Creación de permisos granulares para usuarios no administradores en Step Functions - AWS Step Functions

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de permisos granulares para usuarios no administradores en Step Functions

Las políticas gestionadas por defecto enIAM, por ejemploReadOnly, no cubren completamente todos los tipos de AWS Step Functions permisos. En esta sección se describen los distintos tipos de permisos y se facilitan algunas configuraciones de ejemplo.

Step Functions tiene cuatro categorías de permisos. En función del acceso que desee proporcionar a un usuario, puede controlar el acceso mediante la utilización de permisos en estas categorías.

Permisos de nivel de servicio

Se aplican a los componentes del API que no actúan sobre un recurso específico.

Permisos de nivel de máquina de estado

Se aplica a todos API los componentes que actúan en una máquina de estados específica.

Permisos de nivel de ejecución

Se aplica a todos API los componentes que actúan en una ejecución específica.

Permisos de nivel de actividad

Se aplica a todos API los componentes que actúan sobre una actividad específica o sobre una instancia concreta de una actividad.

Permisos de nivel de servicio

Este nivel de permiso se aplica a todas API las acciones que no actúan en un recurso específico. Estas incluyen CreateStateMachineCreateActivity, ListStateMachinesListActivities, yValidationStateMachineDefinition.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:ListStateMachines", "states:ListActivities", "states:CreateStateMachine", "states:CreateActivity", "states:ValidationStateMachineDefinition", ], "Resource": [ "arn:aws:states:*:*:*" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam:::role/my-execution-role" ] } ] }

Permisos de nivel de máquina de estado

Este nivel de permiso se aplica a todas API las acciones que actúan en una máquina de estados específica. Estas API operaciones requieren el nombre de recurso de Amazon (ARN) de la máquina de estado como parte de la solicitud DeleteStateMachineDescribeStateMachine, comoStartExecution, yListExecutions.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:DescribeStateMachine", "states:StartExecution", "states:DeleteStateMachine", "states:ListExecutions", "states:UpdateStateMachine", "states:TestState", "states:RevealSecrets" ], "Resource": [ "arn:aws:states:*:*:stateMachine:StateMachinePrefix*" ] } ] }

Permisos de nivel de ejecución

Este nivel de permiso se aplica a todas las API acciones que actúan en una ejecución específica. Estas API operaciones requieren ARN la ejecución como parte de la solicitud, como DescribeExecutionGetExecutionHistory, yStopExecution.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:DescribeExecution", "states:DescribeStateMachineForExecution", "states:GetExecutionHistory", "states:StopExecution" ], "Resource": [ "arn:aws:states:*:*:execution:*:ExecutionPrefix*" ] } ] }

Permisos de nivel de actividad

Este nivel de permiso se aplica a todas las API acciones que actúan en una actividad específica o en una instancia concreta de la misma. Estas API operaciones requieren que ARN la actividad o el token de la instancia formen parte de la solicitud, por ejemplo DeleteActivityDescribeActivity,GetActivityTask, ySendTaskHeartbeat.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:DescribeActivity", "states:DeleteActivity", "states:GetActivityTask", "states:SendTaskHeartbeat" ], "Resource": [ "arn:aws:states:*:*:activity:ActivityPrefix*" ] } ] }