本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
基本原則
Amazon SWF 存取控制主要以兩種類型的權限為基礎:
-
資源許可:使用者可以存取哪些 Amazon SWF 資源。
您只可以表達網域的資源許可。
-
API 權限:使用者可以呼叫哪些 Amazon SWF 動作。
最簡單的方法是授予完整帳戶存取權限 (呼叫任何網域中的任何 Amazon SWF 動作),或是完全拒絕存取。不過,IAM 支援更精細的存取控制方法,通常更有用。例如,您可以:
-
允許使用者不受限制地呼叫任何 Amazon SWF 動作,但只能在指定的網域中呼叫。您可以使用這類政策允許正在開發的工作流程應用程式使用任何動作,但僅限「沙盒」網域。
-
允許使用者存取任何網域,但限制使用者使用 API 的方式。您可以使用這類政策允許「稽核員」應用程式呼叫任何網域中的 API,但僅允許讀取存取。
-
允許使用者在特定網域中只呼叫一組有限的動作。您可以使用這類政策允許工作流程啟動者在指定的網域中僅呼叫
StartWorkflowExecution動作。
Amazon SWF 存取控制是以下列原則為基礎:
-
存取控制決策僅根據 IAM 政策;所有政策稽核和操作都是透過 IAM 完成。
-
存取控制模型使用 deny-by-default 原則;任何未明確允許的存取都會遭到拒絕。
-
您可以將適當的 IAM 政策附加到工作流程的參與者,以控制對 Amazon SWF 資源的存取。
-
僅能表達網域的資源許可。
-
您可以將條件套用至一或多個參數,從而進一步限制部分動作的使用。
-
如果您授與使用權限 RespondDecisionTaskCompleted,則可以對該動作中包含的決策清單表示權限。
每個決策都會有一或多個參數,有如一般的 API 呼叫。若要允許政策更易讀取,您可以表達決策的許可,有如實際 API 呼叫一樣,包含將條件套用至一些參數。這些類型的許可稱為「虛擬 API」許可。
如需可使用條件限制之一般和虛擬 API 參數的摘要,請參閱「API 摘要」。
