Membuat izin granular untuk pengguna non-admin di Step Functions - AWS Step Functions
Izin Tingkat LayananIzin Tingkat Mesin StatusIzin Tingkat EksekusiIzin Tingkat Aktivitas

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat izin granular untuk pengguna non-admin di Step Functions

Kebijakan terkelola default di IAMReadOnly, seperti, tidak sepenuhnya mencakup semua jenis AWS Step Functions izin. Bagian ini menjelaskan berbagai tipe izin dan menyediakan beberapa konfigurasi contoh.

Step Functions memiliki empat kategori izin. Tergantung pada akses yang ingin diberikan kepada pengguna, Anda dapat mengontrol akses dengan menggunakan izin dalam kategori ini.

Izin Tingkat Layanan

Berlaku untuk komponen API yang tidak bertindak pada sumber daya tertentu.

Izin Tingkat Mesin Status

Berlaku untuk semua API komponen yang bekerja pada mesin negara tertentu.

Izin Tingkat Eksekusi

Berlaku untuk semua API komponen yang bertindak pada eksekusi tertentu.

Izin Tingkat Aktivitas

Berlaku untuk semua API komponen yang bertindak pada aktivitas tertentu atau pada contoh tertentu dari suatu kegiatan.

Izin Tingkat Layanan

Tingkat izin ini berlaku untuk semua API tindakan yang tidak bertindak pada sumber daya tertentu. Ini termasukCreateStateMachine,CreateActivity,ListStateMachines,ListActivities, danValidationStateMachineDefinition. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:ListStateMachines",
        "states:ListActivities",
        "states:CreateStateMachine",
        "states:CreateActivity",
        "states:ValidationStateMachineDefinition", 
      ],
      "Resource": [ 
        "arn:aws:states:*:*:*" 
      ]
    },
    {
      "Effect": "Allow",
      "Action": [ 
        "iam:PassRole"
      ],
      "Resource": [
        "arn:aws:iam:::role/my-execution-role"
      ]
    }
  ]
}

Izin Tingkat Mesin Status

Tingkat izin ini berlaku untuk semua API tindakan yang bekerja pada mesin negara tertentu. APIOperasi ini memerlukan Amazon Resource Name (ARN) dari mesin status sebagai bagian dari permintaan, sepertiDeleteStateMachine,DescribeStateMachine,StartExecution, danListExecutions.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeStateMachine",
        "states:StartExecution",
        "states:DeleteStateMachine",
        "states:ListExecutions",
        "states:UpdateStateMachine",
        "states:TestState",
        "states:RevealSecrets"
      ],
      "Resource": [ 
        "arn:aws:states:*:*:stateMachine:StateMachinePrefix*" 
      ]
    }
  ]
}

Izin Tingkat Eksekusi

Tingkat izin ini berlaku untuk semua API tindakan yang bertindak pada eksekusi tertentu. APIOperasi ini memerlukan eksekusi sebagai bagian dari permintaan, sepertiDescribeExecution,GetExecutionHistory, danStopExecution. ARN

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeExecution",
        "states:DescribeStateMachineForExecution",
        "states:GetExecutionHistory",
        "states:StopExecution"
      ],
      "Resource": [ 
        "arn:aws:states:*:*:execution:*:ExecutionPrefix*"
      ]
    }
  ]
}

Izin Tingkat Aktivitas

Tingkat izin ini berlaku untuk semua API tindakan yang bertindak pada aktivitas tertentu atau pada contoh tertentu. APIOperasi ini memerlukan aktivitas atau token instance sebagai bagian dari permintaan, seperti,DeleteActivity, DescribeActivityGetActivityTask, danSendTaskHeartbeat. ARN

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeActivity",
        "states:DeleteActivity",
        "states:GetActivityTask",
        "states:SendTaskHeartbeat"
      ],
      "Resource": [
        "arn:aws:states:*:*:activity:ActivityPrefix*"
      ]
    }
  ]
}