L'API Cloud Healthcare non ha accesso automatico ad altre risorse Google Cloud nel progetto, come i bucket Cloud Storage e i set di dati BigQuery. Quando accede a queste risorse, l'API Cloud Healthcare utilizza un agente di servizio chiamato agente di servizio Cloud Healthcare.
Per eseguire operazioni come notificare le modifiche agli argomenti Pub/Sub, importare dati dai bucket Cloud Storage, esportare dati nei set di dati BigQuery e così via, devi prima concedere all'account di servizio le autorizzazioni IAM (Identity and Access Management) necessarie per accedere alle risorse esterne all'API Cloud Healthcare. Questa pagina descrive le autorizzazioni richieste per le varie operazioni e come concederle.
Per scoprire di più sull'utilizzo di IAM per configurare le autorizzazioni all'interno dell'API Cloud Healthcare, consulta Controllo degli accessi.
Cloud Healthcare Service Agent
L'account di servizio Agente di servizio Cloud Healthcare viene creato automaticamente dopo l'abilitazione dell'API Cloud Healthcare. Il nome del membro è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com.
Per trovare l'ID progetto (PROJECT_NUMBER) del tuo progetto Google Cloud, consulta Identificazione dei progetti.
Puoi visualizzare informazioni dettagliate sull'account di servizio Agente di servizio sanitario Cloud, ad esempio i ruoli che gli sono stati concessi, nella pagina Identity and Access Management della console Google Cloud.
Per scoprire di più sull'agente di servizio Cloud Healthcare e sulla sua interazione con i ruoli e le autorizzazioni di Identity and Access Management (IAM), consulta Controllo degli accessi.
Autorizzazioni CMEK per i set di dati
Puoi utilizzare una chiave di crittografia gestita dal cliente (CMEK) quando
crei un set di dati dell'API Cloud Healthcare. Per consentire all'account di servizio
Agente di servizio Cloud Healthcare di criptare e decriptare gli oggetti
utilizzando la chiave CMEK, concedi all'account di servizio il ruolo
Autore crittografia/decrittografia CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter).
Console
Nella console Google Cloud, vai alla pagina IAM.
Seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.
Assicurati che la scheda Visualizza per entità sia selezionata. Individua la riga contenente l'account di servizio Cloud Healthcare Service Agent e fai clic su Modifica entità in quella riga. Viene visualizzato il riquadro Modifica autorizzazioni.
Fai clic su Aggiungi un altro ruolo.
Nel menu a discesa Seleziona un ruolo, cerca e fai clic su Autore crittografia/decriptazione CryptoKey.
Fai clic su Salva.
Autorizzazioni Pub/Sub per archivi DICOM, FHIR e HL7v2
Le modifiche all'interno degli archivi DICOM, FHIR e HL7v2 possono essere inviate a un argomento Pub/Sub. Per ulteriori informazioni, consulta Utilizzo di Cloud Pub/Sub per le notifiche.
I metodi all'interno di questi archivi richiedono autorizzazioni aggiuntive nell'account di servizio dell'agente di servizio Cloud Healthcare al fine di pubblicare le modifiche in un argomento Pub/Sub.
Utilizza la console Google Cloud o la gcloud CLI per aggiungere il ruolo pubsub.publisher all'account di servizio del progetto:
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud, verifica che il ruolo Agente di servizio sanitario sia presente nella colonna Ruolo per l'account di servizio Agente di servizio sanitario Cloud.
L'identificatore dell'account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e cerca il ruolo Publisher Pub/Sub.
