本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS AWS HealthLake 的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新 AWS 受管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。 AWS 服務 當新的 啟動或新的 API 操作可供現有 服務使用時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 受管政策:AmazonHealthLakeFullAccess
此`AmazonHealthLakeFullAccess`政策提供 HealthLake 的完整存取權。將此政策連接到其使用者或角色後,使用者可以使用 HealthLake 來存取、查詢、匯入和匯出 HealthLake 中的資料。若要在 HealthLake 中執行許多常見動作,您必須將其他政策新增至使用者或角色。如需詳細資訊,請參閱 [設定 AWS HealthLake](getting-started-setting-up.md) 和 [HealthLake 操作和許可](#security-iam-awsmanpol-operations-and-permissions)。
您可將 `AmazonHealthLakeFullAccess` 政策連接到 IAM 身分。
此政策會授予管理和參與者許可,允許使用者和角色使用 HealthLake 查詢、搜尋、匯入和匯出,也可讓 HealthLake 代表具有這些許可的使用者和角色執行動作。
**許可詳細資訊**
此政策包含下列陳述式。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"healthlake:*",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation",
"iam:ListRoles"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "healthlake.amazonaws.com"
}
}
}
]
}
```
------
## AWS 受管政策:AmazonHealthLakeReadOnlyAccess
`AmazonHealthLakeReadOnlyAccess` 政策會將唯讀存取和許可授予 HealthLake 和其他 AWS 服務中的相關資源。將此政策套用到您想要授予查詢和檢視 HealthLake 資料存放區功能的使用者,但不能建立或變更使用者。
您可將 `AmazonHealthLakeReadOnlyAccess` 政策連接到 IAM 身分。
此政策授予*唯讀*許可,允許使用者和角色查詢 HealthLake。
**許可詳細資訊**
此政策包含下列陳述式。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"healthlake:ListFHIRDatastores",
"healthlake:DescribeFHIRDatastore",
"healthlake:DescribeFHIRImportJob",
"healthlake:DescribeFHIRExportJob",
"healthlake:GetCapabilities",
"healthlake:ReadResource",
"healthlake:SearchWithGet",
"healthlake:SearchWithPost",
"healthlake:SearchEverything"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## HealthLake 操作和許可
下表列出 HealthLake 中的典型操作,以及執行這些操作所需的許可。
| HealthLake 操作 | 所需的許可 |
| --- | --- |
| 在 HealthLake 中建立資料存放區 | `AmazonHealthLakeFullAccess``AmazonLakeFormationDataAdmin`、、[內嵌政策和](getting-started-setting-up.md)由 管理的 AWS Lake Formation 管理員許可 AWS Lake Formation |
| 在 HealthLake 中刪除資料存放區 | `AmazonHealthLakeFullAccess`、、`AmazonLakeFormationDataAdmin`[內嵌政策和](getting-started-setting-up.md)由 管理的 AWS Lake Formation 管理員許可 AWS Lake Formation |
| 在 HealthLake 中列出、搜尋或查詢資料存放區 | `AmazonHealthLakeReadOnlyAccess` |
| 使用 查詢資料存放區 Amazon Athena | `AmazonAthenaFullAccess`受 管理之資料表的 `AmazonS3FullAccess`、 AWS Lake Formation `Select`和 `Describe`許可 AWS Lake Formation |
| 從 HealthLake 匯入資料 | 請參閱 [設定匯入任務的許可](getting-started-setting-up.md#setting-up-import-permissions)。 |
| 從 HealthLake 匯出資料 | 請參閱 [設定匯出任務的許可](getting-started-setting-up.md#setting-up-export-permissions)。 |
## HealthLake 受 AWS 管政策的更新
檢視自此服務開始追蹤這些變更以來 HealthLake AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 HealthLake 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AmazonHealthLakeFullAccess](#security-iam-awsmanpol-AmazonHealthLakeFullAccess) | `AmazonHealthLakeFullAccess` 允許完整存取 HealthLake 所需的政策。 | 2022 年 11 月 14 日 |
| [AmazonHealthLakeReadOnlyAccess](#security-iam-awsmanpol-AmazonHealthLakeReadOnlyAccess) | `AmazonHealthLakeReadOnlyAccess` HealthLake 唯讀存取所需的政策。 | 2022 年 11 月 14 日 |
| HealthLake 開始追蹤變更 | HealthLake 開始追蹤其 AWS 受管政策的變更。 | 2022 年 11 月 14 日 |