本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 AWS HealthImaging
您必須先設定 AWS 環境,才能使用 AWS HealthImaging。下列主題是下一節教學[課程](getting-started-tutorial.md)的先決條件。
**Topics**
+ [註冊 AWS 帳戶](#sign-up-for-aws)
+ [建立具有管理存取權的使用者](#create-an-admin)
+ [建立 S3 儲存貯體](#setting-up-create-s3-buckets)
+ [建立資料存放區](#setting-up-create-data-store)
+ [使用 HealthImaging 完整存取許可建立 IAM 使用者](#setting-up-create-iam-user)
+ [建立用於匯入的 IAM 角色](#setting-up-create-iam-role-import)
+ [安裝 AWS CLI (選用)](#setting-up-install-cli)
## 註冊 AWS 帳戶
如果您沒有 AWS 帳戶,請完成下列步驟來建立一個。
**註冊 AWS 帳戶**
1. 開啟 [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)。
1. 請遵循線上指示進行。
部分註冊程序需接收來電或簡訊,並在電話鍵盤輸入驗證碼。
當您註冊 時 AWS 帳戶,*AWS 帳戶根使用者*會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行[需要根使用者存取權的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時登錄 [https://aws.amazon.com/](https://aws.amazon.com/) 並選擇**我的帳戶**,以檢視您目前的帳戶活動並管理帳戶。
## 建立具有管理存取權的使用者
註冊 後 AWS 帳戶,請保護 AWS 帳戶根使用者、啟用 AWS IAM Identity Center和建立 管理使用者,以免將根使用者用於日常任務。
**保護您的 AWS 帳戶根使用者**
1. 選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者[AWS 管理主控台](https://console.aws.amazon.com/)身分登入 。在下一頁中,輸入您的密碼。
如需使用根使用者登入的說明,請參閱 *AWS 登入 使用者指南*中的[以根使用者身分登入](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。
如需說明,請參閱《*IAM 使用者指南*》中的[為您的 AWS 帳戶 根使用者 (主控台) 啟用虛擬 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
**建立具有管理存取權的使用者**
1. 啟用 IAM Identity Center。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[啟用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。
1. 在 IAM Identity Center 中,將管理存取權授予使用者。
如需使用 IAM Identity Center 目錄 做為身分來源的教學課程,請參閱*AWS IAM Identity Center 《 使用者指南*》中的[使用預設值設定使用者存取 IAM Identity Center 目錄](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。
**以具有管理存取權的使用者身分登入**
+ 若要使用您的 IAM Identity Center 使用者簽署,請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。
如需使用 IAM Identity Center 使用者登入的說明,請參閱*AWS 登入 《 使用者指南*》中的[登入 AWS 存取入口網站](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
**指派存取權給其他使用者**
1. 在 IAM Identity Center 中,建立一個許可集來遵循套用最低權限的最佳實務。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[建立許可集](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。
1. 將使用者指派至群組,然後對該群組指派單一登入存取權。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[新增群組](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。
## 建立 S3 儲存貯體
若要將 DICOM P10 資料匯入 AWS HealthImaging,建議使用兩個 Amazon S3 儲存貯體。Amazon S3 輸入儲存貯體存放要匯入的 DICOM P10 資料,且 HealthImaging 會從此儲存貯體讀取。Amazon S3 輸出儲存貯體會儲存匯入任務的處理結果,而 HealthImaging 會寫入此儲存貯體。如需視覺效果,請參閱 的圖表[了解匯入任務](understanding-import-jobs.md)。
**注意**
由於 AWS Identity and Access Management (IAM) 政策,您的 Amazon S3 儲存貯體名稱必須是唯一的。如需詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》**中的[儲存貯體命名規則](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html)。
為了本指南的目的,我們在 IAM 角色中指定下列 Amazon S3 輸入和輸出儲存貯體以進行匯入。 [建立用於匯入的 IAM 角色](#setting-up-create-iam-role-import)
+ 輸入儲存貯體: `arn:aws:s3:::amzn-s3-demo-source-bucket`
+ 輸出儲存貯體: `arn:aws:s3:::amzn-s3-demo-logging-bucket`
如需詳細資訊,請參閱《*Amazon S3 使用者指南*》中的[建立儲存貯](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)體。
## 建立資料存放區
當您匯入醫療影像資料時,AWS HealthImaging [資料存放區](getting-started-concepts.md#concept-data-store)會保留轉換後 DICOM P10 檔案的結果,稱為[影像集](getting-started-concepts.md#concept-image-set)。如需視覺效果,請參閱 的圖表[了解匯入任務](understanding-import-jobs.md)。
**提示**
當您建立資料存放區時,`datastoreID`會產生 。在本節稍後完成[trust relationship](#anchor-trust-relationship)匯入`datastoreID`時,您必須使用 。
若要建立資料存放區,請參閱 [建立資料存放區](create-data-store.md)。
