descrive le autorizzazioni richieste per varie operazioni e come concederle.
Per saperne di più sull'utilizzo di IAM per configurare le autorizzazioni all'interno dell'API Cloud Healthcare, consulta Controllo degli accessi.
Agente di servizio Cloud Healthcare
L'account di servizio agente di servizio Cloud Healthcare
viene creato automaticamente
dopo l'abilitazione dell'API Cloud Healthcare. Il nome del membro è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
Per trovare l'PROJECT_NUMBER per il tuo progetto Google Cloud ,
consulta Identificazione dei progetti.
Puoi visualizzare informazioni dettagliate sull'account di servizio Agente di servizio Cloud Healthcare, ad esempio i ruoli che gli sono stati concessi, nella pagina Identity and Access Management della consoleGoogle Cloud .
Per saperne di più sull'agente di servizio Cloud Healthcare e sulla sua interazione con i ruoli e le autorizzazioni di Identity and Access Management (IAM), consulta Controllo degli accessi.
Autorizzazioni CMEK per i set di dati
Puoi utilizzare una chiave di crittografia gestita dal cliente (CMEK) quando crei un set di dati dell'API Cloud Healthcare. Per consentire all'account di servizio
agente di servizio Cloud Healthcare di criptare e decriptare gli oggetti
utilizzando la chiave CMEK, concedi all'account di servizio il ruolo
Autore crittografia/decrittografia CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter).
Console
Nella console Google Cloud vai alla pagina IAM.
Seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.
Assicurati che la scheda Visualizza per entità sia selezionata. Individua la riga contenente l'account di servizio Agente di servizio Cloud Healthcare e fai clic su Modifica entità in quella riga. Viene visualizzato il riquadro Modifica autorizzazioni.
Fai clic su Aggiungi un altro ruolo.
Nel menu a discesa Seleziona un ruolo, cerca e fai clic su Autore crittografia/decriptazione CryptoKey.
Fai clic su Salva.
Autorizzazioni Pub/Sub per archivi DICOM, FHIR e HL7v2
Le modifiche all'interno degli archivi DICOM, FHIR e HL7v2 possono essere inviate a un argomento Pub/Sub. Per ulteriori informazioni, vedi Utilizzo di Cloud Pub/Sub per le notifiche.
I metodi all'interno di questi archivi richiedono autorizzazioni aggiuntive nell'account di servizio dell'agente di servizio Cloud Healthcare al fine di pubblicare le modifiche in un argomento Pub/Sub.
Utilizza la console Google Cloud o la gcloud CLI per aggiungere il ruolo
pubsub.publisher all'account di servizio del progetto:
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud , verifica che il ruolo Agente di servizio settore sanitario sia presente nella colonna Ruolo per l'account di servizio Agente di servizio Cloud Healthcare.
L'identificatore del account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e cerca il ruolo Publisher Pub/Sub.
- Seleziona il ruolo e fai clic su Salva. Il ruolo
pubsub.publisherviene aggiunto all'account di servizio.
gcloud
Per aggiungere le autorizzazioni del account di servizio, esegui il comando
gcloud projects add-iam-policy-binding. Per trovare l'ID progetto (PROJECT_ID) e il numero del progetto (PROJECT_NUMBER),
consulta Identificazione dei progetti.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/pubsub.publisher
Configurare le autorizzazioni Pub/Sub tra progetti
Per pubblicare notifiche Pub/Sub in un argomento di un altro progetto,
concedi all'account di servizio dell'agente di servizio Cloud Healthcare il ruolo
pubsub.publisher nell'argomento. Per saperne di più, consulta Controllare l'accesso tramite la console Google Cloud
e Controllare l'accesso tramite l'API IAM.
Per un esempio di pubblicazione di notifiche Pub/Sub tra progetti, consulta Scenario di esempio: comunicazione tra progetti.
Autorizzazioni Cloud Storage per gli archivi DICOM
I metodi projects.locations.datasets.dicomStores.import e projects.locations.datasets.dicomStores.export richiedono autorizzazioni aggiuntive per l'account di servizio dell'agente di servizio Cloud Healthcare al fine di importare ed esportare da e in Cloud Storage.
Importazione dei dati da Cloud Storage
Puoi utilizzare la console Google Cloud o gcloud CLI per aggiungere il ruolo obbligatoriostorage.objectViewer all'account di servizio del progetto.
