Grundlegende Prinzipien - Amazon Simple Workflow Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegende Prinzipien

Die SWF Zugriffskontrolle von Amazon basiert hauptsächlich auf zwei Arten von Berechtigungen:

  • Ressourcenberechtigungen: Auf welche SWF Amazon-Ressourcen ein Benutzer zugreifen kann.

    Sie können Ressourcenberechtigungen nur für Domänen erteilen.

  • APIBerechtigungen: Welche SWF Amazon-Aktionen ein Benutzer aufrufen kann.

Die einfachste Methode besteht darin, vollen Kontozugriff zu gewähren — jede SWF Amazon-Aktion in einer beliebigen Domain aufzurufen — oder den Zugriff ganz zu verweigern. IAMUnterstützt jedoch einen detaillierteren Ansatz zur Zugriffskontrolle, der oft nützlicher ist. So können Sie beispielsweise:

  • Erlauben Sie einem Benutzer, jede SWF Amazon-Aktion ohne Einschränkungen aufzurufen, jedoch nur in einer bestimmten Domain. Solch eine Richtlinie eignet sich, um Workflow-Anwendungen, die sich noch in der Entwicklung befinden, die Möglichkeit zu bieten, alle Aktionen zu verwenden, allerdings nur in einer "Sandbox"-Domäne.

  • Erlauben Sie einem Benutzer den Zugriff auf eine beliebige Domain, schränken Sie jedoch deren Nutzung ein. API Sie könnten eine solche Richtlinie verwenden, um einer „Auditor“ -Anwendung zu gestatten, den API in einer beliebigen Domäne aufzurufen, aber nur Lesezugriff zu gewähren.

  • einem Benutzer die Berechtigung erteilen, eine begrenzte Anzahl an Aktionen in bestimmten Domänen aufzurufen. Solch eine Richtlinie eignet sich, um einem Workflow-Starter die Berechtigung zu erteilen, nur die StartWorkflowExecution-Aktion in einer bestimmten Domäne aufzurufen.

Die SWF Zugriffskontrolle von Amazon basiert auf den folgenden Prinzipien:

  • Entscheidungen zur Zugriffskontrolle basieren ausschließlich auf IAM Richtlinien. Alle Richtlinien werden überprüft und manipuliertIAM.

  • Das Zugriffskontrollmodell verwendet eine deny-by-default Richtlinie. Jeder Zugriff, der nicht ausdrücklich erlaubt ist, wird verweigert.

  • Sie kontrollieren den Zugriff auf SWF Amazon-Ressourcen, indem Sie den Akteuren des Workflows entsprechende IAM Richtlinien zuordnen.

  • Ressourcenberechtigungen können nur für Domänen erteilt werden.

  • Sie können die Verwendung für einige Aktionen weiter einschränken, indem Sie einem oder mehreren Parametern Bedingungen hinzufügen.

  • Wenn Sie die Erlaubnis zur Nutzung erteilen RespondDecisionTaskCompleted, können Sie für die Liste der Entscheidungen, die in dieser Aktion enthalten sind, entsprechende Genehmigungen erteilen.

    Jede der Entscheidungen hat einen oder mehrere Parameter, ähnlich wie bei einem normalen API Aufruf. Um sicherzustellen, dass Richtlinien so lesbar wie möglich sind, können Sie Berechtigungen für Entscheidungen so ausdrücken, als ob es sich um tatsächliche API Aufrufe handeln würde, einschließlich der Anwendung von Bedingungen auf einige Parameter. Diese Arten von Berechtigungen werden als APIPseudoberechtigungen bezeichnet.

Eine Zusammenfassung darüber, welche regulären Parameter und API Pseudo-Parameter mithilfe von Bedingungen eingeschränkt werden können, finden Sie unter. APIZusammenfassung