Sobre perfis gerados automaticamente Gerar perfis automaticamente Resolver problemas de geração de perfis Função para testar HTTP tarefas no Workflow Studio Perfil para testar uma integração de serviços otimizada no Workflow Studio Função para testar uma integração AWS SDK de serviços no Workflow Studio Perfil para testar estados de fluxo no Workflow Studio

Configure funções de execução com o Workflow Studio em Step Functions

Você pode usar o Workflow Studio para configurar funções de execução para seus fluxos de trabalho. Cada máquina de Step Functions estado requer uma função AWS Identity and Access Management (IAM) que concede à máquina de estado permissão para executar ações Serviços da AWS e recursos ou chamar terceirosAPIs. Esse perfil é chamado de perfil de execução.

A função de execução deve conter IAM políticas para cada ação, por exemplo, políticas que permitam que a máquina de estado invoque uma AWS Lambda função, execute um AWS Batch trabalho ou chame o API Stripe. Step Functionsexige que você forneça uma função de execução nos seguintes casos:

Você cria uma máquina de estado no console AWS SDKs ou AWS CLI usando CreateStateMachineAPIo.
Você testa um estado no console AWS SDKs,, ou AWS CLI usando TestStateAPIo.

Tópicos

Sobre perfis gerados automaticamente
Gerar perfis automaticamente
Resolver problemas de geração de perfis
Função para testar HTTP tarefas no Workflow Studio
Perfil para testar uma integração de serviços otimizada no Workflow Studio
Função para testar uma integração AWS SDK de serviços no Workflow Studio
Perfil para testar estados de fluxo no Workflow Studio

Sobre perfis gerados automaticamente

Quando você cria uma máquina de estado no console do Step Functions, o Workflow Studio pode criar automaticamente um perfil de execução para você que contém as políticas do IAM necessárias. O Workflow Studio analisa a definição de máquina de estado e gera políticas com os privilégios mínimos necessários para executar o fluxo de trabalho.

O Workflow Studio pode gerar políticas do IAM para o seguinte:

HTTPTarefas que chamam terceirosAPIs.
Estados de tarefas que chamam outras pessoas Serviços da AWS usando integrações otimizadas, como LambdaInvoke, DynamoDB GetItem, ou. AWS Glue StartJobRun
Estados de tarefas que executam fluxos de trabalho aninhados.
Estados de mapas distribuídos, incluindo políticas para iniciar execuções de fluxos de trabalho secundários, listar buckets do Amazon S3 e ler ou gravar objetos do S3.
Rastreamento do X-Ray. Cada perfil gerado automaticamente no Workflow Studio contém uma política que concede permissões para a máquina de estado enviar rastreamentos ao X-Ray.
Usando CloudWatch Logs para registrar o histórico de execução em Step Functions quando o registro em log está habilitado na máquina de estado.

O Workflow Studio não pode gerar IAM políticas para estados de tarefas que chamam outras pessoas Serviços da AWS usando AWS SDKintegrações.

Gerar perfis automaticamente

Abra o console do Step Functions e clique em Criar máquina de estado.

Também é possível atualizar uma máquina de estado existente. Consulte a Etapa 4 se você estiver atualizando uma máquina de estado.
Na caixa de diálogo Escolher um modelo, selecione Em branco.
Escolha Selecionar para abrir o Workflow Studio emModo de design.
Selecione a guia Config.
Role para baixo até a seção Permissões e faça o seguinte:
1. Em Perfil de execução, mantenha a seleção padrão de Criar perfil.
  
  O Workflow Studio gera automaticamente todas as políticas do IAM necessárias para cada estado válido na definição da máquina de estado. Ele exibe um banner com a mensagem: Um perfil de execução será criado com todas as permissões.
  
  dica
  Para revisar as permissões que o Workflow Studio vai gerar automaticamente para a máquina de estado, selecione Revisar permissões geradas automaticamente.
  
  nota
  Se você excluir a IAM função criada pelo Step Functions, o Step Functions não poderá recriá-la posteriormente. Da mesma forma, se você modificar a função (por exemplo, removendo Step Functions dos principais na IAM política), o Step Functions não poderá restaurar suas configurações originais posteriormente.
  
  Se o Workflow Studio não conseguir gerar todas as políticas do IAM necessárias, ele exibirá um banner com a mensagem Permissões para determinadas ações não podem ser geradas automaticamente. Um perfil do IAM será criado somente com permissões parciais. Para obter informações sobre como adicionar as permissões ausentes, consulte Resolver problemas de geração de perfis.
2. Selecione Criar se você estiver criando uma máquina de estado. Caso contrário, selecione Salvar.
3. Selecione Confirmar na caixa de diálogo exibida.
  
  O Workflow Studio salva a máquina de estado e cria o perfil de execução.

Resolver problemas de geração de perfis

O Workflow Studio não pode gerar automaticamente um perfil de execução com todas as permissões necessárias nos seguintes casos:

Há erros na máquina de estado. Assegure-se de resolver todos os erros de validação no Workflow Studio. Além disso, solucione todos os erros do servidor encontrados durante o salvamento.
Sua máquina de estado contém tarefas, use AWS SDK integrações. Nesse caso, o Workflow Studio não consegue gerar automaticamente políticas do IAM. O Workflow Studio exibe um banner com a mensagem: Permissões para determinadas ações não podem ser geradas automaticamente. Um perfil do IAM será criado somente com permissões parciais. Na tabela Revisar permissões geradas automaticamente, selecione o conteúdo em Status para obter mais informações sobre as políticas que faltam no perfil de execução. O Workflow Studio ainda pode gerar um perfil de execução, mas esse perfil não conterá políticas do IAM para todas as ações. Consulte os links em Links de documentação para criar as próprias políticas e adicioná-las ao perfil depois de gerado. Esses links estão disponíveis mesmo depois de salvar a máquina de estado.

