Konfigurieren von Exporteinstellungen und Einrichten eines Speicherkontos

Der FHIR-Dienst® unterstützt den $export durch HL7 angegebenen Vorgang zum Exportieren von FHIR-Daten von einem FHIR-Server. Bei der FHIR-Dienstimplementierung bewirkt das Aufrufen des $export Endpunkts, dass der FHIR-Dienst Daten in ein vorkonfiguriertes Azure-Speicherkonto exportiert.

Stellen Sie sicher, dass Sie der Anwendungsrolle "FHIR-Datenexporteurrolle" vor dem Konfigurieren des Exports gewährt werden. Weitere Informationen zu Anwendungsrollen finden Sie unter Authentifizierung und Autorisierung für den FHIR-Dienst.

Es gibt drei Schritte beim Einrichten des $export Vorgangs für den FHIR-Dienst-

  • Aktivieren Sie eine verwaltete Identität für den FHIR-Dienst.
  • Konfigurieren Sie ein neues oder vorhandenes Azure Data Lake Storage Gen2 (ADLS Gen2)-Konto, und erteilen Sie dem FHIR-Dienst die Berechtigung für den Zugriff auf das Konto.
  • Legen Sie das ADLS Gen2-Konto als Exportziel für den FHIR-Dienst fest.

Aktivieren der verwalteten Identität für den FHIR-Dienst

Der erste Schritt bei der Konfiguration Ihrer Umgebung für den FHIR-Datenexport besteht darin, eine systemweite verwaltete Identität für den FHIR-Dienst zu aktivieren. Diese verwaltete Identität wird verwendet, um den FHIR-Dienst zu authentifizieren und den Zugriff auf das ADLS Gen2-Konto während eines $export Vorgangs zu ermöglichen. Weitere Informationen zu verwalteten Identitäten in Azure finden Sie unter "Informationen zu verwalteten Identitäten für Azure-Ressourcen".

Navigieren Sie in diesem Schritt im Azure-Portal zu Ihrem FHIR-Dienst, und wählen Sie "Identität" aus. Legen Sie die Option "Status" auf "Ein" fest, und klicken Sie dann auf " Speichern". Wenn die Schaltflächen "Ja " und "Nein " angezeigt werden, wählen Sie "Ja " aus, um die verwaltete Identität für den FHIR-Dienst zu aktivieren. Nachdem die Systemidentität aktiviert wurde, wird ein Objekt-ID-Wert (Prinzipal) für Ihren FHIR-Dienst angezeigt.

Aktivieren der verwalteten Identität

Erteilen der Berechtigung im Speicherkonto für den Zugriff auf den FHIR-Dienst

  1. Wechseln Sie im Azure-Portal zu Ihrem ADLS Gen2-Konto. Wenn Sie noch kein ADSL Gen2-Konto bereitgestellt haben, befolgen Sie diese Anweisungen zum Erstellen eines Azure-Speicherkontos und zum Upgrade auf ADLS Gen2. Stellen Sie sicher, dass Sie die hierarchische Namespaceoption auf der Registerkarte "Erweitert " aktivieren, um ein ADLS Gen2-Konto zu erstellen.

  2. Wählen Sie in Ihrem ADLS Gen2-Konto die Option Access Control (IAM) aus.

  3. Wählen Sie Hinzufügen > Rollenzuweisung hinzufügen aus. Wenn die Option "Rollenzuweisung hinzufügen" abgeblendigt ist, bitten Sie Ihren Azure-Administrator um Hilfe bei diesem Schritt.

    Screenshot: Seite mit der Zugriffssteuerung (IAM), auf der das Menü „Rollenzuweisung hinzufügen“ geöffnet ist

  4. Wählen Sie auf der Registerkarte "Rolle " die Rolle "Storage Blob Data Contributor " aus.

    Screenshot der Benutzeroberfläche der Seite

  5. Wählen Sie auf der Registerkarte "Mitglieder " die Option "Verwaltete Identität" aus, und klicken Sie dann auf " Mitglieder auswählen".

  6. Wählen Sie Ihr Azure-Abonnement.

  7. Wählen Sie vom System zugewiesene verwaltete Identität und dann die verwaltete Identität aus, die Sie zuvor für Ihren FHIR-Dienst aktiviert haben.

  8. Klicken Sie auf der Registerkarte "Überprüfen+ Zuweisen " auf " Überprüfen", und weisen Sie die Rolle "Storage Blob Data Contributor " Ihrem FHIR-Dienst zu.

Weitere Informationen zum Zuweisen von Rollen im Azure-Portal finden Sie unter Integrierte Rollen für die rollenbasierte Zugriffssteuerung in Azure.