- Seleziona il ruolo e fai clic su Salva. Il ruolo
pubsub.publisherviene aggiunto all'account di servizio.
gcloud
Per aggiungere le autorizzazioni dell'account di servizio, esegui il comando
gcloud projects add-iam-policy-binding. Per trovare l'ID progetto (PROJECT_ID) e il numero del progetto (PROJECT_NUMBER),
consulta Identificazione dei progetti.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/pubsub.publisher
Configurare le autorizzazioni Pub/Sub tra progetti
Per pubblicare notifiche Pub/Sub in un argomento di un altro progetto,
concedi all'account di servizio Agente di servizio Cloud Healthcare il ruolo
pubsub.publisher nell'argomento. Per ulteriori informazioni, consulta Controllare l'accesso tramite la console Google Cloud e Controllare l'accesso tramite l'API IAM.
Per un esempio di pubblicazione di notifiche Pub/Sub tra progetti, consulta Caso d'uso di esempio: comunicazione tra progetti.
Autorizzazioni Cloud Storage per gli archivi DICOM
I metodi projects.locations.datasets.dicomStores.import
e projects.locations.datasets.dicomStores.export
richiedono autorizzazioni aggiuntive nell'account di servizio dell'agente di servizio Cloud Healthcare
per importare ed esportare da e in Cloud Storage.
Importazione dei dati da Cloud Storage
Puoi utilizzare la console Google Cloud o la gcloud CLI per aggiungere il ruolo obbligatoriostorage.objectViewer all'account di servizio del progetto.
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud, verifica che il ruolo
Agente di servizio settore sanitario sia presente nella colonna Ruolo per l'account di servizio Agente di servizio Cloud Healthcare.
L'identificatore dell'account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e cerca il ruolo Visualizzatore oggetti Storage.
- Seleziona il ruolo e fai clic su Salva. Il ruolo
storage.objectViewerviene aggiunto all'account di servizio.
gcloud
Per aggiungere le autorizzazioni dell'account di servizio, esegui il comandogcloud projects add-iam-policy-binding. Per trovare l'ID progetto (PROJECT_ID) e il numero del progetto (PROJECT_NUMBER),
consulta Identificazione dei progetti.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectViewer
Esportazione dei dati in Cloud Storage
Puoi utilizzare la console Google Cloud o la gcloud CLI per aggiungere il ruolo obbligatorio storage.objectAdmin all'account di servizio del progetto:
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud, verifica che il ruolo Agente di servizio settore sanitario sia presente nella colonna Ruolo per l'account di servizio Agente di servizio Cloud Healthcare.
L'identificatore dell'account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e cerca il ruolo Amministratore oggetti di archiviazione.
- Seleziona il ruolo e fai clic su Salva. Il ruolo
storage.objectAdminviene aggiunto all'account di servizio.
gcloud
Per aggiungere le autorizzazioni dell'account di servizio, esegui il comando gcloud projects add-iam-policy-binding. Per trovare l'ID progetto (PROJECT_ID) e il numero del progetto (PROJECT_NUMBER),
consulta Identificazione dei progetti.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectAdmin
Autorizzazioni BigQuery per gli archivi DICOM
Il metodo projects.locations.datasets.dicomStores.export richiede autorizzazioni aggiuntive nell'account di servizio Agente di servizio Cloud Healthcare per esportare i metadati DICOM in BigQuery. Devi anche concedere l'accesso WRITER per il set di dati BigQuery all'account di servizio dell'agente di servizio Cloud Healthcare.
Concedere le autorizzazioni all'account di servizio Cloud Healthcare Service Agent
Puoi utilizzare la console Google Cloud o la gcloud CLI per aggiungere i ruoli obbligatori bigquery.dataEditor e bigquery.jobUser all'account di servizio del progetto.
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud, verifica che il ruolo
Agente di servizio settore sanitario sia presente nella colonna Ruolo per l'account di servizio Agente di servizio Cloud Healthcare.
L'identificatore dell'account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e cerca i ruoli Editor dati BigQuery e Utente job BigQuery.
