Principes de base - Amazon Simple Workflow Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Principes de base

Le contrôle SWF d'accès Amazon repose principalement sur deux types d'autorisations :

  • Autorisations relatives aux ressources : à quelles SWF ressources Amazon un utilisateur peut accéder.

    Vous pouvez uniquement exprimer des autorisations de ressources pour les domaines.

  • APIautorisations : quelles SWF actions Amazon un utilisateur peut appeler.

L'approche la plus simple consiste à accorder un accès complet au compte, c'est-à-dire à lancer une SWF action Amazon dans n'importe quel domaine, ou à refuser complètement l'accès. Cependant, IAM prend en charge une approche plus granulaire du contrôle d'accès qui est souvent plus utile. Par exemple, vous pouvez accorder les accès suivants :

  • Autorisez un utilisateur à lancer n'importe quelle SWF action Amazon sans restrictions, mais uniquement dans un domaine spécifique. Vous pouvez utiliser cette stratégie pour permettre aux applications de flux de travail qui sont en cours de développement d'utiliser toutes les actions, mais uniquement dans un domaine « sandbox ».

  • Autorisez un utilisateur à accéder à n'importe quel domaine, mais limitez la manière dont il utilise leAPI. Vous pourriez utiliser une telle politique pour autoriser une application « auditeur » à appeler le API dans n'importe quel domaine, mais uniquement pour autoriser l'accès en lecture.

  • Autorisez un utilisateur à appeler uniquement un ensemble limité d'actions dans certains domaines. Vous pouvez recourir à cette stratégie pour permettre à un démarreur de flux de travail d'appeler uniquement l'action StartWorkflowExecution dans un domaine spécifié.

Le contrôle SWF d'accès Amazon repose sur les principes suivants :

  • Les décisions relatives au contrôle d'accès sont basées uniquement sur des IAM politiques ; tous les audits et manipulations des politiques sont effectués dans le cadre de ces politiquesIAM.

  • Le modèle de contrôle d'accès utilise une deny-by-default politique ; tout accès non explicitement autorisé est refusé.

  • Vous contrôlez l'accès aux SWF ressources Amazon en associant IAM les politiques appropriées aux acteurs du flux de travail.

  • Vous pouvez uniquement exprimer des autorisations de ressources pour les domaines.

  • Pour limiter davantage l'utilisation de certaines actions, vous pouvez appliquer des conditions à un ou plusieurs paramètres.

  • Si vous accordez l'autorisation d'utilisation RespondDecisionTaskCompleted, vous pouvez exprimer des autorisations pour la liste des décisions incluses dans cette action.

    Chacune des décisions comporte un ou plusieurs paramètres, un peu comme un API appel normal. Pour que les politiques soient aussi lisibles que possible, vous pouvez exprimer les autorisations relatives aux décisions comme s'il s'agissait de véritables API appels, notamment en appliquant des conditions à certains paramètres. Ces types d'autorisations sont appelés APIpseudo-autorisations.

Pour un résumé des API pseudo-paramètres et des paramètres réguliers qui peuvent être restreints à l'aide de conditions, voirAPIRésumé.