Creación del punto de conexión Políticas de punto de conexión de VPC Políticas de los puntos de conexión

Crear puntos de conexión de VPC de Amazon para Step Functions

Si utiliza Amazon Virtual Private Cloud (Amazon VPC) para alojar sus recursos de AWS, puede establecer una conexión entre sus flujos de trabajo de AWS Step Functions y Amazon VPC. Puede utilizar esta conexión con sus flujos de trabajo de Step Functions sin cruzar la Internet pública. Los puntos de conexión de VPC son compatibles con los flujos de trabajo estándar, los flujos de trabajo rápidos y los flujos de trabajo rápidos sincrónicos.

Amazon VPC permite lanzar recursos de AWS en una red virtual personalizada. Puede utilizar una VPC para controlar la configuración de red, como el intervalo de direcciones IP, las subredes, las tablas de enrutamiento y las puertas de enlace de red. Para obtener más información sobre VPC, consulte la Guía del usuario de Amazon VPC.

Para conectar Amazon VPC a Step Functions, primero debe definir un punto de conexión de VPC de interfaz, que le permitirá conectar la VPC a otros servicios de AWS. El punto de conexión ofrece conectividad escalable de confianza sin necesidad de utilizar una gateway de Internet, una instancia de conversión de las direcciones de red (NAT) o una conexión de VPN. Para obtener más información, consulte Puntos de conexión de VPC de la interfaz (AWS PrivateLink) en la Guía del usuario de Amazon VPC.

Creación del punto de conexión

Puede crear un punto de enlace de AWS Step Functions en la VPC utilizando la AWS Management Console, la AWS Command Line Interface (AWS CLI) , un SDK de AWS, la API de AWS Step Functions o AWS CloudFormation.

Para obtener información sobre la creación y configuración de un punto de conexión mediante la consola de Amazon VPC o la AWS CLI, consulte Creación de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.

nota

Al crear el punto de conexión, especifique que Step Functions es el servicio al que desea que se conecte la VPC. En la consola de Amazon VPC, los nombres de los servicios varían en función de la región de AWS. Por ejemplo, si elige Este de EE. UU. (Norte de Virginia), el nombre de servicio para flujos de trabajo estándar y flujos de trabajo rápidos es com.amazonaws.us-east-1.states y el nombre de servicio para flujos de trabajo rápido síncronos es com.amazonaws.us-east-1.sync-states.

nota

Es posible usar puntos de conexión de VPC sin anular el punto de conexión en el SDK a través DNS privado. No obstante, si desea anular el punto de conexión en el SDK para flujos de trabajo rápidos síncronos, debe establecer la configuración DisableHostPrefixInjection en true. Ejemplo (Java SDK V2):


SfnClient.builder()
  .endpointOverride(URI.create("https://vpce-{vpceId}.sync-states.us-east-1.vpce.amazonaws.com"))
  .overrideConfiguration(ClientOverrideConfiguration.builder()
    .advancedOptions(ImmutableMap.of(SdkAdvancedClientOption.DISABLE_HOST_PREFIX_INJECTION, true))
    .build())
  .build();

Para obtener información acerca de cómo se crea y configura un punto de conexión mediante AWS CloudFormation, consulte el recurso AWS::EC2::VPCEndpoint en la Guía del usuario de AWS CloudFormation.

Políticas de punto de conexión de VPC

Para controlar el acceso a la conectividad a Step Functions puede asociar una política de punto de conexión de AWS Identity and Access Management (IAM) mientras crea un punto de conexión de VPC. Puede crear reglas de IAM complejas asociando varias políticas de punto de conexión. Para obtener más información, consulte:

Políticas de punto de conexión de Amazon Virtual Private Cloud para Step Functions

Puede crear una política de punto de conexión de Amazon VPC para Step Functions en la que especifique lo siguiente:

La entidad principal que puede realizar acciones.
Las acciones que se pueden realizar.
El recurso en el que se pueden realizar las acciones.

En el ejemplo siguiente se muestra una política de punto de conexión de VPC Amazon que permite a un usuario crear máquinas de estado y deniega a todos los demás usuarios el permiso para eliminar máquinas de estado. La política de ejemplo también concede permiso de ejecución a todos los usuarios de .


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "*Execution",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Action": "states:CreateStateMachine",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": {
              "AWS": "arn:aws:iam::123456789012:user/MyUser"
            }
        },
        {
            "Action": "states:DeleteStateMachine",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}

Para obtener más información acerca de la creación de políticas de punto de enlace, consulte lo siguiente:

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Acceso a recursos de AWS entre cuentas

Políticas de IAM para servicios integrados