## 使用 HealthImaging 完整存取許可建立 IAM 使用者
**最佳實務**
我們建議您針對匯入、資料存取和資料管理等不同需求建立個別的 IAM 使用者。這符合 *AWS Well-Architected Framework* 中的[授予最低權限存取](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html)。
為達下一節[教學](getting-started-tutorial.md)的目的,您將使用單一 IAM 使用者。
**建立 IAM 使用者**
1. 請遵循《[IAM 使用者指南》中在 AWS 帳戶中建立](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) *IAM* 使用者的指示。考慮命名使用者 `ahiadmin`(或類似者) 以釐清目的。
1. 將 `AWSHealthImagingFullAccess`受管政策指派給 IAM 使用者。如需詳細資訊,請參閱[AWS 受管政策:AWSHealthImagingFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSHealthImagingFullAccess)。
**注意**
IAM 許可可以縮小範圍。如需詳細資訊,請參閱[AWS AWS HealthImaging 的 受管政策](security-iam-awsmanpol.md)。
## 建立用於匯入的 IAM 角色
**注意**
下列指示是指 AWS Identity and Access Management (IAM) 角色,可授予 Amazon S3 儲存貯體的讀取和寫入存取權,以匯入您的 DICOM 資料。雖然下一節的[教學](getting-started-tutorial.md)課程需要 角色,但我們建議您使用 將 IAM 許可新增至使用者、群組和角色[AWS AWS HealthImaging 的 受管政策](security-iam-awsmanpol.md),因為它們比自行撰寫政策更容易使用。
IAM 角色是您可以在帳戶中建立的另一種 IAM 身分,具有特定的許可。若要啟動匯入任務,呼叫`StartDICOMImportJob`動作的 IAM 角色必須連接到使用者政策,該政策授予讀取 DICOM P10 資料和儲存匯入任務處理結果的 Amazon S3 儲存貯體存取權。它也必須指派信任關係 (政策),讓 AWS HealthImaging 能夠擔任該角色。
**建立用於匯入目的的 IAM 角色**
1. 使用 [IAM 主控台](https://console.aws.amazon.com/iam)建立名為 的角色`ImportJobDataAccessRole`。您可以在下一節的[教學](getting-started-tutorial.md)課程中使用此角色。如需詳細資訊,請參閱《 IAM 使用者指南》**中的[建立 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)。
**提示**
基於本指南的目的, 中的程式碼範例會[啟動匯入任務](start-dicom-import-job.md)參考 IAM `ImportJobDataAccessRole` 角色。
1. 將 IAM 許可政策連接至 IAM 角色。此許可政策會授予 Amazon S3 輸入和輸出儲存貯體的存取權。將下列許可政策連接至 IAM 角色 `ImportJobDataAccessRole`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-source-bucket",
"arn:aws:s3:::amzn-s3-demo-logging-bucket"
],
"Effect": "Allow"
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-source-bucket/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
],
"Effect": "Allow"
}
]
}
```
------
1. 將下列信任關係 (政策) 連接至 IAM `ImportJobDataAccessRole` 角色。信任政策需要您完成 區段時`datastoreId`產生的 [建立資料存放區](#setting-up-create-data-store)。本主題後面的[教學](getting-started-tutorial.md)假設您使用一個 AWS HealthImaging 資料存放區,但使用資料存放區特定的 Amazon S3 儲存貯體、IAM 角色和信任政策。
**注意**
此信任政策中的 `Condition`區塊可確保只能存取您的特定 AWS HealthImaging 資料存放區,以協助防止混淆代理人問題。如需此安全措施的詳細資訊,請參閱 [ HealthImaging 中的跨服務混淆代理人預防](https://docs.aws.amazon.com/healthimaging/latest/devguide/cross-service-confused-deputy-prevention.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "medical-imaging.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
若要進一步了解如何透過 AWS HealthImaging 建立和使用 IAM 政策,請參閱 [AWS HealthImaging 的 Identity and Access Management](security-iam.md)。
若要進一步了解 IAM 角色,請參閱《IAM **[使用者指南》中的 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。若要進一步了解 IAM 政策和許可,請參閱《IAM **[使用者指南》中的 IAM 政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
## 安裝 AWS CLI (選用)
如果您使用 ,則需要下列程序 AWS Command Line Interface。如果您使用的是 AWS 管理主控台 AWS SDKs,則可以略過下列程序。
**若要設定 AWS CLI**
1. 下載和設定 AWS CLI。如需說明,請參閱*《AWS Command Line Interface 使用者指南》*中的下列主題。
+ [安裝或更新最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)
+ [開始使用 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)
1. 在 AWS CLI `config`檔案中,新增管理員的具名設定檔。您在執行 AWS CLI 命令時使用此設定檔。在最低權限的安全原則下,我們建議您建立具有所執行任務特定權限的個別 IAM 角色。如需具名設定檔的詳細資訊,請參閱*AWS Command Line Interface 《 使用者指南*》中的[組態和登入資料檔案設定](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html)。
```
[default]
aws_access_key_id = default access key ID
aws_secret_access_key = default secret access key
region = region
```
1. 使用以下`help`命令驗證設定。
```
aws medical-imaging help
```
如果 AWS CLI 設定正確,您會看到 AWS HealthImaging 的簡短描述和可用命令的清單。