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud , verifica che il ruolo
Agente di servizio settore sanitario sia presente nella colonna Ruolo per l'account di servizio
Agente di servizio Cloud Healthcare.
L'identificatore del account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e poi cerca il ruolo Visualizzatore oggetti Storage.
- Seleziona il ruolo e fai clic su Salva. Il ruolo
storage.objectViewerviene aggiunto all'account di servizio.
gcloud
Per aggiungere le autorizzazioni del account di servizio, esegui il comandogcloud projects add-iam-policy-binding. Per trovare l'ID progetto (PROJECT_ID) e il numero del progetto (PROJECT_NUMBER),
consulta Identificazione dei progetti.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectViewer
Esportazione dei dati in Cloud Storage
Puoi utilizzare la console Google Cloud o gcloud CLI per aggiungere il ruolo obbligatorio
storage.objectAdmin all'account di servizio del progetto:
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud , verifica che il ruolo Agente di servizio settore sanitario sia presente nella colonna Ruolo per l'account di servizio Agente di servizio Cloud Healthcare.
L'identificatore del account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e poi cerca il ruolo Amministratore oggetti di archiviazione.
- Seleziona il ruolo e fai clic su Salva. Il ruolo
storage.objectAdminviene aggiunto all'account di servizio.
gcloud
Per aggiungere le autorizzazioni del account di servizio, esegui il comando gcloud projects add-iam-policy-binding. Per trovare l'ID progetto (PROJECT_ID) e il numero del progetto (PROJECT_NUMBER),
consulta Identificazione dei progetti.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectAdmin
Autorizzazioni BigQuery per gli archivi DICOM
Il metodo projects.locations.datasets.dicomStores.export
richiede autorizzazioni aggiuntive nell'account di servizio dell'agente di servizio Cloud Healthcare per esportare i metadati DICOM in BigQuery. Devi inoltre concedere l'accesso WRITER per il
set di dati BigQuery
all'account di servizio dell'agente di servizio Cloud Healthcare.
Concessione delle autorizzazioni al account di servizio dell'agente di servizio Cloud Healthcare
Puoi utilizzare la console Google Cloud o gcloud CLI per aggiungere i ruoli obbligatori bigquery.dataEditor e bigquery.jobUser all'account di servizio del progetto.
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud , verifica che il ruolo
Agente di servizio settore sanitario sia presente nella colonna Ruolo per l'account di servizio
Agente di servizio Cloud Healthcare.
L'identificatore del account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e poi cerca i ruoli Editor dati BigQuery e Utente job BigQuery.
- Seleziona ogni ruolo e poi fai clic su Salva. I ruoli
bigquery.dataEditorebigquery.jobUservengono aggiunti all'account di servizio.
gcloud
Per aggiungere le autorizzazioni del account di servizio, esegui il comando gcloud projects add-iam-policy-binding. Per trovare l'ID progetto (PROJECT_ID) e il numero del progetto (PROJECT_NUMBER),
consulta Identificazione dei progetti.
Concedi il ruolo
roles/bigquery.dataEditor:Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
- PROJECT_ID: l'ID del tuo Google Cloud progetto
- PROJECT_NUMBER: il numero del tuo Google Cloud progetto
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditor
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.dataEditor
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.dataEditor
Dovresti ricevere una risposta simile alla seguente:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.dataEditor ... etag: ETAG version: VERSION
Concedi il ruolo
roles/bigquery.jobUser:Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
- PROJECT_ID: l'ID del tuo Google Cloud progetto
- PROJECT_NUMBER: il numero del tuo Google Cloud progetto
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUser
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.jobUser
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.jobUser
Dovresti ricevere una risposta simile alla seguente:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.jobUser ... etag: ETAG version: VERSION
Concedere l'accesso a WRITER al set di dati BigQuery
Se hai aggiunto i ruoli bigquery.dataEditor e bigquery.jobUser all'account di servizio del progetto, avrai l'accesso WRITER per tutti i set di dati BigQuery. Tuttavia, se non hai aggiunto questi ruoli e richiedi
l'accesso WRITER a un singolo set di dati BigQuery, puoi concedere
l'accesso WRITER solo per quel set di dati.
Per concedere l'accesso a WRITER a un set di dati BigQuery, completa
i seguenti passaggi:
- Vai a Controllo dell'accesso a un set di dati.