Jetzt können Sie den FHIR-Dienst konfigurieren, indem Sie das ADLS Gen2-Konto als Standardspeicherkonto für den Export festlegen.

Angeben des Speicherkontos für den Export von FHIR-Diensten

Der letzte Schritt besteht darin, das ADLS Gen2-Konto anzugeben, das der FHIR-Dienst beim Exportieren von Daten verwendet.

Hinweis

Wenn Sie dem FHIR-Dienst im Speicherkonto nicht die Rolle "Storage Blob Data Contributor " zugewiesen haben, schlägt der $export Vorgang fehl.

  1. Wechseln Sie zu Ihren FHIR-Diensteinstellungen.

  2. Wählen Sie Exportieren aus.

  3. Wählen Sie den Namen des Speicherkontos aus der Liste aus. Wenn Sie nach Ihrem Speicherkonto suchen müssen, verwenden Sie die Filter "Name", "Ressource" oder "Region".

Screenshot der Benutzeroberfläche von FHIR Export Storage.

Nachdem Sie diesen Konfigurationsschritt abgeschlossen haben, können Sie Daten aus dem FHIR-Dienst exportieren. Weitere Informationen zum Ausführen von $export Vorgängen mit dem FHIR-Dienst finden Sie unter "Exportieren von FHIR-Daten".

Hinweis

Nur Speicherkonten im selben Abonnement wie der FHIR-Dienst dürfen als Ziel für $export Vorgänge registriert werden.

Sichern des FHIR-Dienstvorgangs $export

Für den sicheren Export vom FHIR-Dienst in ein ADLS Gen2-Konto gibt es zwei Optionen:

  • Der FHIR-Dienst kann auf das Speicherkonto als vertrauenswürdiger Microsoft-Dienst zugreifen.

  • Zulassen bestimmter IP-Adressen, die dem FHIR-Dienst zugeordnet sind, um auf das Speicherkonto zuzugreifen. Diese Option ermöglicht zwei unterschiedliche Konfigurationen, je nachdem, ob sich das Speicherkonto in derselben Azure-Region wie der FHIR-Dienst befindet.

Zulassen des FHIR-Diensts als vertrauenswürdiger Microsoft-Dienst

Wechseln Sie im Azure-Portal zu Ihrem ADLS Gen2-Konto, und wählen Sie "Netzwerk" aus. Wählen Sie auf der Registerkarte "Firewalls" und "Virtuelle Netzwerke" die Option "Aktiviert" aus ausgewählten virtuellen Netzwerken und IP-Adressen aus.

Screenshot der Azure Storage-Netzwerkeinstellungen.

Wählen Sie "Microsoft.HealthcareApis/workspaces" aus der Dropdownliste "Ressourcentyp " und dann ihren Arbeitsbereich aus der Dropdownliste "Instanzname " aus.

Wählen Sie im Abschnitt "Ausnahmen" das Kontrollkästchen "Azure-Dienste zulassen" in der Liste der vertrauenswürdigen Dienste aus, um auf dieses Speicherkonto zuzugreifen. Stellen Sie sicher, dass Sie auf "Speichern" klicken, um die Einstellungen beizubehalten.

Zulassen, dass vertrauenswürdige Microsoft-Dienste auf dieses Speicherkonto zugreifen können.

Führen Sie als Nächstes den folgenden PowerShell-Befehl aus, um das Az.Storage PowerShell-Modul in Ihrer lokalen Umgebung zu installieren. Auf diese Weise können Sie Ihre Azure-Speicherkonten mithilfe von PowerShell konfigurieren.

Install-Module Az.Storage -Repository PsGallery -AllowClobber -Force 

Verwenden Sie nun den folgenden PowerShell-Befehl, um die ausgewählte FHIR-Dienstinstanz als vertrauenswürdige Ressource für das Speicherkonto festzulegen. Stellen Sie sicher, dass alle aufgelisteten Parameter in Ihrer PowerShell-Umgebung definiert sind.

Sie müssen den Add-AzStorageAccountNetworkRule Befehl als Administrator in Ihrer lokalen Umgebung ausführen. Weitere Informationen finden Sie unter Konfigurieren von Firewalls und virtuellen Netzwerken in Azure Storage.

