Autorización de versiones y alias en los flujos de trabajo de Step Functions - AWS Step Functions

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Autorización de versiones y alias en los flujos de trabajo de Step Functions

Para invocar API acciones de Step Functions con una versión o un alias, necesita los permisos adecuados. Para autorizar a una versión o un alias a invocar una API acción, Step Functions usa la máquina de estados ARN en lugar de usar la versión ARN o el aliasARN. También puede restringir los permisos para una versión o un alias específicos. Para obtener más información, consulte Reducir el alcance de los permisos.

Puede usar el siguiente ejemplo de IAM política de una máquina de estados llamada myStateMachine para invocar la CreateStateMachineAliasAPIacción y crear un alias de máquina de estados.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "states:CreateStateMachineAlias", "Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine" } ] }

Al establecer permisos para permitir o denegar el acceso a API las acciones mediante versiones o alias de máquinas de estado, tenga en cuenta lo siguiente:

Reducir el alcance de los permisos de una versión o un alias

Puede usar un calificador para reducir más el permiso de autorización que necesita una versión o un alias. Un calificador hace referencia a un número de versión o a un nombre de alias. El calificador se utiliza para calificar una máquina de estado. El siguiente ejemplo es una máquina de estados ARN que usa un alias PROD denominado calificador.

arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine:PROD

Para obtener más información sobre cualificado y no cualificadoARNs, consulte. Asociar ejecuciones a una versión o alias

Para reducir el alcance de los permisos, utilice la clave de contexto opcional indicada states:StateMachineQualifier en la Condition declaración de una IAM política. Por ejemplo, la siguiente IAM política para una máquina de estados denominada myStateMachine deniega el acceso para invocar la DescribeStateMachineAPIacción con un alias denominado como PROD o su versión1.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "states:DescribeStateMachine", "Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine", "Condition": { "ForAnyValue:StringEquals": { "states:StateMachineQualifier": [ "PROD", "1" ] } } } ] }

En la siguiente lista se especifican las API acciones a las que puede restringir los permisos con la clave de StateMachineQualifier contexto.