- Utilizza uno dei metodi disponibili per concedere all'indirizzo email dell'agente di servizio Cloud Healthcare l'accesso di tipo
WRITERal set di dati BigQuery. Cerca l'indirizzo email che termina con@gcp-sa-healthcare.iam.gserviceaccount.com.
Ad esempio, se l'indirizzo email dell'agente di servizio Cloud Healthcare è service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com e se utilizzi l'interfaccia utente web di BigQuery, devi procedere come segue:
- Segui le istruzioni di Console.
- Nel campo Aggiungi entità, inserisci
service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.come seleziona il ruolobigquery.dataEditor.
Esportazione dei metadati DICOM in più Google Cloud progetti
Per esportare i metadati DICOM da un archivio DICOM in un progetto a una tabella BigQuery in un progetto diverso, devi aggiungere l'account di servizio dell'agente di servizio Cloud Healthcare del progetto di origine al progetto di destinazione e concedere all'account di servizio i ruoli bigquery.dataEditor e bigquery.jobUser nel progetto di destinazione.
Per trovare l'account di servizio dell'agente di servizio Cloud Healthcare del progetto di origine, completa i seguenti passaggi:
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud , verifica che il ruolo
Agente di servizio settore sanitario sia presente nella colonna Ruolo per l'account di servizio
Agente di servizio Cloud Healthcare.
L'identificatore del account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. Prendi nota di questo indirizzo nel progetto di origine, poiché verrà utilizzato nei passaggi successivi.
Aggiungi l'account di servizio agente di servizio Cloud Healthcare dal progetto di origine al progetto di destinazione e concedi all'account di servizio le autorizzazioni BigQuery richieste completando i seguenti passaggi:
Console
- Apri la pagina IAM del progetto di destinazione nella console Google Cloud .
- Fai clic su Aggiungi.
- Nel campo Nuovi membri, inserisci l'indirizzo del account di servizio agente di servizio Cloud Healthcare del progetto di origine.
- Fai clic su Aggiungi un altro ruolo e poi cerca i ruoli Editor dati BigQuery e Utente job BigQuery.
- Seleziona il ruolo e fai clic su Salva. L'account di servizio Agente di servizio Cloud Healthcare del progetto di origine ora dispone dei ruoli
bigquery.dataEditorebigquery.jobUsernel progetto di destinazione.
gcloud
Per aggiungere l'account di servizio agente di servizio Cloud Healthcare dal progetto di origine al progetto di destinazione e concedere all'account di servizio le autorizzazioni BigQuery richieste, esegui il comando
gcloud projects add-iam-policy-binding. Per trovare l'ID e il numero del progetto di origine e di destinazione, consulta Identificazione dei progetti.
gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \ --member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditor
gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \ --member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUser
Completa i passaggi descritti in Concedere l'accesso WRITER al set di dati BigQuery
per consentire al progetto di origine di scrivere nel set di dati di destinazione.
Autorizzazioni Cloud Storage per gli archivi FHIR
Le sezioni seguenti descrivono i metodi FHIR che richiedono autorizzazioni aggiuntive per l'agente di servizio Cloud Healthcare per leggere o scrivere in Cloud Storage.
Importazione delle risorse FHIR da Cloud Storage
Il metodo projects.locations.datasets.fhirStores.import
richiede le seguenti autorizzazioni per l'account di servizio dell'agente di servizio Cloud Healthcare:
storage.objects.getstorage.objects.list
Queste autorizzazioni sono incluse nel ruolo predefinito storage.objectViewer.
Puoi anche aggiungere le autorizzazioni a un ruolo personalizzato oppure potrebbero essere incluse in altri ruoli di base.
Puoi utilizzare la console Google Cloud o gcloud CLI per aggiungere il ruolo obbligatoriostorage.objectViewer all'account di servizio del progetto.
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud , verifica che il ruolo
Agente di servizio settore sanitario sia presente nella colonna Ruolo per l'account di servizio
Agente di servizio Cloud Healthcare.
L'identificatore del account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e poi cerca il ruolo Visualizzatore oggetti Storage.
