Autorización para versiones y alias en los flujos de trabajo de Step Functions

Para invocar las acciones de la API de Step Functions con una versión o un alias, necesita los permisos adecuados. Para autorizar una versión o un alias a invocar una acción de API, Step Functions usa el ARN de la máquina de estado en lugar de usar el ARN de la versión o el ARN del alias. También puede restringir los permisos para una versión o un alias específicos. Para obtener más información, consulte Reducir el alcance de los permisos.

Puede utilizar el siguiente ejemplo de política de IAM de una máquina de estado denominada myStateMachine para invocar la acción de la CreateStateMachineAliasAPI para crear un alias de máquina de estado.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "states:CreateStateMachineAlias",
      "Resource": "arn:aws:states:region:account-id:stateMachine:myStateMachine"
    }
  ]
}

Cuando configure permisos para permitir o denegar el acceso a acciones de la API mediante versiones o alias de máquinas de estado, tenga en cuenta lo siguiente:

Si utilizas el publish parámetro de las acciones CreateStateMachiney de la UpdateStateMachineAPI para publicar una nueva versión de la máquina de estados, también necesitarás el ALLOW permiso para la acción de la PublishStateMachineVersionAPI.
La acción de la DeleteStateMachineAPI elimina todas las versiones y los alias asociados a una máquina de estados.

Reducir el alcance de los permisos de una versión o un alias

Puede usar un calificador para reducir más el permiso de autorización que necesita una versión o un alias. Un calificador hace referencia a un número de versión o a un nombre de alias. El calificador se utiliza para calificar una máquina de estado. El siguiente ejemplo es un ARN de máquina de estado que usa un alias denominado PROD como calificador.


arn:aws:states:region:account-id:stateMachine:myStateMachine:PROD

Para obtener más información sobre las cualificadas y las no ARNs cualificadas, consulte. Asociar ejecuciones a una versión o alias

Para reducir el alcance de los permisos, utilice la clave de contexto opcional llamada states:StateMachineQualifier en la instrucción Condition de una política de IAM. Por ejemplo, la siguiente política de IAM para una máquina de estado denominada myStateMachine deniega el acceso a la acción de la DescribeStateMachineAPI con un alias denominado como PROD o la versión. 1


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "states:DescribeStateMachine",
      "Resource": "arn:aws:states:region:account-id:stateMachine:myStateMachine",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "states:StateMachineQualifier": [
            "PROD",
            "1"
          ]
        }
      }
    }
  ]
}

En la siguiente lista se especifican las acciones de la API que se pueden utilizar para limitar los permisos con la clave de contexto StateMachineQualifier.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Alias

Asociar ejecuciones a una versión o alias