- Seleziona ciascun ruolo e fai clic su Salva. I ruoli
bigquery.dataEditorebigquery.jobUservengono aggiunti all'account di servizio.
gcloud
Per aggiungere le autorizzazioni dell'account di servizio, esegui il comando gcloud projects add-iam-policy-binding. Per trovare l'ID progetto (PROJECT_ID) e il numero del progetto (PROJECT_NUMBER),
consulta Identificazione dei progetti.
Concedi il ruolo
roles/bigquery.dataEditor:Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
- PROJECT_ID: l'ID del tuo progetto Google Cloud
- PROJECT_NUMBER: il numero del tuo progetto Google Cloud
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditor
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.dataEditor
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.dataEditor
Dovresti ricevere una risposta simile alla seguente:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.dataEditor ... etag: ETAG version: VERSION
Concedi il ruolo
roles/bigquery.jobUser:Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
- PROJECT_ID: l'ID del tuo progetto Google Cloud
- PROJECT_NUMBER: il numero del tuo progetto Google Cloud
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUser
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.jobUser
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.jobUser
Dovresti ricevere una risposta simile alla seguente:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.jobUser ... etag: ETAG version: VERSION
Concedere l'accesso a WRITER al set di dati BigQuery
Se hai aggiunto i ruoli bigquery.dataEditor e bigquery.jobUser all'account di servizio del progetto, avrai accesso WRITER per tutti i set di dati BigQuery. Tuttavia, se non hai aggiunto questi ruoli e hai bisogno di accessoWRITER a un singolo set di dati BigQuery, puoi concedere l'accessoWRITER solo per quel set di dati.
Per concedere a WRITER l'accesso a un set di dati BigQuery, completa
i seguenti passaggi:
- Vai a Controllo dell'accesso a un set di dati.
- Utilizza uno dei metodi disponibili per concedere all'indirizzo email dell'agente di servizio Cloud Healthcare l'accesso di tipo
WRITERal set di dati BigQuery. Cerca l'indirizzo email che termina con@gcp-sa-healthcare.iam.gserviceaccount.com.
Ad esempio, se l'indirizzo email del tuo agente di servizio Cloud Healthcare è service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com e se utilizzi l'interfaccia utente web di BigQuery, devi procedere come segue:
- Segui le istruzioni di Console.
- Nel campo Aggiungi entità, inserisci
service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.come seleziona il ruolobigquery.dataEditor.
Esportazione dei metadati DICOM nei progetti Google Cloud
Per esportare i metadati DICOM da un archivio DICOM in un progetto a una tabella BigQuery in un altro progetto, devi aggiungere l'account di servizio Agente di servizio Cloud Healthcare del progetto di origine al progetto di destinazione e concedere all'account di servizio i ruoli bigquery.dataEditor e bigquery.jobUser nel progetto di destinazione.
Per trovare l'account di servizio dell'agente di servizio Cloud Healthcare del progetto di origine, completa i seguenti passaggi:
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud, verifica che il ruolo Agente di servizio settore sanitario sia presente nella colonna Ruolo per l'account di servizio Agente di servizio sanitario Cloud.
L'identificatore dell'account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. Prendi nota di questo indirizzo nel progetto di origine, poiché verrà utilizzato nei passaggi successivi.
Aggiungi l'account di servizio Agente di servizio Cloud Healthcare dal progetto di origine al progetto di destinazione e concedi all'account di servizio le autorizzazioni BigQuery richieste completando i seguenti passaggi:
Console
- Apri la pagina IAM del progetto di destinazione nella console Google Cloud.
- Fai clic su Aggiungi.
- Nel campo Nuovi membri, inserisci l'indirizzo dell'account di servizio Agente di servizio Cloud Healthcare del progetto di origine.
- Fai clic su Aggiungi un altro ruolo e cerca i ruoli Editor dati BigQuery e Utente job BigQuery.