$subscription="xxx"
$tenantId = "xxx"
$resourceGroupName = "xxx"
$storageaccountName = "xxx"
$workspacename="xxx"
$fhirname="xxx"
$resourceId = "/subscriptions/$subscription/resourceGroups/$resourceGroupName/providers/Microsoft.HealthcareApis/workspaces/$workspacename/fhirservices/$fhirname"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $storageaccountName -TenantId $tenantId -ResourceId $resourceId

Nachdem Sie diesen Befehl ausgeführt haben, wird im Abschnitt "Firewall" unter Ressourceninstanzen 2 in der Dropdownliste "Instanzname" ausgewählt. Dies sind die Namen der Arbeitsbereichinstanz und der FHIR-Dienstinstanz, die Sie als vertrauenswürdige Microsoft-Ressourcen registriert haben.

Screenshot der Azure Storage-Netzwerkeinstellungen mit Ressourcentyp und Instanznamen.

Jetzt können Sie FHIR-Daten sicher in das Speicherkonto exportieren.

Das Speicherkonto befindet sich in ausgewählten Netzwerken und ist nicht öffentlich zugänglich. Um sicher auf die Dateien zuzugreifen, können Sie private Endpunkte für das Speicherkonto aktivieren.

Zulassen bestimmter IP-Adressen für den Zugriff auf das Azure-Speicherkonto aus anderen Azure-Regionen

  1. Wechseln Sie im Azure-Portal zum Azure Data Lake Storage Gen2-Konto.

  2. Wählen Sie im linken Menü Netzwerk aus.

  3. Wählen Sie Aktiviert von ausgewählten virtuellen Netzwerken und IP-Adressen aus.

  4. Geben Sie im Abschnitt "Firewall" im Feld "Adressbereich" die IP-Adresse an. Hiermit werden IP-Adressbereiche hinzugefügt, um Zugriff vom Internet oder von Ihren lokalen Netzwerken aus zu gewähren. Die IP-Adresse finden Sie in der folgenden Tabelle für die Azure-Region, in der der FHIR-Dienst bereitgestellt wird.

    Azure-Region Öffentliche IP-Adresse
    Australien (Osten) 20.53.44.80
    Kanada, Mitte 20.48.192.84
    USA (Mitte) 52.182.208.31
    East US 20.62.128.148
    USA (Ost) 2 20.49.102.228
    USA, Osten 2 (EUAP) 20.39.26.254
    Deutschland, Norden 51.116.51.33
    Deutschland, Westen-Mitte 51.116.146.216
    Japan, Osten 20.191.160.26
    Korea, Mitte 20.41.69.51
    USA Nord Mitte 20.49.114.188
    Nordeuropa 52.146.131.52
    Südafrika, Norden 102.133.220.197
    USA Süd Mitte 13.73.254.220
    Asien, Südosten 23.98.108.42
    Schweiz, Norden 51.107.60.95
    UK, Süden 51.104.30.170
    UK, Westen 51.137.164.94
    USA, Westen-Mitte 52.150.156.44
    Europa, Westen 20.61.98.66
    USA, Westen 2 40.64.135.77

Zulassen bestimmter IP-Adressen für den Zugriff auf das Azure-Speicherkonto in derselben Region

Der Konfigurationsprozess für IP-Adressen in derselben Region entspricht dem vorherigen Verfahren, mit der Ausnahme, dass Sie stattdessen einen bestimmten IP-Adressbereich im CIDR-Format (Classless Inter-Domain Routing) verwenden (d. h. 100.64.0.0/10). Sie müssen den IP-Adressbereich (100.64.0.0 bis 100.127.255.255) angeben, da bei jeder Vorgangsanforderung eine IP-Adresse für den FHIR-Dienst zugewiesen wird.

Hinweis

Es ist möglich, eine private IP-Adresse im Bereich von 10.0.2.0/24 zu verwenden, aber es gibt keine Garantie, dass der Vorgang in einem solchen Fall erfolgreich ist. Sie können versuchen, wenn die Vorgangsanforderung fehlschlägt, aber bis Sie eine IP-Adresse innerhalb des Bereichs von 100.64.0.0/10 verwenden, wird die Anforderung nicht erfolgreich ausgeführt.

Dieses Netzwerkverhalten für IP-Adressbereiche ist beabsichtigt. Die Alternative besteht darin, das Speicherkonto in einer anderen Region zu konfigurieren.

Nächste Schritte

In diesem Artikel haben Sie die drei Schritte beim Konfigurieren Ihrer Umgebung kennengelernt, um den Export von Daten aus Ihrem FHIR-Dienst in ein Azure-Speicherkonto zu ermöglichen. Weitere Informationen zu den Massenexportfunktionen im FHIR-Dienst finden Sie in den folgenden Themen:

Hinweis

FHIR® ist eine eingetragene Marke von HL7 und wird mit Genehmigung von HL7 verwendet.