Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellung detaillierter Berechtigungen für Benutzer ohne Administratorrechte in Step Functions

Die standardmäßigen verwalteten Richtlinien inIAM, wie z. B.ReadOnly, decken nicht alle Arten von AWS Step Functions Berechtigungen. In diesem Abschnitt werden diese verschiedenen Arten von Berechtigungen beschrieben und Beispielkonfigurationen bereitgestellt.

Step Functions hat vier Kategorien von Berechtigungen. Je nach der Art des Zugriffs, den Sie einem Benutzer bereitstellen möchten, können Sie den Zugriff anhand der Berechtigungen in diesen Kategorien steuern.

Service Level-Berechtigungen

Diese Berechtigungsstufe gilt für alle API Aktionen, die sich nicht auf eine bestimmte Ressource auswirken. Dazu gehörenCreateStateMachine, CreateActivityListStateMachines,ListActivities, undValidationStateMachineDefinition.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:ListStateMachines",
        "states:ListActivities",
        "states:CreateStateMachine",
        "states:CreateActivity",
        "states:ValidationStateMachineDefinition", 
      ],
      "Resource": [ 
        "arn:aws:states:*:*:*" 
      ]
    },
    {
      "Effect": "Allow",
      "Action": [ 
        "iam:PassRole"
      ],
      "Resource": [
        "arn:aws:iam:::role/my-execution-role"
      ]
    }
  ]
}

Berechtigungen auf Stufe des Zustandsautomaten

Diese Berechtigungsstufe gilt für alle API Aktionen, die sich auf eine bestimmte Zustandsmaschine auswirken. Für diese API Operationen ist der Amazon-Ressourcenname (ARN) der Zustandsmaschine als Teil der Anforderung erforderlich, z. B. DeleteStateMachineDescribeStateMachine,StartExecution, undListExecutions.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeStateMachine",
        "states:StartExecution",
        "states:DeleteStateMachine",
        "states:ListExecutions",
        "states:UpdateStateMachine",
        "states:TestState",
        "states:RevealSecrets"
      ],
      "Resource": [ 
        "arn:aws:states:*:*:stateMachine:StateMachinePrefix*" 
      ]
    }
  ]
}

Berechtigungen auf Ausführungsebene

Diese Berechtigungsstufe gilt für alle API Aktionen, die bei einer bestimmten Ausführung ausgeführt werden. Diese API Operationen erfordern ARN die Ausführung als Teil der Anforderung, wie DescribeExecutionGetExecutionHistory, undStopExecution.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeExecution",
        "states:DescribeStateMachineForExecution",
        "states:GetExecutionHistory",
        "states:StopExecution"
      ],
      "Resource": [ 
        "arn:aws:states:*:*:execution:*:ExecutionPrefix*"
      ]
    }
  ]
}

Berechtigungen auf Aktivitätsebene

Diese Berechtigungsstufe gilt für alle API Aktionen, die sich auf eine bestimmte Aktivität oder eine bestimmte Instanz davon auswirken. Für diese API Operationen ist die Angabe ARN der Aktivität oder des Tokens der Instanz als Teil der Anforderung erforderlich, z. B. DeleteActivityDescribeActivity,GetActivityTask, undSendTaskHeartbeat.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeActivity",
        "states:DeleteActivity",
        "states:GetActivityTask",
        "states:SendTaskHeartbeat"
      ],
      "Resource": [
        "arn:aws:states:*:*:activity:ActivityPrefix*"
      ]
    }
  ]
}