- Seleziona il ruolo e fai clic su Salva. Il ruolo
storage.objectViewerviene aggiunto all'account di servizio.
gcloud
Per aggiungere le autorizzazioni del account di servizio, esegui il comandogcloud projects add-iam-policy-binding. Per trovare l'ID progetto (PROJECT_ID) e il numero del progetto (PROJECT_NUMBER),
consulta Identificazione dei progetti.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectViewer
Esportazione delle risorse FHIR in Cloud Storage
Per utilizzare il metodo projects.locations.datasets.fhirStores.export
sono necessarie le seguenti autorizzazioni per il account di servizio dell'agente di servizio Cloud Healthcare:
storage.objects.createstorage.objects.deletestorage.objects.list
Queste autorizzazioni sono incluse nel ruolo predefinito storage.objectAdmin.
Puoi anche aggiungere le autorizzazioni a un ruolo personalizzato oppure potrebbero essere incluse in altri ruoli di base.
Per concedere all'account di servizio il ruolo storage.objectAdmin, segui questi passaggi:
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud , verifica che il ruolo Agente di servizio settore sanitario sia presente nella colonna Ruolo per l'account di servizio Agente di servizio Cloud Healthcare.
L'identificatore del account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e cerca il ruolo Creatore oggetti Storage.
- Seleziona il ruolo e fai clic su Salva. Il ruolo
storage.objectAdminviene aggiunto all'account di servizio.
gcloud
Per aggiungere le autorizzazioni del account di servizio, esegui il comando gcloud projects add-iam-policy-binding. Per trovare l'ID progetto (PROJECT_ID) e il numero del progetto (PROJECT_NUMBER),
consulta Identificazione dei progetti.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectAdmin
Leggi i file di filtri da Cloud Storage
Il metodo projects.locations.datasets.fhirStores.rollback
richiede le seguenti autorizzazioni per il account di servizio dell'agente di servizio Cloud Healthcare
per leggere i file di filtri
da Cloud Storage:
storage.objects.getstorage.objects.list
Queste autorizzazioni sono incluse nel ruolo predefinito storage.objectViewer.
Puoi anche aggiungere le autorizzazioni a un ruolo personalizzato oppure potrebbero essere incluse in altri ruoli di base.
Per concedere il ruolo storage.objectViewer al account di servizio, segui questi passaggi:
Scrivi i file di output in Cloud Storage
Il metodo projects.locations.datasets.fhirStores.rollback
richiede le seguenti autorizzazioni per l'account di servizio dell'agente di servizio Cloud Healthcare
per scrivere file di output
in Cloud Storage:
storage.objects.createstorage.objects.deletestorage.objects.getstorage.objects.list
Queste autorizzazioni sono incluse nel ruolo predefinito storage.objectAdmin.
Puoi anche aggiungere le autorizzazioni a un ruolo personalizzato oppure potrebbero essere incluse in altri ruoli di base.
Per concedere il ruolo storage.objectAdmin al account di servizio, segui questi passaggi:
Autorizzazioni BigQuery per gli archivi FHIR
Il metodo projects.locations.datasets.fhirStores.export
richiede autorizzazioni aggiuntive nell'account di servizio dell'agente di servizio Cloud Healthcare per esportare le risorse FHIR in BigQuery. Devi inoltre concedere l'accesso WRITER per il
set di dati BigQuery
all'account di servizio dell'agente di servizio Cloud Healthcare.
Concessione delle autorizzazioni al account di servizio dell'agente di servizio Cloud Healthcare
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud , verifica che il ruolo
Agente di servizio settore sanitario sia presente nella colonna Ruolo per l'account di servizio
Agente di servizio Cloud Healthcare.
L'identificatore del account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e poi cerca i ruoli Editor dati BigQuery e Utente job BigQuery.
- Seleziona ogni ruolo e poi fai clic su Salva. I ruoli
bigquery.dataEditorebigquery.jobUservengono aggiunti all'account di servizio.
gcloud
Per aggiungere le autorizzazioni del account di servizio, esegui il comando gcloud projects add-iam-policy-binding. Per trovare l'ID progetto (PROJECT_ID) e il numero del progetto (PROJECT_NUMBER),
consulta Identificazione dei progetti.
