Criação de VPC endpoints da Amazon para Step Functions - AWS Step Functions

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criação de VPC endpoints da Amazon para Step Functions

Se você usa a Amazon Virtual Private Cloud (AmazonVPC) para hospedar seus AWS recursos, você pode estabelecer uma conexão entre a Amazon VPC e os AWS Step Functions fluxos de trabalho. É possível usar essa conexão com seus fluxos de trabalho do Step Functions sem passar pela internet pública. Os VPC endpoints da Amazon são compatíveis com fluxos de trabalho padrão, fluxos de trabalho expressos e fluxos de trabalho expressos síncronos.

A Amazon VPC permite que você lance AWS recursos em uma rede virtual personalizada. Você pode usar a VPC para controlar suas configurações de rede, como o intervalo de endereços IP, sub-redes, tabelas de rotas e gateways de rede. Para obter mais informações sobreVPCs, consulte o Guia VPC do usuário da Amazon.

Para conectar seu Amazon VPC ao Step Functions, você deve primeiro definir um VPCendpoint de interface, que permite conectá-lo VPC a outros AWS serviços. O endpoint fornece conectividade confiável e escalável, sem exigir um gateway de internet, instância de conversão de endereço de rede (NAT) ou VPN conexão. Para obter mais informações, consulte Interface VPC Endpoints (AWS PrivateLink) no Guia do VPC usuário da Amazon.

Criação do endpoint

Você pode criar um AWS Step Functions endpoint no seu VPC usando o AWS Management Console, the AWS Command Line Interface (AWS CLI), an AWS SDK AWS Step Functions API, the ou AWS CloudFormation.

Para obter informações sobre como criar e configurar um endpoint usando o VPC console da Amazon ou o AWS CLI, consulte Criação de um endpoint de interface no Guia do usuário da Amazon VPC.

nota

Ao criar um endpoint, especifique Step Functions como o serviço ao qual você VPC deseja se conectar. No VPC console da Amazon, os nomes dos serviços variam de acordo com a AWS região. Por exemplo, se você escolher Leste dos EUA (Norte da Virgínia), o nome do serviço para fluxos de trabalho padrão e expressos será com.amazonaws.us-east-1.states, e o nome do serviço para fluxos de trabalho expressos síncronos será com.amazonaws.us-east-1.sync-states.

nota

É possível usar VPC Endpoints sem substituir o endpoint por meio de Private. SDK DNS No entanto, se você quiser substituir o endpoint no SDK for Synchronous Express Workflows, você precisará definir a configuração como. DisableHostPrefixInjection true Exemplo (Java SDK V2):

SfnClient.builder() .endpointOverride(URI.create("https://vpce-{vpceId}.sync-states.us-east-1.vpce.amazonaws.com")) .overrideConfiguration(ClientOverrideConfiguration.builder() .advancedOptions(ImmutableMap.of(SdkAdvancedClientOption.DISABLE_HOST_PREFIX_INJECTION, true)) .build()) .build();

Para obter informações sobre como criar e configurar um endpoint usando AWS CloudFormation, consulte o VPCEndpoint recurso AWS::EC2:: no Guia do AWS CloudFormation usuário.

Políticas de VPC endpoint da Amazon

Para controlar o acesso de conectividade ao Step Functions, você pode anexar uma política de endpoint AWS Identity and Access Management (IAM) ao criar um VPC endpoint da Amazon. Você pode criar IAM regras complexas anexando várias políticas de endpoint. Para obter mais informações, consulte:

Políticas de endpoint da Amazon Virtual Private Cloud para o Step Functions

Você pode criar uma política de VPC endpoint da Amazon para Step Functions na qual você especifica o seguinte:

  • A entidade principal que pode executar ações.

  • As ações que podem ser executadas.

  • Os recursos nos quais as ações podem ser executadas.

O exemplo a seguir mostra uma política de VPC endpoint da Amazon que permite que um usuário crie máquinas de estado e nega a permissão de todos os outros usuários para excluir máquinas de estado. A política de exemplo também concede permissão de execução a todos os usuários do .

{ "Version": "2012-10-17", "Statement": [ { "Action": "*Execution", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Action": "states:CreateStateMachine", "Resource": "*", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:user/MyUser" } }, { "Action": "states:DeleteStateMachine", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] }

Para obter mais informações sobre como criar políticas de endpoint, consulte o seguinte: