Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erstellung detaillierter Berechtigungen für Benutzer ohne Administratorrechte in Step Functions
Die standardmäßigen verwalteten Richtlinien inIAM, wie z. B.ReadOnly
, decken nicht alle Arten von AWS Step Functions Berechtigungen. In diesem Abschnitt werden diese verschiedenen Arten von Berechtigungen beschrieben und Beispielkonfigurationen bereitgestellt.
Step Functions hat vier Kategorien von Berechtigungen. Je nach der Art des Zugriffs, den Sie einem Benutzer bereitstellen möchten, können Sie den Zugriff anhand der Berechtigungen in diesen Kategorien steuern.
- Service Level-Berechtigungen
-
Gilt für Komponenten vonAPI, die nicht auf eine bestimmte Ressource einwirken.
- Berechtigungen auf Stufe des Zustandsautomaten
-
Gilt für alle API Komponenten, die auf eine bestimmte Zustandsmaschine einwirken.
- Berechtigungen auf Ausführungsebene
-
Gilt für alle API Komponenten, die auf eine bestimmte Ausführung reagieren.
- Berechtigungen auf Aktivitätsebene
-
Gilt für alle API Komponenten, die auf eine bestimmte Aktivität oder auf eine bestimmte Instanz einer Aktivität einwirken.
Service Level-Berechtigungen
Diese Berechtigungsstufe gilt für alle API Aktionen, die sich nicht auf eine bestimmte Ressource auswirken. Dazu gehörenCreateStateMachine
, CreateActivity
ListStateMachines
,ListActivities
, undValidationStateMachineDefinition
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:ListStateMachines", "states:ListActivities", "states:CreateStateMachine", "states:CreateActivity", "states:ValidationStateMachineDefinition", ], "Resource": [ "arn:aws:states:*:*:*" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam:::role/my-execution-role" ] } ] }
Berechtigungen auf Stufe des Zustandsautomaten
Diese Berechtigungsstufe gilt für alle API Aktionen, die sich auf eine bestimmte Zustandsmaschine auswirken. Für diese API Operationen ist der Amazon-Ressourcenname (ARN) der Zustandsmaschine als Teil der Anforderung erforderlich, z. B. DeleteStateMachine
DescribeStateMachine
,StartExecution
, undListExecutions
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:DescribeStateMachine", "states:StartExecution", "states:DeleteStateMachine", "states:ListExecutions", "states:UpdateStateMachine", "states:TestState", "states:RevealSecrets" ], "Resource": [ "arn:aws:states:*:*:stateMachine:StateMachinePrefix*" ] } ] }
Berechtigungen auf Ausführungsebene
Diese Berechtigungsstufe gilt für alle API Aktionen, die bei einer bestimmten Ausführung ausgeführt werden. Diese API Operationen erfordern ARN die Ausführung als Teil der Anforderung, wie DescribeExecution
GetExecutionHistory
, undStopExecution
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:DescribeExecution", "states:DescribeStateMachineForExecution", "states:GetExecutionHistory", "states:StopExecution" ], "Resource": [ "arn:aws:states:*:*:execution:*:ExecutionPrefix*" ] } ] }
Berechtigungen auf Aktivitätsebene
Diese Berechtigungsstufe gilt für alle API Aktionen, die sich auf eine bestimmte Aktivität oder eine bestimmte Instanz davon auswirken. Für diese API Operationen ist die Angabe ARN der Aktivität oder des Tokens der Instanz als Teil der Anforderung erforderlich, z. B. DeleteActivity
DescribeActivity
,GetActivityTask
, undSendTaskHeartbeat
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:DescribeActivity", "states:DeleteActivity", "states:GetActivityTask", "states:SendTaskHeartbeat" ], "Resource": [ "arn:aws:states:*:*:activity:ActivityPrefix*" ] } ] }