翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Step Functions ワークフローでのバージョンとエイリアスの認可
バージョンまたはエイリアスを使用して Step Functions APIアクションを呼び出すには、適切なアクセス許可が必要です。バージョンまたはエイリアスがAPIアクションを呼び出すことを承認するために、Step Functions はバージョン ARNまたはエイリアス ARNを使用する代わりにステートマシンの を使用しますARN。特定のバージョンまたはエイリアスの権限の範囲を制限することもできます。詳細については、「アクセス許可を制限する」を参照してください。
次の という名前のステートマシンのIAMポリシー例を使用して
、 CreateStateMachineAliasAPIアクションを呼び出し、ステートマシンエイリアスを作成できます。myStateMachine
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "states:CreateStateMachineAlias", "Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:
myStateMachine
" } ] }
ステートマシンのバージョンまたはエイリアスを使用したAPIアクションへのアクセスを許可または拒否するアクセス許可を設定する場合は、次の点を考慮してください。
CreateStateMachine および UpdateStateMachineAPIアクションの
publish
パラメータを使用して新しいステートマシンバージョンを発行する場合は、 PublishStateMachineVersionAPIアクションに対する アクセスALLOW
許可も必要です。DeleteStateMachine API アクションは、ステートマシンに関連付けられているすべてのバージョンとエイリアスを削除します。
バージョンまたはエイリアスのアクセス許可の範囲を制限する
修飾子を使用して、バージョンまたはエイリアスに必要なアクセス許可の権限をさらに制限できます。修飾子は、バージョン番号またはエイリアス名を指します。修飾子を使用して、ステートマシンを修飾します。次の例は、修飾子PROD
として という名前のエイリアスARNを使用するステートマシンです。
arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine
:PROD
修飾 と非修飾 の詳細についてはARNs、「」を参照してくださいバージョンまたはエイリアスへの実行の関連付け。
IAM ポリシーの Condition
ステートメントstates:StateMachineQualifier
で という名前のオプションコンテキストキーを使用して、アクセス許可の範囲を絞り込みます。例えば、 という名前のステートマシンの次のIAMポリシーmyStateMachine
は、 という名前のエイリアスPROD
またはバージョン を使用して DescribeStateMachineAPIアクションを呼び出すアクセスを拒否します1
。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "states:DescribeStateMachine", "Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:
myStateMachine
", "Condition": { "ForAnyValue:StringEquals": { "states:StateMachineQualifier": [ "PROD", "1" ] } } } ] }
次のリストは、StateMachineQualifier
コンテキストキーを使用してアクセス許可の範囲を絞り込むことができるAPIアクションを指定します。