Erstellen granularer IAM-Berechtigungen für Benutzer ohne Administratorrechte - AWS Step Functions

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen granularer IAM-Berechtigungen für Benutzer ohne Administratorrechte

Die standardmäßig verwalteten Richtlinien in IAM, wie etwa ReadOnly, decken nicht Arten von AWS Step Functions-Berechtigungen vollständig ab. In diesem Abschnitt werden diese verschiedenen Arten von Berechtigungen beschrieben und Beispielkonfigurationen bereitgestellt.

Step Functions hat vier Kategorien von Berechtigungen. Je nach der Art des Zugriffs, den Sie einem Benutzer bereitstellen möchten, können Sie den Zugriff anhand der Berechtigungen in diesen Kategorien steuern.

Service Level-Berechtigungen

Wenden Sie sie auf Komponenten der API an, die nicht an einer spezifischen Ressource agieren.

Berechtigungen auf Stufe des Zustandsautomaten

Wenden Sie sie auf alle API-Komponenten an, die an einem spezifischen Zustandsautomaten agieren.

Berechtigungen auf Ausführungsebene

Wenden Sie sie auf alle API-Komponenten an, die an einer spezifischen Ausführung agieren.

Berechtigungen auf Aktivitätsebene

Wenden Sie sie auf alle API-Komponenten an, die an einer spezifischen Aktivität oder auf einer bestimmten Instance einer Aktivität agieren.

Service Level-Berechtigungen

Diese Berechtigungsstufe gilt für alle API-Aktionen, die nicht an einer spezifischen Ressource agieren. Dies sind beispielsweise CreateStateMachine, CreateActivity, ListStateMachines und ListActivities.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:ListStateMachines", "states:ListActivities", "states:CreateStateMachine", "states:CreateActivity" ], "Resource": [ "arn:aws:states:*:*:*" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam:::role/my-execution-role" ] } ] }

Berechtigungen auf Stufe des Zustandsautomaten

Diese Berechtigungsstufe gilt für alle API-Aktionen, die an einem spezifischen Zustandsautomaten agieren. Diese API-Operationen erfordern den Amazon-Ressourcennamen (ARN) des Zustandsautomaten als Teil der Anforderung, wie z. B.DeleteStateMachine,DescribeStateMachine,StartExecution, undListExecutions.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:DescribeStateMachine", "states:StartExecution", "states:DeleteStateMachine", "states:ListExecutions", "states:UpdateStateMachine" ], "Resource": [ "arn:aws:states:*:*:stateMachine:StateMachinePrefix*" ] } ] }

Berechtigungen auf Ausführungsebene

Diese Berechtigungsstufe gilt für alle API-Aktionen, die an einer spezifischen Ausführung agieren. Diese API-Vorgänge erfordern die ARN der Ausführung als Teil der Anforderung, wie etwaDescribeExecution, GetExecutionHistory und StopExecution.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:DescribeExecution", "states:DescribeStateMachineForExecution", "states:GetExecutionHistory", "states:StopExecution" ], "Resource": [ "arn:aws:states:*:*:execution:*:ExecutionPrefix*" ] } ] }

Berechtigungen auf Aktivitätsebene

Diese Berechtigungsstufe gilt für sämtliche API-Aktionen, die an einer spezifischen Aktivität oder auf einer bestimmten Instance davon agieren. Diese API-Operationen erfordern den ARN der Aktivität oder das Token der Instanz als Teil der Anforderung, z. B.DeleteActivity,DescribeActivity,GetActivityTask, undSendTaskHeartbeat.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:DescribeActivity", "states:DeleteActivity", "states:GetActivityTask", "states:SendTaskHeartbeat" ], "Resource": [ "arn:aws:states:*:*:activity:ActivityPrefix*" ] } ] }