本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 设置 AWS HealthImaging
设置

在使用 AWS 之前，您必须设置您的 AWS 环境 HealthImaging。以下主题是下一节中[教程](getting-started-tutorial.md)的先决条件。

**Topics**
+ [

## 注册获取 AWS 账户
](#sign-up-for-aws)
+ [

## 创建具有管理访问权限的用户
](#create-an-admin)
+ [

## 创建 S3 存储桶
](#setting-up-create-s3-buckets)
+ [

## 创建数据存储
](#setting-up-create-data-store)
+ [

## 创建具有 HealthImaging 完全访问权限的 IAM 用户
](#setting-up-create-iam-user)
+ [

## 为导入创建 IAM 角色
](#setting-up-create-iam-role-import)
+ [

## 安装 AWS CLI （可选）
](#setting-up-install-cli)

## 注册获取 AWS 账户


如果您没有 AWS 账户，请完成以下步骤来创建一个。

**要注册 AWS 账户**

1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.aws.amazon.com/billing/signup)

1. 按照屏幕上的说明操作。

   在注册时，将接到电话或收到短信，要求使用电话键盘输入一个验证码。

   当您注册时 AWS 账户，就会创建*AWS 账户根用户*一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践，请为用户分配管理访问权限，并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。

AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 [https://aws.amazon.com/](https://aws.amazon.com/)并选择 “**我的账户”，查看您当前的账户活动并管理您的账户**。

## 创建具有管理访问权限的用户


注册后，请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center，启用并创建管理用户，这样您就不会使用 root 用户执行日常任务。

**保护你的 AWS 账户根用户**

1.  选择 **Root 用户**并输入您的 AWS 账户 电子邮件地址，以账户所有者的身份登录。[AWS 管理控制台](https://console.aws.amazon.com/)在下一页上，输入您的密码。

   要获取使用根用户登录方面的帮助，请参阅《AWS 登录 用户指南》**中的 [Signing in as the root user](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。

1. 为您的根用户启用多重身份验证（MFA）。

   有关说明，请参阅 I [A *M* 用户指南中的为 AWS 账户 根用户启用虚拟 MFA 设备（控制台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。

**创建具有管理访问权限的用户**

1. 启用 IAM Identity Center。

   有关说明，请参阅**《AWS IAM Identity Center 用户指南》中的[启用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。

1. 在 IAM Identity Center 中，为用户授予管理访问权限。

   有关使用 IAM Identity Center 目录 作为身份源的教程，请参阅《[用户*指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户*访问权限](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。

**以具有管理访问权限的用户身份登录**
+ 要使用您的 IAM Identity Center 用户身份登录，请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录 URL。

  有关使用 IAM Identity Center 用户[登录的帮助，请参阅*AWS 登录 用户指南*中的登录 AWS 访问门户](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。

**将访问权限分配给其他用户**

1. 在 IAM Identity Center 中，创建一个权限集，该权限集遵循应用最低权限的最佳做法。

   有关说明，请参阅《AWS IAM Identity Center 用户指南》**中的 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。

1. 将用户分配到一个组，然后为该组分配单点登录访问权限。

   有关说明，请参阅《AWS IAM Identity Center 用户指南》**中的 [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。

## 创建 S3 存储桶


要将 DICOM P10 数据导入 AWS HealthImaging，建议使用两个 Amazon S3 存储桶。Amazon S3 输入存储桶存储要导入并从该存储桶 HealthImaging 读取的 DICOM P10 数据。Amazon S3 输出存储桶存储导入任务的处理结果并 HealthImaging 写入该存储桶。有关此内容的直观展示，请参阅位于 [了解导入任务](understanding-import-jobs.md) 的示意图。

**注意**  
根据 AWS Identity and Access Management (IAM) 政策，您的 Amazon S3 存储桶名称必须是唯一的。有关更多信息，请参阅*《Amazon Simple Storage Service 用户指南》*中的[存储桶命名规则](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html)。

出于本指南的目的，我们在 [IAM 角色中指定以下 Amazon S3 输入和输出存储桶进行导入](#setting-up-create-iam-role-import)。
+ 输入存储桶: `arn:aws:s3:::amzn-s3-demo-source-bucket`
+ 输出桶：`arn:aws:s3:::amzn-s3-demo-logging-bucket`

有关更多信息，请参阅*《Amazon S3 用户指南》*中的[创建存储桶](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)。

## 创建数据存储


当您导入医学影像数据时，AWS HealthImaging [数据存储](getting-started-concepts.md#concept-data-store)会保存转换后的 DICOM P10 文件（称为[图像](getting-started-concepts.md#concept-image-set)集）的结果。有关此内容的直观展示，请参阅位于 [了解导入任务](understanding-import-jobs.md) 的示意图。

**提示**  
创建数据存储时会生成 `datastoreID`。在本节后面完成导入 [trust relationship](#anchor-trust-relationship) 时，必须使用 `datastoreID`。

要创建数据存储，请参阅 [创建数据存储](create-data-store.md)。

## 创建具有 HealthImaging 完全访问权限的 IAM 用户
创建 IAM 用户

**最佳实践**  
我们建议您创建单独的 IAM 用户，以满足不同的需求，例如导入、数据访问和数据管理。这与 *AWS 架构完善的框架*中的[授予最低访问权限](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html)一致。  
就下一节的[教程](getting-started-tutorial.md)而言，您将使用单个 IAM 用户。

