Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Kontoübergreifender Zugriff auf das .sync-Integrationsmuster in Step Functions
Wenn Sie die .sync
Serviceintegrationsmuster in Ihren Workflows verwenden, fragt Step Functions die aufgerufene kontenübergreifende Ressource ab, um zu bestätigen, dass die Aufgabe abgeschlossen ist. Dies führt zu einer leichten Verzögerung zwischen der tatsächlichen Abschlusszeit der Aufgabe und dem Zeitpunkt, zu dem Step Functions die Aufgabe als abgeschlossen erkennt. Die IAM Zielrolle benötigt die erforderlichen Berechtigungen für einen .sync
Aufruf, um diese Abfrageschleife abzuschließen. Dazu muss die IAM Zielrolle über eine Vertrauensrichtlinie verfügen, die es dem Quellkonto ermöglicht, sie zu übernehmen. Darüber hinaus benötigt die IAM Zielrolle die erforderlichen Berechtigungen, um die Abfrageschleife abzuschließen.
Anmerkung
Für verschachtelte Express-Workflows wird dies derzeit arn:aws:states:::states:startExecution.sync
nicht unterstützt. Verwenden Sie stattdessen arn:aws:states:::aws-sdk:sfn:startSyncExecution
.
Aktualisierung der Vertrauensrichtlinie für .sync-Aufrufe
Aktualisieren Sie die Vertrauensrichtlinie Ihrer IAM Zielrolle, wie im folgenden Beispiel gezeigt. Das sts:ExternalId
Feld steuert außerdem, wer die Rolle übernehmen kann. Der Name der Zustandsmaschine darf nur Zeichen enthalten, die der Zustandsmaschine AWS Security Token Service AssumeRole
API unterstützt. Weitere Informationen finden Sie AssumeRolein der AWS Security Token Service APIReferenz.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Principal": { "AWS": "arn:aws:iam::
sourceAccountID
:role/InvokeRole
", }, "Condition": { "StringEquals": { "sts:ExternalId": "arn:aws:states:us-east-2:sourceAccountID
:stateMachine:stateMachineName
" } } } ] }
Für .sync-Aufrufe sind Berechtigungen erforderlich
Um die für Ihre Zustandsmaschine erforderlichen Berechtigungen zu gewähren, aktualisieren Sie die erforderlichen Berechtigungen für die IAM Zielrolle. Weitere Informationen finden Sie unter So generiert Step Functions IAM Richtlinien für integrierte Dienste. Die EventBridge Amazon-Berechtigungen aus den Beispielrichtlinien sind nicht erforderlich. Um beispielsweise eine Zustandsmaschine zu starten, fügen Sie die folgenden Berechtigungen hinzu.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:StartExecution" ], "Resource": [ "arn:aws:states:
region
:accountID
:stateMachine:stateMachineName
" ] }, { "Effect": "Allow", "Action": [ "states:DescribeExecution", "states:StopExecution" ], "Resource": [ "arn:aws:states:region
:accountID
:execution:stateMachineName
:*" ] } ] }