Autorisierung für Versionen und Aliase in Step Functions Functions-Workflows - AWS Step Functions

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Autorisierung für Versionen und Aliase in Step Functions Functions-Workflows

Um Step Functions API Functions-Aktionen mit einer Version oder einem Alias aufzurufen, benötigen Sie die entsprechenden Berechtigungen. Um eine Version oder einen Alias zum Aufrufen einer API Aktion zu autorisieren, verwendet Step Functions die der Zustandsmaschine, ARN anstatt die Version ARN oder den Alias zu verwenden. ARN Sie können die Berechtigungen auch für eine bestimmte Version oder einen bestimmten Alias einschränken. Weitere Informationen finden Sie unter Der Umfang der Berechtigungen wird eingeschränkt.

Sie können das folgende IAM Richtlinienbeispiel für einen Zustandsmaschine mit dem Namen verwendenmyStateMachine, um die CreateStateMachineAliasAPIAktion zum Erstellen eines Zustandsmaschinen-Alias aufzurufen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "states:CreateStateMachineAlias", "Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine" } ] }

Beachten Sie Folgendes, wenn Sie Berechtigungen festlegen, um den Zugriff auf API Aktionen mithilfe von State-Machine-Versionen oder Aliasnamen zu erlauben oder zu verweigern:

Der Umfang der Berechtigungen für eine Version oder einen Alias wird eingeschränkt

Sie können einen Qualifier verwenden, um die für eine Version oder einen Alias erforderlichen Autorisierungsberechtigungen weiter einzugrenzen. Ein Qualifier bezieht sich auf eine Versionsnummer oder einen Aliasnamen. Sie verwenden den Qualifier, um eine Zustandsmaschine zu qualifizieren. Das folgende Beispiel zeigt eine ZustandsmaschineARN, die einen Alias verwendet, der PROD als Qualifier benannt ist.

arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine:PROD

Weitere Hinweise zu qualifiziert und unqualifiziert finden Sie ARNs unter. Verbindet Ausführungen mit einer Version oder einem Alias

Mithilfe des optionalen Kontextschlüssels, der states:StateMachineQualifier in der Condition Erklärung einer IAM Richtlinie genannt wird, können Sie den Umfang der Berechtigungen eingrenzen. Die folgende IAM Richtlinie für eine Zustandsmaschine mit dem Namen myStateMachine verweigert beispielsweise den Zugriff auf das Aufrufen der DescribeStateMachineAPIAktion mit einem Alias namens PROD oder der Version. 1

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "states:DescribeStateMachine", "Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine", "Condition": { "ForAnyValue:StringEquals": { "states:StateMachineQualifier": [ "PROD", "1" ] } } } ] }

In der folgenden Liste sind die API Aktionen aufgeführt, für die Sie die Berechtigungen mithilfe des StateMachineQualifier Kontextschlüssels einschränken können.