Kontoübergreifender Zugriff auf das .sync-Integrationsmuster in Step Functions - AWS Step Functions
Aktualisierung der Vertrauensrichtlinie für .sync-AufrufeFür .sync-Aufrufe sind Berechtigungen erforderlich

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kontoübergreifender Zugriff auf das .sync-Integrationsmuster in Step Functions

Wenn Sie die .sync Serviceintegrationsmuster in Ihren Workflows verwenden, fragt Step Functions die aufgerufene kontenübergreifende Ressource ab, um zu bestätigen, dass die Aufgabe abgeschlossen ist. Dies führt zu einer leichten Verzögerung zwischen der tatsächlichen Abschlusszeit der Aufgabe und dem Zeitpunkt, zu dem Step Functions die Aufgabe als abgeschlossen erkennt. Die IAM Zielrolle benötigt die erforderlichen Berechtigungen für einen .sync Aufruf, um diese Abfrageschleife abzuschließen. Dazu muss die IAM Zielrolle über eine Vertrauensrichtlinie verfügen, die es dem Quellkonto ermöglicht, sie zu übernehmen. Darüber hinaus benötigt die IAM Zielrolle die erforderlichen Berechtigungen, um die Abfrageschleife abzuschließen.

Anmerkung

Für verschachtelte Express-Workflows wird dies derzeit arn:aws:states:::states:startExecution.sync nicht unterstützt. Verwenden Sie stattdessen arn:aws:states:::aws-sdk:sfn:startSyncExecution.

Aktualisierung der Vertrauensrichtlinie für .sync-Aufrufe

Aktualisieren Sie die Vertrauensrichtlinie Ihrer IAM Zielrolle, wie im folgenden Beispiel gezeigt. Das sts:ExternalId Feld steuert außerdem, wer die Rolle übernehmen kann. Der Name der Zustandsmaschine darf nur Zeichen enthalten, die der Zustandsmaschine AWS Security Token Service AssumeRole API unterstützt. Weitere Informationen finden Sie AssumeRolein der AWS Security Token Service APIReferenz.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Principal": {
        "AWS": "arn:aws:iam::sourceAccountID:role/InvokeRole",
      },
      "Condition": {
        "StringEquals": {
          "sts:ExternalId": "arn:aws:states:us-east-2:sourceAccountID:stateMachine:stateMachineName"
        }
      }
    }
  ]
}

Für .sync-Aufrufe sind Berechtigungen erforderlich

Um die für Ihre Zustandsmaschine erforderlichen Berechtigungen zu gewähren, aktualisieren Sie die erforderlichen Berechtigungen für die IAM Zielrolle. Weitere Informationen finden Sie unter So generiert Step Functions IAM Richtlinien für integrierte Dienste. Die EventBridge Amazon-Berechtigungen aus den Beispielrichtlinien sind nicht erforderlich. Um beispielsweise eine Zustandsmaschine zu starten, fügen Sie die folgenden Berechtigungen hinzu.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:StartExecution"
      ],
      "Resource": [
        "arn:aws:states:region:accountID:stateMachine:stateMachineName"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeExecution",
        "states:StopExecution"
      ],
      "Resource": [
        "arn:aws:states:region:accountID:execution:stateMachineName:*"
      ]
    }
  ]
}