As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
As políticas gerenciadas padrão no IAM, como ReadOnly, não abrangem totalmente todos os tipos de permissões do AWS Step Functions. Esta seção descreve esses tipos diferentes de permissões e apresenta alguns exemplos de configurações.
O Step Functions tem quatro categorias de permissões. Dependendo do acesso que você deseja fornecer a um usuário, pode controlar o acesso usando as permissões dessas categorias.
- Permissões no nível do serviço
-
Aplique aos componentes da API que não atuam em um recurso específico.
- Permissões no nível da máquina de estado
-
Aplicar a todos os componentes de API que atuam em uma máquina de estado específica.
- Permissões no nível da execução
-
Aplicar a todos os componentes de API que atuam em uma execução específica.
- Permissões no nível da atividade
-
Aplicar a todos os componentes de API que atuam em uma atividade específica ou em uma determinada instância de uma atividade.
Permissões no nível do serviço
Esse nível de permissão se aplica a todas as ações de API que não atuam em um recurso específico. Entre elas estão CreateStateMachine, CreateActivity, ListStateMachines, ListActivities e ValidationStateMachineDefinition.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"states:ListStateMachines",
"states:ListActivities",
"states:CreateStateMachine",
"states:CreateActivity",
"states:ValidationStateMachineDefinition",
],
"Resource": [
"arn:aws:states:*:*:*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam:::role/my-execution-role"
]
}
]
}Permissões no nível da máquina de estado
Esse nível de permissão se aplica a todas as ações de API que atuam em uma máquina de estado específica. Essas operações de API requerem o nome do recurso da Amazon (ARN) da máquina de estado como parte da solicitação, como DeleteStateMachine, DescribeStateMachine, StartExecution e ListExecutions.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"states:DescribeStateMachine",
"states:StartExecution",
"states:DeleteStateMachine",
"states:ListExecutions",
"states:UpdateStateMachine",
"states:TestState",
"states:RevealSecrets"
],
"Resource": [
"arn:aws:states:*:*:stateMachine:StateMachinePrefix*"
]
}
]
}Permissões no nível da execução
Esse nível de permissão se aplica a todas as ações de API que atuam em uma execução específica. Essas operações de API exigem o ARN da execução como parte da solicitação, como DescribeExecution, GetExecutionHistory e StopExecution.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"states:DescribeExecution",
"states:DescribeStateMachineForExecution",
"states:GetExecutionHistory",
"states:StopExecution"
],
"Resource": [
"arn:aws:states:*:*:execution:*:ExecutionPrefix*"
]
}
]
}Permissões no nível da atividade
Esse nível de permissão se aplica a todas as ações de API que atuam em uma atividade específica ou em uma determinada instância dela. Essas operações de API exigem o ARN da atividade ou o token da instância como parte da solicitação, como DeleteActivity, DescribeActivity, GetActivityTask e SendTaskHeartbeat.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"states:DescribeActivity",
"states:DeleteActivity",
"states:GetActivityTask",
"states:SendTaskHeartbeat"
],
"Resource": [
"arn:aws:states:*:*:activity:ActivityPrefix*"
]
}
]
}