Aktionen, Ressourcen und Bedingungsschlüssel für AWS Step Functions - Service-Authorization-Referenz

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktionen, Ressourcen und Bedingungsschlüssel für AWS Step Functions

AWS Step Functions (Dienstpräfix:states) stellt die folgenden dienstspezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel zur Verwendung in IAM Berechtigungsrichtlinien bereit.

Referenzen:

Von AWS Step Functions definierte Aktionen

Sie können die folgenden Aktionen im Action Element einer IAM Richtlinienerklärung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, gewähren oder verweigern Sie normalerweise den Zugriff auf den API Vorgang oder CLI Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen.

Die Spalte Resource types (Ressourcentypen) der Aktionstabelle gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn es keinen Wert für diese Spalte gibt, müssen Sie alle Ressourcen ("*") im Element Resource Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie in ARN einer Anweisung mit dieser Aktion einen Ressourcentyp angeben. Wenn für die Aktion eine oder mehrere Ressourcen erforderlich sind, muss der Aufrufer die Erlaubnis haben, die Aktion mit diesen Ressourcen zu verwenden. Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie den Ressourcenzugriff mit dem Resource Element in einer IAM Richtlinie einschränken, müssen Sie für jeden erforderlichen Ressourcentyp ein ARN Oder-Muster angeben. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen der optionalen Ressourcentypen entscheiden.

Die Spalte Bedingungsschlüssel der Tabelle der Aktionen enthält Schlüssel, die Sie im Element Condition einer Richtlinienanweisung angeben können. Weitere Informationen zu den Bedingungsschlüsseln, die den Ressourcen für den Service zugeordnet sind, finden Sie in der Spalte Bedingungsschlüssel der Tabelle der Ressourcentypen.

Anmerkung

Die Ressourcenbedingungsschlüssel sind in der Tabelle Ressourcentypen enthalten. Sie finden einen Link zu dem Ressourcentyp, der für eine Aktion gilt, in der Spalte Ressourcentypen (*erforderlich) der Tabelle „Aktionen“. Der Ressourcentyp in der Tabelle „Ressourcentypen“ enthält die Spalte Bedingungsschlüssel. Das sind die Ressourcenbedingungsschlüssel, die für eine Aktion in der Tabelle „Aktionen“ gelten.

Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Aktionen

Aktionen Beschreibung Zugriffsebene Ressourcentypen (*erforderlich) Bedingungsschlüssel Abhängige Aktionen
CreateActivity Gewährt die Berechtigung zum Erstellen einer Aktivität Write

activity*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateStateMachine Gewährt die Berechtigung zum Erstellen eines Zustandsautomaten Schreiben

statemachine*

iam:PassRole

states:PublishStateMachineVersion

aws:RequestTag/${TagKey}

aws:TagKeys

CreateStateMachineAlias Gewährt die Berechtigung, einen Zustandsautomaten-Alias zu erstellen Schreiben

statemachine*

states:StateMachineQualifier

DeleteActivity Gewährt die Berechtigung zum Löschen einer Aktivität Write

activity*

DeleteStateMachine Gewährt die Berechtigung zum Löschen eines Zustandsautomaten Schreiben

statemachine*

DeleteStateMachineAlias Gewährt die Berechtigung, einen Zustandsautomaten-Alias zu löschen Schreiben

statemachine*

states:StateMachineQualifier

DeleteStateMachineVersion Gewährt die Berechtigung, eine Zustandsautomaten-Version zu löschen Schreiben

statemachine*

states:StateMachineQualifier

DescribeActivity Gewährt die Berechtigung zum Beschreiben einer Aktivität Lesen

activity*

DescribeExecution Gewährt die Berechtigung zum Beschreiben einer Ausführung Lesen

execution*

express*

DescribeMapRun Gewährt die Berechtigung zum Beschreiben einer Zuordnungsausführung Lesen

