Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Autorisierung für Versionen und Aliase in Step Functions Functions-Workflows
Um Step Functions API Functions-Aktionen mit einer Version oder einem Alias aufzurufen, benötigen Sie die entsprechenden Berechtigungen. Um eine Version oder einen Alias zum Aufrufen einer API Aktion zu autorisieren, verwendet Step Functions die der Zustandsmaschine, ARN anstatt die Version ARN oder den Alias zu verwenden. ARN Sie können die Berechtigungen auch für eine bestimmte Version oder einen bestimmten Alias einschränken. Weitere Informationen finden Sie unter Der Umfang der Berechtigungen wird eingeschränkt.
Sie können das folgende IAM Richtlinienbeispiel für einen Zustandsmaschine mit dem Namen verwenden
, um die CreateStateMachineAliasAPIAktion zum Erstellen eines Zustandsmaschinen-Alias aufzurufen.myStateMachine
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "states:CreateStateMachineAlias", "Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:
myStateMachine
" } ] }
Beachten Sie Folgendes, wenn Sie Berechtigungen festlegen, um den Zugriff auf API Aktionen mithilfe von State-Machine-Versionen oder Aliasnamen zu erlauben oder zu verweigern:
Wenn Sie den
publish
Parameter der UpdateStateMachineAPIAktionen CreateStateMachineund verwenden, um eine neue State-Machine-Version zu veröffentlichen, benötigen Sie auch dieALLOW
Berechtigung für die PublishStateMachineVersionAPIAktion.Die DeleteStateMachineAPIAktion löscht alle Versionen und Aliase, die einer Zustandsmaschine zugeordnet sind.
Der Umfang der Berechtigungen für eine Version oder einen Alias wird eingeschränkt
Sie können einen Qualifier verwenden, um die für eine Version oder einen Alias erforderlichen Autorisierungsberechtigungen weiter einzugrenzen. Ein Qualifier bezieht sich auf eine Versionsnummer oder einen Aliasnamen. Sie verwenden den Qualifier, um eine Zustandsmaschine zu qualifizieren. Das folgende Beispiel zeigt eine ZustandsmaschineARN, die einen Alias verwendet, der PROD
als Qualifier benannt ist.
arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine
:PROD
Weitere Hinweise zu qualifiziert und unqualifiziert finden Sie ARNs unter. Verbindet Ausführungen mit einer Version oder einem Alias
Mithilfe des optionalen Kontextschlüssels, der states:StateMachineQualifier
in der Condition
Erklärung einer IAM Richtlinie genannt wird, können Sie den Umfang der Berechtigungen eingrenzen. Die folgende IAM Richtlinie für eine Zustandsmaschine mit dem Namen myStateMachine
verweigert beispielsweise den Zugriff auf das Aufrufen der DescribeStateMachineAPIAktion mit einem Alias namens PROD
oder der Version. 1
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "states:DescribeStateMachine", "Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:
myStateMachine
", "Condition": { "ForAnyValue:StringEquals": { "states:StateMachineQualifier": [ "PROD", "1" ] } } } ] }
In der folgenden Liste sind die API Aktionen aufgeführt, für die Sie die Berechtigungen mithilfe des StateMachineQualifier
Kontextschlüssels einschränken können.