**若要创建 IAM 用户**

1. 按照 [IAM 用户指南中有关在您的 AWS 账户中创建](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) *IAM 用户的*说明进行操作。为澄清起见，请考虑命名用户为 `ahiadmin`（或类似名称）。

1. 将托管的 IAM 策略 `AWSHealthImagingFullAccess` 分配给 IAM 用户。有关更多信息，请参阅 [AWS 托管策略： AWSHealthImagingFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSHealthImagingFullAccess)。
**注意**  
可以缩小 IAM 权限的范围。有关更多信息，请参阅 [AWS AWS 的托管策略 HealthImaging](security-iam-awsmanpol.md)。

## 为导入创建 IAM 角色
创建一个 IAM 角色

**注意**  
以下说明涉及一个 AWS Identity and Access Management (IAM) 角色，该角色授予对 Amazon S3 存储桶的读取和写入权限，以导入您的 DICOM 数据。尽管下一节的[教程](getting-started-tutorial.md)需要该角色，但我们建议您使用 [AWS AWS 的托管策略 HealthImaging](security-iam-awsmanpol.md) 为用户、群组和角色添加 IAM 权限，因为使用它们比自己编写策略更容易。

IAM 角色是可在账户中创建的一种具有特定权限的 IAM 身份。要启动导入任务，必须将调用 `StartDICOMImportJob` 操作的 IAM 角色附加到用户策略，该策略允许访问用于读取 DICOM P10 数据和存储导入任务处理结果的 Amazon S3 存储桶。还必须为其分配信任关系（策略），使 AWS HealthImaging 能够担任该角色。

**为导入创建 IAM 角色**

1. 使用[ IAM 控制台](https://console.aws.amazon.com/iam)，创建名为 `ImportJobDataAccessRole` 的角色。您将在下一节的[教程](getting-started-tutorial.md)中使用此角色。有关更多信息，请参阅*《IAM 用户指南》*中的[创建 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)。
**提示**  
就本指南而言，[启动导入任务](start-dicom-import-job.md) 中的代码示例引用了 `ImportJobDataAccessRole` IAM 角色。

1. 对于 IAM 角色附加 IAM 权限策略。此权限策略授予对 Amazon S3 输入和输出存储桶的访问权限。将以下权限策略附加到此 IAM 角色 `ImportJobDataAccessRole`。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Action": [
                   "s3:ListBucket"
               ],
               "Resource": [
                   "arn:aws:s3:::amzn-s3-demo-source-bucket",
                   "arn:aws:s3:::amzn-s3-demo-logging-bucket"
               ],
               "Effect": "Allow"
           },
           {
               "Action": [
                   "s3:GetObject"
               ],
               "Resource": [
                   "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
               ],
               "Effect": "Allow"
           },
           {
               "Action": [
                   "s3:PutObject"
               ],
               "Resource": [
                   "arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
               ],
               "Effect": "Allow"
           }
       ]
   }
   ```

------

1. 将以下信任关系（策略）附加到 `ImportJobDataAccessRole` IAM 角色。信托策略需要您在完成第 [创建数据存储](#setting-up-create-data-store) 部分时生成的 `datastoreId`。本主题之后的[教程](getting-started-tutorial.md)假设您使用的是一个 AWS HealthImaging 数据存储，但使用的是特定于数据存储的 Amazon S3 存储桶、IAM 角色和信任策略。
**注意**  
此信任策略中的`Condition`封锁可确保只有您的特定 AWS HealthImaging 数据存储可以访问，从而防止出现混乱的代理问题。有关此安全措施的更多信息，请参阅[中的跨服务混淆副手防护。 HealthImaging](https://docs.aws.amazon.com/healthimaging/latest/devguide/cross-service-confused-deputy-prevention.html)

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "medical-imaging.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

要了解有关在 AWS 中创建和使用 IAM 策略的更多信息 HealthImaging，请参阅[适用于 AWS 的 Identity and Access 管理 HealthImaging](security-iam.md)。

有关 IAM 角色的更多一般信息，请参阅*《IAM 用户指南》*中的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。有关 IAM Policy 的更多一般信息，请参阅《*IAM 用户指南*》中的 [IAM 策略与权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。

## 安装 AWS CLI （可选）
安装 AWS CLI

如果您使用的是 AWS Command Line Interface，则需要执行以下步骤。如果您使用的是 AWS 管理控制台 或 AWS SDKs，则可以跳过以下步骤。

**要设置 AWS CLI**

1. 下载并配置 AWS CLI。有关说明，请参阅*AWS Command Line Interface 用户指南*中的以下主题。
   + [安装或更新最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)
   + [开始使用 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)

1. 在 AWS CLI `config`文件中，为管理员添加已命名的配置文件。运行 AWS CLI 命令时使用此配置文件。根据最低权限的安全原则，我们建议您创建一个单独的 IAM 角色，该角色具有特定于正在执行的任务的权限。有关已命名配置文件的更多信息，请参阅*《AWS Command Line Interface 用户指南》*中的[配置和凭证文件设置](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html)。

   ```
   [default]
   aws_access_key_id = default access key ID
   aws_secret_access_key = default secret access key
   region = region
   ```

1. 请使用以下 `help` 命令验证设置：

   ```
   aws medical-imaging help
   ```

   如果配置 AWS CLI 正确，您将看到 AWS 的简要描述 HealthImaging和可用命令列表。