Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Les politiques gérées par défaut dans IAM, par exempleReadOnly, ne couvrent pas entièrement tous les types d' AWS Step Functions autorisations. Cette section décrit ces différents types d'autorisations et fournit des exemples des configurations.
Step Functions propose quatre catégories d'autorisations. En fonction du type d'accès que vous souhaitez fournir à un utilisateur, vous pouvez contrôler l'accès en utilisant ces catégories d'autorisations.
- Autorisations de niveau service
-
S'applique aux composants de l'API qui n'agissent pas sur une ressource spécifique.
- Autorisations de niveau machine d'état
-
S'applique à tous les composants d'API qui agissent sur une machine d'état spécifique.
- Autorisations de niveau exécution
-
S'applique à tous les composants d'API qui agissent sur une exécution spécifique.
- Autorisations de niveau activité
-
S'applique à tous les composants d'API qui agissent sur une activité spécifique ou sur une instance d'activité particulière.
Autorisations de niveau service
Ce niveau d'autorisation s'applique à toutes les actions d'API qui n'agissent pas sur une ressource spécifique. Ceux-ci incluentCreateStateMachine, CreateActivityListStateMachines,ListActivities, etValidationStateMachineDefinition.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"states:ListStateMachines",
"states:ListActivities",
"states:CreateStateMachine",
"states:CreateActivity",
"states:ValidationStateMachineDefinition",
],
"Resource": [
"arn:aws:states:*:*:*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam:::role/my-execution-role"
]
}
]
}Autorisations de niveau machine d'état
Ce niveau d'autorisation s'applique à toutes les actions d'API qui agissent sur une machine d'état spécifique. Ces opérations d'API nécessitent l'Amazon Resource Name (ARN) de la machine d'état dans le cadre de la demandeDeleteStateMachine, tel queDescribeStateMachine,StartExecution, etListExecutions.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"states:DescribeStateMachine",
"states:StartExecution",
"states:DeleteStateMachine",
"states:ListExecutions",
"states:UpdateStateMachine",
"states:TestState",
"states:RevealSecrets"
],
"Resource": [
"arn:aws:states:*:*:stateMachine:StateMachinePrefix*"
]
}
]
}Autorisations de niveau exécution
Ce niveau d'autorisation s'applique à toutes les actions d'API qui agissent sur une exécution spécifique. Ces actions d'API requièrent l'ARN de l'exécution dans la demande, comme par exemple DescribeExecution, GetExecutionHistory et StopExecution.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"states:DescribeExecution",
"states:DescribeStateMachineForExecution",
"states:GetExecutionHistory",
"states:StopExecution"
],
"Resource": [
"arn:aws:states:*:*:execution:*:ExecutionPrefix*"
]
}
]
}Autorisations de niveau activité
Ce niveau d'autorisation s'applique à toutes les actions d'API qui agissent sur une activité spécifique ou sur une instance particulière de celle-ci. Ces opérations d'API nécessitent l'ARN de l'activité ou le jeton de l'instance dans le cadre de la demande, tel que DeleteActivityDescribeActivity,GetActivityTask, etSendTaskHeartbeat.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"states:DescribeActivity",
"states:DeleteActivity",
"states:GetActivityTask",
"states:SendTaskHeartbeat"
],
"Resource": [
"arn:aws:states:*:*:activity:ActivityPrefix*"
]
}
]
}