本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 的托管策略 AWS HealthLake
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 托管策略: AmazonHealthLakeFullAccess
该`AmazonHealthLakeFullAccess`策略提供对的完全访问权限 HealthLake。将此策略附加到其用户或角色后,用户 HealthLake 就可以使用来访问、查询、导入和导出中的数据 HealthLake。要在中执行许多常见操作 HealthLake,必须向用户或角色添加其他策略。有关更多信息,请参阅[HealthLake 操作[设置 AWS HealthLake](getting-started-setting-up.md)和权限](#security-iam-awsmanpol-operations-and-permissions)。
您可以将 `AmazonHealthLakeFullAccess` 策略附加到 IAM 身份。
此策略授予管理权限和参与者权限,允许用户和角色查询、搜索 HealthLake、导入和导出,还可以代表具有这些权限的用户和角色执行操作。 HealthLake
**权限详细信息**
本政策包括以下声明。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"healthlake:*",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation",
"iam:ListRoles"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "healthlake.amazonaws.com"
}
}
}
]
}
```
------
## AWS 托管策略: AmazonHealthLakeReadOnlyAccess
`AmazonHealthLakeReadOnlyAccess`策略授予对其他 AWS 服务中 HealthLake 及相关资源的只读访问权限和权限。将此策略应用于您希望授予其查询和查看 HealthLake 数据存储的权限,但不允许其创建或更改数据的用户。
您可以将 `AmazonHealthLakeReadOnlyAccess` 策略附加到 IAM 身份。
此策略授予允许用户和角色进行查询的*read-only*权限 HealthLake。
**权限详细信息**
本政策包括以下声明。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"healthlake:ListFHIRDatastores",
"healthlake:DescribeFHIRDatastore",
"healthlake:DescribeFHIRImportJob",
"healthlake:DescribeFHIRExportJob",
"healthlake:GetCapabilities",
"healthlake:ReadResource",
"healthlake:SearchWithGet",
"healthlake:SearchWithPost",
"healthlake:SearchEverything"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## HealthLake 操作和权限
下表列出了中的典型操作 HealthLake 以及执行这些操作所需的权限。
| HealthLake 操作 | 所需的权限 |
| --- | --- |
| 在中创建数据存储 HealthLake | `AmazonHealthLakeFullAccess`、`AmazonLakeFormationDataAdmin`、[内联策略](getting-started-setting-up.md)和 AWS Lake Formation 管理员权限由 AWS Lake Formation |
| 删除中的数据存储 HealthLake | `AmazonHealthLakeFullAccess`、`AmazonLakeFormationDataAdmin`、[内联策略](getting-started-setting-up.md)和 AWS Lake Formation 管理员权限由 AWS Lake Formation |
| 在中列出、搜索或查询数据存储 HealthLake | `AmazonHealthLakeReadOnlyAccess` |
| 使用查询数据存储 Amazon Athena | `AmazonAthenaFullAccess``AmazonS3FullAccess`、 AWS Lake Formation `Select`和对由管理的表的`Describe`权限 AWS Lake Formation |
| 从中导入数据 HealthLake | 请参阅[为导入任务设置权限](getting-started-setting-up.md#setting-up-import-permissions)。 |
| 从中导出数据 HealthLake | 请参阅[为导出任务设置权限](getting-started-setting-up.md#setting-up-export-permissions)。 |
## HealthLake AWS 托管策略的更新
查看自该服务开始跟踪这些更改之时 HealthLake 起的 AWS 托管策略更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “ HealthLake 文档历史记录” 页面上的 RSS feed。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AmazonHealthLakeFullAccess](#security-iam-awsmanpol-AmazonHealthLakeFullAccess) | `AmazonHealthLakeFullAccess`需要策略才能允许完全访问 HealthLake。 | 2022年11月14日 |
| [AmazonHealthLakeReadOnlyAccess](#security-iam-awsmanpol-AmazonHealthLakeReadOnlyAccess) | `AmazonHealthLakeReadOnlyAccess`对的只读访问权限需要策略 HealthLake。 | 2022年11月14日 |
| HealthLake 已开始跟踪更改 | HealthLake 开始跟踪其 AWS 托管策略的更改。 | 2022年11月14日 |