maprun*

DescribeStateMachine Gewährt die Berechtigung zum Beschreiben eines Zustandsautomaten Lesen

statemachine*

states:StateMachineQualifier

DescribeStateMachineAlias Gewährt die Berechtigung, einen Zustandsautomaten-Alias zu beschreiben Lesen

statemachine*

states:StateMachineQualifier

DescribeStateMachineForExecution Gewährt die Berechtigung zum Beschreiben des Zustandsautomaten für eine Ausführung Lesen

execution*

GetActivityTask Gewährt Mitarbeitern die Erlaubnis, eine Aufgabe (mit der angegebenen AktivitätARN) abzurufen, deren Ausführung durch einen laufenden Zustandsmaschine geplant wurde Schreiben

activity*

GetExecutionHistory Gewährt die Berechtigung, den Verlauf der angegebenen Ausführung als Liste von Ereignissen zurückzugeben Lesen

execution*

InvokeHTTPEndpoint [nur Berechtigung] Erteilt die Berechtigung zum Aufrufen des HTTP Task-Status Schreiben
ListActivities Gewährt die Berechtigung zum Auflisten der vorhandenen Aktivitäten List
ListExecutions Gewährt die Berechtigung zum Auflisten der Ausführungen eines Zustandsautomaten Auflisten

maprun*

statemachine*

states:StateMachineQualifier

ListMapRuns Gewährt die Berechtigung zum Auflisten der Zuordnungsausführungen einer Ausführung Auflisten

execution*

ListStateMachineAliases Gewährt die Berechtigung, die Aliasse eines Zustandsautomaten aufzulisten Auflisten

statemachine*

states:StateMachineQualifier

ListStateMachineVersions Gewährt die Berechtigung, die Versionen eines Zustandsautomaten aufzulisten Auflisten

statemachine*

ListStateMachines Gewährt die Berechtigung zum Auflisten der vorhandenen Zustandsautomaten Auflisten
ListTagsForResource Erteilt die Berechtigung, Tags für eine AWS Step Functions Functions-Ressource aufzulisten Auflisten

activity

statemachine

PublishStateMachineVersion Gewährt die Berechtigung, eine Zustandsautomaten-Version zu veröffentlichen Schreiben

statemachine*

RedriveExecution Gewährt die Berechtigung zum Neuauffahren einer Ausführung Schreiben

execution*

RevealSecrets [nur Berechtigung] Gewährt die Berechtigung, vertrauliche Daten aus einer Ausführung preiszugeben Lesen
SendTaskFailure Erteilt die Berechtigung, zu melden, dass die durch den Befehl identifizierte Aufgabe taskToken fehlgeschlagen ist Schreiben
SendTaskHeartbeat Erteilt die Berechtigung, dem Dienst zu melden, dass die Aufgabe, die durch die angegebene Aufgabe repräsentiert taskToken wird, noch Fortschritte macht Schreiben
SendTaskSuccess Erteilt die Berechtigung, zu melden, dass die durch den Task identifizierte Aufgabe erfolgreich taskToken abgeschlossen wurde Schreiben
StartExecution Gewährt die Berechtigung, die Ausführung eines Zustandsautomaten zu starten Write

statemachine*

states:StateMachineQualifier

StartSyncExecution Gewährt die Berechtigung, die Ausführung eines Synchronous-Express-Zustandsautomaten zu starten Write

statemachine*

states:StateMachineQualifier

StopExecution Gewährt die Berechtigung zum Stoppen einer Ausführung Schreiben

execution*

TagResource Erteilt die Berechtigung, eine AWS Step Functions Functions-Ressource zu taggen Tagging

activity

statemachine

aws:TagKeys

aws:RequestTag/${TagKey}

TestState Gewährt die Berechtigung zum Testen eine Zustandsautomaten-Definition Schreiben

states:RevealSecrets

UntagResource Erteilt die Berechtigung, ein Tag aus einer AWS Step Functions Functions-Ressource zu entfernen Tagging