Concedi il ruolo
roles/bigquery.dataEditor:Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
- PROJECT_ID: l'ID del tuo Google Cloud progetto
- PROJECT_NUMBER: il numero del tuo Google Cloud progetto
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditor
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.dataEditor
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.dataEditor
Dovresti ricevere una risposta simile alla seguente:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.dataEditor ... etag: ETAG version: VERSION
Concedi il ruolo
roles/bigquery.jobUser:Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
- PROJECT_ID: l'ID del tuo Google Cloud progetto
- PROJECT_NUMBER: il numero del tuo Google Cloud progetto
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUser
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.jobUser
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.jobUser
Dovresti ricevere una risposta simile alla seguente:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.jobUser ... etag: ETAG version: VERSION
Concedere l'accesso a WRITER al set di dati BigQuery
Se hai aggiunto i ruoli bigquery.dataEditor e bigquery.jobUser all'account di servizio del progetto, avrai l'accesso WRITER per tutti i set di dati BigQuery. Tuttavia, se non hai aggiunto questi ruoli e richiedi
l'accesso WRITER a un singolo set di dati BigQuery, puoi concedere
l'accesso WRITER solo per quel set di dati.
Per concedere l'accesso a WRITER a un set di dati BigQuery, completa
i seguenti passaggi:
- Vai a Controllo dell'accesso a un set di dati.
- Utilizza uno dei metodi disponibili per concedere all'indirizzo email dell'agente di servizio Cloud Healthcare l'accesso di tipo
WRITERal set di dati BigQuery. Cerca l'indirizzo email che termina con@gcp-sa-healthcare.iam.gserviceaccount.com.
Ad esempio, se l'indirizzo email dell'agente di servizio Cloud Healthcare è service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com e se utilizzi l'interfaccia utente web di BigQuery, devi procedere come segue:
- Segui le istruzioni di Console.
- Nel campo Aggiungi entità, inserisci
service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.come seleziona il ruolobigquery.dataEditor.
Autorizzazioni Cloud Storage per gli archivi HL7v2
I metodi projects.locations.datasets.hl7V2Stores.import e projects.locations.datasets.hl7V2Stores.export richiedono autorizzazioni aggiuntive per l'account di servizio dell'agente di servizio Cloud Healthcare per importare i messaggi HL7v2 da Cloud Storage ed esportarli in Cloud Storage.
Determina le autorizzazioni richieste dal account di servizio in base alle azioni eseguite dall'applicazione:
- Se l'applicazione importa messaggi HL7v2 da Cloud Storage in un
datastore HL7v2, il account di servizio richiede le autorizzazioni
storage.objects.getestorage.objects.list, che sono incluse nel ruolostorage.objectViewer. - Se l'applicazione esporta messaggi HL7v2 da un archivio HL7v2 a Cloud Storage, l'account di servizio richiede le autorizzazioni
storage.objects.create,storage.objects.deleteestorage.objects.list, che sono incluse nel ruolostorage.objectCreator.
Importazione di messaggi HL7v2 da Cloud Storage
Puoi utilizzare la console Google Cloud o gcloud CLI per aggiungere il ruolo obbligatoriostorage.objectViewer all'account di servizio del progetto.
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud , verifica che il ruolo
Agente di servizio settore sanitario sia presente nella colonna Ruolo per l'account di servizio
Agente di servizio Cloud Healthcare.
L'identificatore del account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e poi cerca il ruolo Visualizzatore oggetti Storage.
- Seleziona il ruolo e fai clic su Salva. Il ruolo
storage.objectViewerviene aggiunto all'account di servizio.
gcloud
Per aggiungere le autorizzazioni del account di servizio, esegui il comandogcloud projects add-iam-policy-binding. Per trovare l'ID progetto (PROJECT_ID) e il numero del progetto (PROJECT_NUMBER),
consulta Identificazione dei progetti.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectViewer
Esportazione di messaggi HL7v2 in Cloud Storage
Puoi utilizzare la console Google Cloud o gcloud CLI per aggiungere il ruolo obbligatorio storage.objectCreator all'account di servizio del progetto:
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud , verifica che il ruolo Agente di servizio settore sanitario sia presente nella colonna Ruolo per l'account di servizio dell'agente di servizio Cloud Healthcare.
L'identificatore del account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e cerca il ruolo Creatore oggetti Storage.
- Seleziona il ruolo e fai clic su Salva. Il ruolo
storage.objectCreatorviene aggiunto all'account di servizio.
gcloud
Per aggiungere le autorizzazioni del account di servizio, esegui il comando gcloud projects add-iam-policy-binding. Per trovare l'ID progetto (PROJECT_ID) e il numero del progetto (PROJECT_NUMBER),
consulta Identificazione dei progetti.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectCreator