Step Functions で管理者以外のユーザーに対するきめ細かなアクセス許可を作成する - AWS Step Functions
サービスレベルのアクセス許可ステートマシンレベルのアクセス許可実行レベルのアクセス許可アクティビティレベルのアクセス許可

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Step Functions で管理者以外のユーザーに対するきめ細かなアクセス許可を作成する

IAMなどの のデフォルトの管理ポリシーはReadOnly、すべてのタイプの AWS Step Functions アクセス許可を完全にカバーするわけではありません。このセクションでは、これらさまざまなタイプのアクセス許可について説明し、設定例を示します。

Step Functions には、4 つのカテゴリの許可があります。ユーザーに許可するアクセスに応じたカテゴリのアクセス許可の使用によって、アクセスを制御できます。

サービスレベルのアクセス許可

特定のリソースに対して動作APIしない のコンポーネントに適用します。

ステートマシンレベルのアクセス許可

特定のステートマシンで動作するすべてのAPIコンポーネントに適用します。

実行レベルのアクセス許可

特定の実行で動作するすべてのAPIコンポーネントに適用します。

アクティビティレベルのアクセス許可

特定のアクティビティまたはアクティビティの特定のインスタンスで動作するすべてのAPIコンポーネントに適用します。

サービスレベルのアクセス許可

このアクセス許可レベルは、特定のリソースに対して動作しないすべてのAPIアクションに適用されます。これには、CreateStateMachineCreateActivity、、ListStateMachinesListActivities、および が含まれますValidationStateMachineDefinition

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:ListStateMachines",
        "states:ListActivities",
        "states:CreateStateMachine",
        "states:CreateActivity",
        "states:ValidationStateMachineDefinition", 
      ],
      "Resource": [ 
        "arn:aws:states:*:*:*" 
      ]
    },
    {
      "Effect": "Allow",
      "Action": [ 
        "iam:PassRole"
      ],
      "Resource": [
        "arn:aws:iam:::role/my-execution-role"
      ]
    }
  ]
}

ステートマシンレベルのアクセス許可

このアクセス許可レベルは、特定のステートマシンで動作するすべてのAPIアクションに適用されます。これらのAPIオペレーションでは、、、、 StartExecutionなどのリクエストの一部としてステートマシンの Amazon DeleteStateMachineリソースネーム (ARN) DescribeStateMachineが必要ですListExecutions

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeStateMachine",
        "states:StartExecution",
        "states:DeleteStateMachine",
        "states:ListExecutions",
        "states:UpdateStateMachine",
        "states:TestState",
        "states:RevealSecrets"
      ],
      "Resource": [ 
        "arn:aws:states:*:*:stateMachine:StateMachinePrefix*" 
      ]
    }
  ]
}

実行レベルのアクセス許可

このアクセス許可レベルは、特定の実行で実行されるすべてのAPIアクションに適用されます。これらのAPIオペレーションでは、、、 GetExecutionHistoryなど、リクエストの一部としてARN実行DescribeExecutionの が必要ですStopExecution

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeExecution",
        "states:DescribeStateMachineForExecution",
        "states:GetExecutionHistory",
        "states:StopExecution"
      ],
      "Resource": [ 
        "arn:aws:states:*:*:execution:*:ExecutionPrefix*"
      ]
    }
  ]
}

アクティビティレベルのアクセス許可

このアクセス許可レベルは、特定のアクティビティまたはその特定のインスタンスで実行されるすべてのAPIアクションに適用されます。これらのAPIオペレーションでは、、、、 DescribeActivity GetActivityTaskなどのリクエストの一部としてDeleteActivity、 アクティビティARNの またはインスタンスのトークンが必要ですSendTaskHeartbeat

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeActivity",
        "states:DeleteActivity",
        "states:GetActivityTask",
        "states:SendTaskHeartbeat"
      ],
      "Resource": [
        "arn:aws:states:*:*:activity:ActivityPrefix*"
      ]
    }
  ]
}