activity

statemachine

aws:TagKeys

UpdateMapRun Gewährt die Berechtigung zum Aktualisieren einer Zuordnungsausführung Schreiben

maprun*

UpdateStateMachine Gewährt die Berechtigung zum Aktualisieren eines Zustandsautomaten Schreiben

statemachine*

iam:PassRole

states:PublishStateMachineVersion

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateStateMachineAlias Gewährt die Berechtigung, einen Zustandsautomaten-Alias zu aktualisieren Schreiben

statemachine*

states:StateMachineQualifier

ValidateStateMachineDefinition Erteilt die Berechtigung zur Validierung einer State-Machine-Definition Lesen

Von AWS Step Functions definierte Ressourcentypen

Die folgenden Ressourcentypen werden von diesem Dienst definiert und können als Resource Element von IAM Berechtigungsrichtlinienanweisungen verwendet werden. Jede Aktion in der Tabelle Aktionen identifiziert die Ressourcentypen, die mit der Aktion angegeben werden können. Ein Ressourcentyp kann auch definieren, welche Bedingungsschlüssel Sie in einer Richtlinie einschließen können. Diese Schlüssel werden in der letzten Spalte der Tabelle der Ressourcentypen angezeigt. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Resource types.

Ressourcentypen ARN Bedingungsschlüssel
activity arn:${Partition}:states:${Region}:${Account}:activity:${ActivityName}

aws:ResourceTag/${TagKey}

execution arn:${Partition}:states:${Region}:${Account}:execution:${StateMachineName}:${ExecutionId}

aws:ResourceTag/${TagKey}

express arn:${Partition}:states:${Region}:${Account}:express:${StateMachineName}:${ExecutionId}:${ExpressId}
statemachine arn:${Partition}:states:${Region}:${Account}:stateMachine:${StateMachineName}

aws:ResourceTag/${TagKey}

statemachineversion arn:${Partition}:states:${Region}:${Account}:stateMachine:${StateMachineName}:${StateMachineVersionId}
statemachinealias arn:${Partition}:states:${Region}:${Account}:stateMachine:${StateMachineName}:${StateMachineAliasName}
maprun arn:${Partition}:states:${Region}:${Account}:mapRun:${StateMachineName}/${MapRunLabel}:${MapRunId}
labelled execution arn:${Partition}:states:${Region}:${Account}:execution:${StateMachineName}/${MapRunLabel}:${ExecutionId}
labelled express arn:${Partition}:states:${Region}:${Account}:express:${StateMachineName}/${MapRunLabel}:${ExecutionId}:${ExpressId}

Bedingungsschlüssel für AWS Step Functions

AWS Step Functions definiert die folgenden Bedingungsschlüssel, die im Condition Element einer IAM Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Condition keys (Bedingungsschlüssel).

Eine Liste der globalen Bedingungsschlüssel, die für alle Services verfügbar sind, finden Sie unter Verfügbare globale Bedingungsschlüssel.

Bedingungsschlüssel Beschreibung Typ
aws:RequestTag/${TagKey} Filtert den Zugriff nach Tag-Schlüssel-Wertepaaren, die in der Anforderung zulässig sind Zeichenfolge
aws:ResourceTag/${TagKey} Filtert den Zugriff nach Tag-Schlüssel-Wert-Paar einer Ressource Zeichenfolge
aws:TagKeys Filtert den Zugriff nach Liste von Tag-Schlüsseln, die in der Anforderung zulässig sind ArrayOfString
states:HTTPEndpoint Filtert den Zugriff nach dem Endpunkt, den der HTTP Task-Status in der Anfrage zulässt String
states:HTTPMethod Filtert den Zugriff nach der Methode, die der HTTP Task-Status in der Anfrage zulässt String
states:StateMachineQualifier Filtert den Zugriff nach dem Qualifier einer Zustandsmaschine ARN ArrayOfString