- Seleziona il ruolo e fai clic su Salva. L'account di servizio Agente di servizio sanitario Cloud del progetto di origine ora ha i ruoli
bigquery.dataEditorebigquery.jobUsernel progetto di destinazione.
gcloud
Per aggiungere l'account di servizio Cloud Healthcare Service Agent dal progetto di origine al progetto di destinazione e concedere all'account di servizio le autorizzazioni BigQuery richieste, esegui il comando gcloud projects add-iam-policy-binding. Per trovare l'ID progetto e il numero del progetto per i progetti di origine e di destinazione, consulta Identificazione dei progetti.
gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \ --member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditor
gcloud projects add-iam-policy-binding DESTINATION_PROJECT_ID \ --member=serviceAccount:service-SOURCE_PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUser
Completa i passaggi descritti in Concessione dell'accesso a WRITER al set di dati BigQuery per consentire al progetto di origine di scrivere nel set di dati di destinazione.
Autorizzazioni Cloud Storage per gli archivi FHIR
Le sezioni seguenti descrivono i metodi FHIR che richiedono autorizzazioni aggiuntive nell'agente di servizio Cloud Healthcare per leggere o scrivere in Cloud Storage.
Importazione delle risorse FHIR da Cloud Storage
Il metodo projects.locations.datasets.fhirStores.import richiede le seguenti autorizzazioni nell'account di servizio Agente di servizio Cloud Healthcare:
storage.objects.getstorage.objects.list
Queste autorizzazioni sono incluse nel ruolo storage.objectViewer predefinito.
Puoi anche aggiungere le autorizzazioni a un ruolo personalizzato o potrebbero essere incluse in altri ruoli di base.
Puoi utilizzare la console Google Cloud o la gcloud CLI per aggiungere il ruolo obbligatoriostorage.objectViewer all'account di servizio del progetto.
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud, verifica che il ruolo
Agente di servizio settore sanitario sia presente nella colonna Ruolo per l'account di servizio Agente di servizio Cloud Healthcare.
L'identificatore dell'account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e cerca il ruolo Visualizzatore oggetti Storage.
- Seleziona il ruolo e fai clic su Salva. Il ruolo
storage.objectViewerviene aggiunto all'account di servizio.
gcloud
Per aggiungere le autorizzazioni dell'account di servizio, esegui il comandogcloud projects add-iam-policy-binding. Per trovare l'ID progetto (PROJECT_ID) e il numero del progetto (PROJECT_NUMBER),
consulta Identificazione dei progetti.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectViewer
Esportazione delle risorse FHIR in Cloud Storage
Per utilizzare il metodo projects.locations.datasets.fhirStores.export
sono necessarie le seguenti autorizzazioni per l'account di servizio Agente di servizio Cloud Healthcare:
storage.objects.createstorage.objects.deletestorage.objects.list
Queste autorizzazioni sono incluse nel ruolo storage.objectAdmin predefinito.
Puoi anche aggiungere le autorizzazioni a un ruolo personalizzato o potrebbero essere incluse in altri ruoli di base.
Per concedere all'account di servizio il ruolo storage.objectAdmin, segui questi passaggi:
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud, verifica che il ruolo Agente di servizio settore sanitario sia presente nella colonna Ruolo per l'account di servizio Agente di servizio Cloud Healthcare.
L'identificatore dell'account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e cerca il ruolo Creator di oggetti Storage.
- Seleziona il ruolo e fai clic su Salva. Il ruolo
storage.objectAdminviene aggiunto all'account di servizio.
gcloud
Per aggiungere le autorizzazioni dell'account di servizio, esegui il comando gcloud projects add-iam-policy-binding. Per trovare l'ID progetto (PROJECT_ID) e il numero del progetto (PROJECT_NUMBER),
consulta Identificazione dei progetti.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectAdmin
Leggere i file di filtro da Cloud Storage
Il metodo projects.locations.datasets.fhirStores.rollback richiede le seguenti autorizzazioni per l'account di servizio Agente di servizio Cloud Healthcare per leggere i file di filtro da Cloud Storage:
storage.objects.getstorage.objects.list
Queste autorizzazioni sono incluse nel ruolo storage.objectViewer predefinito.
