Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Granulare IAM-Berechtigungen für Benutzer ohne Administratorrechte erstellen
Die standardmäßig verwalteten Richtlinien in IAM, wie etwa ReadOnly, decken nicht Arten von AWS Step Functions-Berechtigungen vollständig ab. In diesem Abschnitt werden diese verschiedenen Arten von Berechtigungen beschrieben und Beispielkonfigurationen bereitgestellt.
Step Functions hat vier Kategorien von Berechtigungen. Je nach der Art des Zugriffs, den Sie einem Benutzer bereitstellen möchten, können Sie den Zugriff anhand der Berechtigungen in diesen Kategorien steuern.
- Service Level-Berechtigungen
-
Wenden Sie sie auf Komponenten der API an, die nicht an einer spezifischen Ressource agieren.
- Berechtigungen auf Stufe des Zustandsautomaten
-
Wenden Sie sie auf alle API-Komponenten an, die an einem spezifischen Zustandsautomaten agieren.
- Berechtigungen auf Ausführungsebene
-
Wenden Sie sie auf alle API-Komponenten an, die an einer spezifischen Ausführung agieren.
- Berechtigungen auf Aktivitätsebene
-
Wenden Sie sie auf alle API-Komponenten an, die an einer spezifischen Aktivität oder auf einer bestimmten Instance einer Aktivität agieren.
Service Level-Berechtigungen
Diese Berechtigungsstufe gilt für alle API-Aktionen, die nicht an einer spezifischen Ressource agieren. Dies sind beispielsweise CreateStateMachine, CreateActivity, ListStateMachines und ListActivities.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:ListStateMachines", "states:ListActivities", "states:CreateStateMachine", "states:CreateActivity" ], "Resource": [ "arn:aws:states:*:*:*" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam:::role/my-execution-role" ] } ] }
Berechtigungen auf Stufe des Zustandsautomaten
Diese Berechtigungsstufe gilt für alle API-Aktionen, die an einem spezifischen Zustandsautomaten agieren. Für diese API-Operationen ist der Amazon-Ressourcenname (ARN) der Zustandsmaschine als Teil der Anfrage erforderlich, z. B. DeleteStateMachineDescribeStateMachine,StartExecution, undListExecutions.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:DescribeStateMachine", "states:StartExecution", "states:DeleteStateMachine", "states:ListExecutions", "states:UpdateStateMachine" ], "Resource": [ "arn:aws:states:*:*:stateMachine:StateMachinePrefix*" ] } ] }
Berechtigungen auf Ausführungsebene
Diese Berechtigungsstufe gilt für alle API-Aktionen, die an einer spezifischen Ausführung agieren. Diese API-Vorgänge erfordern die ARN der Ausführung als Teil der Anforderung, wie etwaDescribeExecution, GetExecutionHistory und StopExecution.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:DescribeExecution", "states:DescribeStateMachineForExecution", "states:GetExecutionHistory", "states:StopExecution" ], "Resource": [ "arn:aws:states:*:*:execution:*:ExecutionPrefix*" ] } ] }
Berechtigungen auf Aktivitätsebene
Diese Berechtigungsstufe gilt für sämtliche API-Aktionen, die an einer spezifischen Aktivität oder auf einer bestimmten Instance davon agieren. Für diese API-Operationen ist der ARN der Aktivität oder das Token der Instanz als Teil der Anfrage erforderlich, z. B. DeleteActivityDescribeActivity,GetActivityTask, undSendTaskHeartbeat.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:DescribeActivity", "states:DeleteActivity", "states:GetActivityTask", "states:SendTaskHeartbeat" ], "Resource": [ "arn:aws:states:*:*:activity:ActivityPrefix*" ] } ] }
