Creación del punto de conexión Políticas de Amazon VPC Endpoint Políticas de los puntos de conexión

Creación de VPC puntos de conexión de Amazon para Step Functions

Si utilizas Amazon Virtual Private Cloud (AmazonVPC) para alojar tus AWS recursos, puedes establecer una conexión entre Amazon VPC y los AWS Step Functions flujos de trabajo. Puede utilizar esta conexión con sus flujos de trabajo de Step Functions sin cruzar la Internet pública. Los VPC puntos de enlace de Amazon son compatibles con Standard Workflows, Express Workflows y Synchronous Express Workflows.

Amazon te VPC permite lanzar AWS recursos en una red virtual personalizada. Puede usar VPC a para controlar la configuración de su red, como el rango de direcciones IP, las subredes, las tablas de enrutamiento y las puertas de enlace de red. Para obtener más información al respectoVPCs, consulta la Guía del VPC usuario de Amazon.

Para conectar tu Amazon VPC a Step Functions, primero debes definir un VPCpunto final de interfaz que te permita conectarte VPC a otros AWS servicios. El punto final proporciona una conectividad fiable y escalable, sin necesidad de una pasarela de Internet, una instancia de traducción de direcciones de red (NAT) o VPN una conexión. Para obtener más información, consulte Interface VPC Endpoints (AWS PrivateLink) en la Guía del VPC usuario de Amazon.

Creación del punto de conexión

Puede crear un AWS Step Functions punto final en su VPC interior utilizando el AWS Management Console, el AWS Command Line Interface (AWS CLI), un AWS SDK AWS Step Functions API, el o AWS CloudFormation.

Para obtener información sobre la creación y configuración de un punto final mediante la VPC consola de Amazon o la AWS CLI, consulte Creación de un punto final de interfaz en la Guía del VPC usuario de Amazon.

nota

Al crear un punto final, especifique Step Functions como el servicio VPC al que desea conectarse. En la VPC consola de Amazon, los nombres de los servicios varían según la AWS región. Por ejemplo, si elige Este de EE. UU. (Norte de Virginia), el nombre de servicio para flujos de trabajo estándar y flujos de trabajo rápidos es com.amazonaws.us-east-1.states y el nombre de servicio para flujos de trabajo rápido síncronos es com.amazonaws.us-east-1.sync-states.

nota

Es posible utilizar los VPC puntos de enlace sin anular el punto final en el modo privadoSDK. DNS Sin embargo, si desea anular el punto final en los SDK flujos de trabajo exprés sincrónicos, debe establecer la configuración en. DisableHostPrefixInjection true Ejemplo (Java SDK V2):


SfnClient.builder()
  .endpointOverride(URI.create("https://vpce-{vpceId}.sync-states.us-east-1.vpce.amazonaws.com"))
  .overrideConfiguration(ClientOverrideConfiguration.builder()
    .advancedOptions(ImmutableMap.of(SdkAdvancedClientOption.DISABLE_HOST_PREFIX_INJECTION, true))
    .build())
  .build();

Para obtener información sobre cómo crear y configurar un punto final mediante AWS CloudFormation, consulte el VPCEndpoint recurso AWS:EC2::: de la Guía del AWS CloudFormation usuario.

Políticas de Amazon VPC Endpoint

Para controlar el acceso de conectividad a Step Functions, puede adjuntar una política de punto final AWS Identity and Access Management (IAM) al crear un VPC punto final de Amazon. Puede crear IAM reglas complejas adjuntando varias políticas de puntos finales. Para obtener más información, consulte:

Políticas de punto de conexión de Amazon Virtual Private Cloud para Step Functions

Puede crear una política de VPC puntos finales de Amazon para Step Functions en la que especifique lo siguiente:

La entidad principal que puede realizar acciones.
Las acciones que se pueden realizar.
El recurso en el que se pueden realizar las acciones.

El siguiente ejemplo muestra una política de VPC puntos finales de Amazon que permite a un usuario crear máquinas de estado y deniega a todos los demás usuarios el permiso para eliminar máquinas de estado. La política de ejemplo también concede permiso de ejecución a todos los usuarios de .


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "*Execution",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Action": "states:CreateStateMachine",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": {
              "AWS": "arn:aws:iam::123456789012:user/MyUser"
            }
        },
        {
            "Action": "states:DeleteStateMachine",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}

Para obtener más información acerca de la creación de políticas de punto de enlace, consulte lo siguiente:

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Acceder a varias cuentas AWS resources

IAMPolíticas de servicios integrados