Puoi anche aggiungere le autorizzazioni a un ruolo personalizzato o potrebbero essere incluse in altri ruoli di base.
Per concedere il ruolo storage.objectViewer all'account di servizio, segui questi passaggi:
Scrivere i file di output in Cloud Storage
Il metodo projects.locations.datasets.fhirStores.rollback richiede le seguenti autorizzazioni nell'account di servizio Agente di servizio Cloud Healthcare per scrivere file di output su Cloud Storage:
storage.objects.createstorage.objects.deletestorage.objects.getstorage.objects.list
Queste autorizzazioni sono incluse nel ruolo storage.objectAdmin predefinito.
Puoi anche aggiungere le autorizzazioni a un ruolo personalizzato o potrebbero essere incluse in altri ruoli di base.
Per concedere il ruolo storage.objectAdmin all'account di servizio, segui questi passaggi:
Autorizzazioni BigQuery per gli archivi FHIR
Il metodo projects.locations.datasets.fhirStores.export richiede autorizzazioni aggiuntive nell'account di servizio Agente di servizio Cloud Healthcare per esportare le risorse FHIR in BigQuery. Devi anche concedere l'accesso WRITER per il set di dati BigQuery all'account di servizio dell'agente di servizio Cloud Healthcare.
Concedere le autorizzazioni all'account di servizio Cloud Healthcare Service Agent
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud, verifica che il ruolo
Agente di servizio settore sanitario sia presente nella colonna Ruolo per l'account di servizio Agente di servizio Cloud Healthcare.
L'identificatore dell'account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e cerca i ruoli Editor dati BigQuery e Utente job BigQuery.
- Seleziona ciascun ruolo e fai clic su Salva. I ruoli
bigquery.dataEditorebigquery.jobUservengono aggiunti all'account di servizio.
gcloud
Per aggiungere le autorizzazioni dell'account di servizio, esegui il comando gcloud projects add-iam-policy-binding. Per trovare l'ID progetto (PROJECT_ID) e il numero del progetto (PROJECT_NUMBER),
consulta Identificazione dei progetti.
Concedi il ruolo
roles/bigquery.dataEditor:Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
- PROJECT_ID: l'ID del tuo progetto Google Cloud
- PROJECT_NUMBER: il numero del tuo progetto Google Cloud
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.dataEditor
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.dataEditor
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.dataEditor
Dovresti ricevere una risposta simile alla seguente:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.dataEditor ... etag: ETAG version: VERSION
Concedi il ruolo
roles/bigquery.jobUser:Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
- PROJECT_ID: l'ID del tuo progetto Google Cloud
- PROJECT_NUMBER: il numero del tuo progetto Google Cloud
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/bigquery.jobUser
Windows (PowerShell)
gcloud projects add-iam-policy-binding PROJECT_ID ` --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ` --role=roles/bigquery.jobUser
Windows (cmd.exe)
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com ^ --role=roles/bigquery.jobUser
Dovresti ricevere una risposta simile alla seguente:
Updated IAM policy for project [PROJECT_ID]. bindings: ... - members: - serviceAccount:service-NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com role: roles/bigquery.jobUser ... etag: ETAG version: VERSION
Concedere l'accesso a WRITER al set di dati BigQuery
Se hai aggiunto i ruoli bigquery.dataEditor e bigquery.jobUser all'account di servizio del progetto, avrai accesso WRITER per tutti i set di dati BigQuery. Tuttavia, se non hai aggiunto questi ruoli e hai bisogno di accessoWRITER a un singolo set di dati BigQuery, puoi concedere l'accessoWRITER solo per quel set di dati.
Per concedere a WRITER l'accesso a un set di dati BigQuery, completa
i seguenti passaggi:
- Vai a Controllo dell'accesso a un set di dati.
