Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Autorización de versiones y alias en los flujos de trabajo de Step Functions
Para invocar API acciones de Step Functions con una versión o un alias, necesita los permisos adecuados. Para autorizar a una versión o un alias a invocar una API acción, Step Functions usa la máquina de estados ARN en lugar de usar la versión ARN o el aliasARN. También puede restringir los permisos para una versión o un alias específicos. Para obtener más información, consulte Reducir el alcance de los permisos.
Puede usar el siguiente ejemplo de IAM política de una máquina de estados llamada
para invocar la CreateStateMachineAliasAPIacción y crear un alias de máquina de estados.myStateMachine
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "states:CreateStateMachineAlias", "Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:
myStateMachine
" } ] }
Al establecer permisos para permitir o denegar el acceso a API las acciones mediante versiones o alias de máquinas de estado, tenga en cuenta lo siguiente:
Si utiliza el
publish
parámetro de las UpdateStateMachineAPIacciones CreateStateMachiney para publicar una nueva versión de la máquina de estados, también necesitará elALLOW
permiso para la PublishStateMachineVersionAPIacción.La DeleteStateMachineAPIacción elimina todas las versiones y los alias asociados a una máquina de estados.
Reducir el alcance de los permisos de una versión o un alias
Puede usar un calificador para reducir más el permiso de autorización que necesita una versión o un alias. Un calificador hace referencia a un número de versión o a un nombre de alias. El calificador se utiliza para calificar una máquina de estado. El siguiente ejemplo es una máquina de estados ARN que usa un alias PROD
denominado calificador.
arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine
:PROD
Para obtener más información sobre cualificado y no cualificadoARNs, consulte. Asociar ejecuciones a una versión o alias
Para reducir el alcance de los permisos, utilice la clave de contexto opcional indicada states:StateMachineQualifier
en la Condition
declaración de una IAM política. Por ejemplo, la siguiente IAM política para una máquina de estados denominada myStateMachine
deniega el acceso para invocar la DescribeStateMachineAPIacción con un alias denominado como PROD
o su versión1
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "states:DescribeStateMachine", "Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:
myStateMachine
", "Condition": { "ForAnyValue:StringEquals": { "states:StateMachineQualifier": [ "PROD", "1" ] } } } ] }
En la siguiente lista se especifican las API acciones a las que puede restringir los permisos con la clave de StateMachineQualifier
contexto.