Função para testar HTTP tarefas no Workflow Studio

Você precisa de uma função de execução para testar um estado de HTTP tarefa. Se você não tiver um perfil com permissões suficientes, use uma das seguintes opções para criar um perfil:

Gerar automaticamente um perfil com o Workflow Studio (recomendado): essa é a opção segura. Feche a caixa de diálogo Testar estado e siga as instruções em Gerar perfis automaticamente. Isso exigirá que você primeiro crie ou atualize a máquina de estado e depois volte ao Workflow Studio para testar o estado.
Use uma função com acesso de administrador — Se você tiver permissões para criar uma função com acesso total a todos os serviços e recursos do AWS, poderá usar essa função para testar qualquer tipo de estado em seu fluxo de trabalho. Para fazer isso, você pode criar uma função de Step Functions serviço e adicionar a AdministratorAccess política a ela no IAM console https://console.aws.amazon.com/iam/.

Perfil para testar uma integração de serviços otimizada no Workflow Studio

É necessário ter um perfil de execução para estados de Tarefa que chamam integrações de serviços otimizadas. Se você não tiver um perfil com permissões suficientes, use uma das seguintes opções para criar um perfil:

Gerar automaticamente um perfil com o Workflow Studio (recomendado): essa é a opção segura. Feche a caixa de diálogo Testar estado e siga as instruções em Gerar perfis automaticamente. Isso exigirá que você primeiro crie ou atualize a máquina de estado e depois volte ao Workflow Studio para testar o estado.
Use uma função com acesso de administrador — Se você tiver permissões para criar uma função com acesso total a todos os serviços e recursos do AWS, poderá usar essa função para testar qualquer tipo de estado em seu fluxo de trabalho. Para fazer isso, você pode criar uma função de Step Functions serviço e adicionar a AdministratorAccess política a ela no IAM console https://console.aws.amazon.com/iam/.

Função para testar uma integração AWS SDK de serviços no Workflow Studio

Você precisa de uma função de execução para estados de tarefas que chamam AWS SDKintegrações. Se você não tiver um perfil com permissões suficientes, use uma das seguintes opções para criar um perfil:

Gerar automaticamente um perfil com o Workflow Studio (recomendado): essa é a opção segura. Feche a caixa de diálogo Testar estado e siga as instruções em Gerar perfis automaticamente. Isso exigirá que você primeiro crie ou atualize a máquina de estado e depois volte ao Workflow Studio para testar o estado. Faça o seguinte:
1. Feche a caixa de diálogo Testar estado.
2. Selecione a guia Config para visualizar o modo Config.
3. Role para baixo até a seção Permissões.
4. O Workflow Studio exibe um banner com a mensagem: Permissões para determinadas ações não podem ser geradas automaticamente. Um perfil do IAM será criado somente com permissões parciais. Selecione Revisar permissões geradas automaticamente.
5. A tabela Revisar permissões geradas automaticamente exibe uma linha que mostra a ação correspondente ao estado da tarefa que você deseja testar. Consulte os links em Links de documentação para criar as próprias políticas do IAM em um perfil personalizado.
Use uma função com acesso de administrador — Se você tiver permissões para criar uma função com acesso total a todos os serviços e recursos do AWS, poderá usar essa função para testar qualquer tipo de estado em seu fluxo de trabalho. Para fazer isso, você pode criar uma função de Step Functions serviço e adicionar a AdministratorAccess política a ela no IAM console https://console.aws.amazon.com/iam/.

Perfil para testar estados de fluxo no Workflow Studio

É necessário ter um perfil de execução para testar os estados de fluxo no Workflow Studio. Os estados de fluxo são aqueles estados que direcionam o fluxo de execução, como Escolha o estado do fluxo de trabalho, Estado do fluxo de trabalho paralelo, Mapear estado do fluxo de trabalho, Passar estado do fluxo de trabalho, Aguardar estado do fluxo de trabalho, Estado bem-sucedido do fluxo de trabalho ou Estado de falha do fluxo de trabalho. Não TestStateAPIfunciona com estados Map ou Parallel. Use uma das seguintes opções para criar um perfil para testar um estado do fluxo:

Use qualquer função em seu Conta da AWS (recomendado) — Os estados de fluxo não exigem nenhuma IAM política específica, porque eles não chamam AWS ações ou recursos. Portanto, você pode usar qualquer IAM função em seu Conta da AWS.
1. Na caixa de diálogo Testar estado, selecione qualquer perfil na lista suspensa Perfil de execução.
2. Se nenhum perfil aparecer na lista suspensa, faça o seguinte:
  1. No IAM console https://console.aws.amazon.com/iam/, escolha Funções.
  2. Escolha uma função na lista e copie-a ARN da página de detalhes da função. Você precisará fornecer isso ARN na caixa de diálogo Estado do teste.
  3. Na caixa de diálogo Estado do teste, selecione Inserir uma função na ARN lista suspensa Função de execução.
  4. Cole a função ARN inARN.
Use uma função com acesso de administrador — Se você tiver permissões para criar uma função com acesso total a todos os serviços e recursos do AWS, poderá usar essa função para testar qualquer tipo de estado em seu fluxo de trabalho. Para fazer isso, você pode criar uma função de Step Functions serviço e adicionar a AdministratorAccess política a ela no IAM console https://console.aws.amazon.com/iam/.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Configurar entrada e saída

Configurar o tratamento de erros