- Utilizza uno dei metodi disponibili per concedere all'indirizzo email dell'agente di servizio Cloud Healthcare l'accesso di tipo
WRITERal set di dati BigQuery. Cerca l'indirizzo email che termina con@gcp-sa-healthcare.iam.gserviceaccount.com.
Ad esempio, se l'indirizzo email del tuo agente di servizio Cloud Healthcare è service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.com e se utilizzi l'interfaccia utente web di BigQuery, devi procedere come segue:
- Segui le istruzioni di Console.
- Nel campo Aggiungi entità, inserisci
service-000000000000@gcp-sa-healthcare.iam.gserviceaccount.come seleziona il ruolobigquery.dataEditor.
Autorizzazioni Cloud Storage per gli archivi HL7v2
I metodi projects.locations.datasets.hl7V2Stores.import
e projects.locations.datasets.hl7V2Stores.export
richiedono autorizzazioni aggiuntive nell'account di servizio Agente di servizio Cloud Healthcare
per importare i messaggi HL7v2 da
e esportare i messaggi HL7v2 in Cloud Storage.
Determina le autorizzazioni richieste dall'account di servizio in base alle azioni svolte dall'applicazione:
- Se l'applicazione importa messaggi HL7v2 da Cloud Storage in un
datastore HL7v2, l'account di servizio richiede le autorizzazioni
storage.objects.getestorage.objects.list, incluse nel ruolostorage.objectViewer. - Se l'applicazione esporta messaggi HL7v2 da un archivio HL7v2 in Cloud Storage, l'account di servizio richiede le autorizzazioni
storage.objects.create,storage.objects.deleteestorage.objects.list, incluse nel ruolostorage.objectCreator.
Importazione di messaggi HL7v2 da Cloud Storage
Puoi utilizzare la console Google Cloud o la gcloud CLI per aggiungere il ruolo obbligatoriostorage.objectViewer all'account di servizio del progetto.
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud, verifica che il ruolo
Agente di servizio settore sanitario sia presente nella colonna Ruolo per l'account di servizio Agente di servizio Cloud Healthcare.
L'identificatore dell'account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e cerca il ruolo Visualizzatore oggetti Storage.
- Seleziona il ruolo e fai clic su Salva. Il ruolo
storage.objectViewerviene aggiunto all'account di servizio.
gcloud
Per aggiungere le autorizzazioni dell'account di servizio, esegui il comandogcloud projects add-iam-policy-binding. Per trovare l'ID progetto (PROJECT_ID) e il numero del progetto (PROJECT_NUMBER),
consulta Identificazione dei progetti.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectViewer
Esportazione di messaggi HL7v2 in Cloud Storage
Puoi utilizzare la console Google Cloud o la gcloud CLI per aggiungere il ruolo obbligatorio storage.objectCreator all'account di servizio del progetto:
Console
- Assicurati di aver abilitato l'API Cloud Healthcare.
- Nella pagina IAM della console Google Cloud, verifica che il ruolo Agente di servizio settore sanitario sia presente nella colonna Ruolo per l'account di servizio Agente di servizio settore sanitario Cloud.
L'identificatore dell'account di servizio è
service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com. - Fai clic sull'icona a forma di matita nella colonna Eredità corrispondente al ruolo. Viene visualizzato il riquadro Modifica autorizzazioni.
- Fai clic su Aggiungi un altro ruolo e cerca il ruolo Creator di oggetti Storage.
- Seleziona il ruolo e fai clic su Salva. Il ruolo
storage.objectCreatorviene aggiunto all'account di servizio.
gcloud
Per aggiungere le autorizzazioni dell'account di servizio, esegui il comando gcloud projects add-iam-policy-binding. Per trovare l'ID progetto (PROJECT_ID) e il numero del progetto (PROJECT_NUMBER),
consulta Identificazione dei progetti.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-healthcare.iam.gserviceaccount.com \ --role=roles/storage.objectCreator