Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Creación de permisos granulares para usuarios no administradores en Step Functions
Las políticas gestionadas por defecto enIAM, por ejemploReadOnly
, no cubren completamente todos los tipos de AWS Step Functions permisos. En esta sección se describen los distintos tipos de permisos y se facilitan algunas configuraciones de ejemplo.
Step Functions tiene cuatro categorías de permisos. En función del acceso que desee proporcionar a un usuario, puede controlar el acceso mediante la utilización de permisos en estas categorías.
- Permisos de nivel de servicio
-
Se aplican a los componentes del API que no actúan sobre un recurso específico.
- Permisos de nivel de máquina de estado
-
Se aplica a todos API los componentes que actúan en una máquina de estados específica.
- Permisos de nivel de ejecución
-
Se aplica a todos API los componentes que actúan en una ejecución específica.
- Permisos de nivel de actividad
-
Se aplica a todos API los componentes que actúan sobre una actividad específica o sobre una instancia concreta de una actividad.
Permisos de nivel de servicio
Este nivel de permiso se aplica a todas API las acciones que no actúan en un recurso específico. Estas incluyen CreateStateMachine
CreateActivity
, ListStateMachines
ListActivities
, yValidationStateMachineDefinition
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:ListStateMachines", "states:ListActivities", "states:CreateStateMachine", "states:CreateActivity", "states:ValidationStateMachineDefinition", ], "Resource": [ "arn:aws:states:*:*:*" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam:::role/my-execution-role" ] } ] }
Permisos de nivel de máquina de estado
Este nivel de permiso se aplica a todas API las acciones que actúan en una máquina de estados específica. Estas API operaciones requieren el nombre de recurso de Amazon (ARN) de la máquina de estado como parte de la solicitud DeleteStateMachine
DescribeStateMachine
, comoStartExecution
, yListExecutions
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:DescribeStateMachine", "states:StartExecution", "states:DeleteStateMachine", "states:ListExecutions", "states:UpdateStateMachine", "states:TestState", "states:RevealSecrets" ], "Resource": [ "arn:aws:states:*:*:stateMachine:StateMachinePrefix*" ] } ] }
Permisos de nivel de ejecución
Este nivel de permiso se aplica a todas las API acciones que actúan en una ejecución específica. Estas API operaciones requieren ARN la ejecución como parte de la solicitud, como DescribeExecution
GetExecutionHistory
, yStopExecution
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:DescribeExecution", "states:DescribeStateMachineForExecution", "states:GetExecutionHistory", "states:StopExecution" ], "Resource": [ "arn:aws:states:*:*:execution:*:ExecutionPrefix*" ] } ] }
Permisos de nivel de actividad
Este nivel de permiso se aplica a todas las API acciones que actúan en una actividad específica o en una instancia concreta de la misma. Estas API operaciones requieren que ARN la actividad o el token de la instancia formen parte de la solicitud, por ejemplo DeleteActivity
DescribeActivity
,GetActivityTask
, ySendTaskHeartbeat
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:DescribeActivity", "states:DeleteActivity", "states:GetActivityTask", "states:SendTaskHeartbeat" ], "Resource": [ "arn:aws:states:*:*:activity:ActivityPrefix*" ] } ] }