Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Richten Sie Ausführungsrollen mit Workflow Studio in Step Functions ein
Sie können Workflow Studio verwenden, um Ausführungsrollen für Ihre Workflows einzurichten. Jeder Step Functions Zustandsmaschine benötigt eine AWS Identity and Access Management (IAM) -Rolle, die der Zustandsmaschine die Berechtigung erteilt, Aktionen an AWS -Services Ressourcen auszuführen oder Drittanbieter aufzurufenAPIs. Diese Rolle wird als Ausführungsrolle bezeichnet.
Die Ausführungsrolle muss IAM Richtlinien für jede Aktion enthalten, z. B. Richtlinien, die es der Zustandsmaschine ermöglichen, eine AWS Lambda Funktion aufzurufen, einen AWS Batch Job auszuführen oder Stripe API aufzurufen. Step Functionserfordert in den folgenden Fällen, dass Sie eine Ausführungsrolle angeben:
-
Sie erstellen eine Zustandsmaschine in der Konsole AWS SDKs oder AWS CLI mit dem CreateStateMachineAPI.
-
Sie testen einen Status in der Konsole oder AWS CLI mit dem TestStateAPI. AWS SDKs
Themen
- Über automatisch generierte Rollen
- Automatisches Generieren von Rollen
- Probleme bei der Rollengenerierung lösen
- Rolle zum Testen von HTTP Aufgaben in Workflow Studio
- Rolle zum Testen einer optimierten Serviceintegration in Workflow Studio
- Rolle zum Testen einer AWS SDK Serviceintegration in Workflow Studio
- Rolle zum Testen von Ablaufzuständen in Workflow Studio
Über automatisch generierte Rollen
Wenn Sie in der Step Functions Konsole eine Zustandsmaschine erstellen, kann Workflow Studio automatisch eine Ausführungsrolle für Sie erstellen, die die erforderlichen IAM Richtlinien enthält. Workflow Studio analysiert Ihre State-Machine-Definition und generiert Richtlinien mit den geringsten Rechten, die zur Ausführung Ihres Workflows erforderlich sind.
Workflow Studio kann IAM Richtlinien für Folgendes generieren:
-
HTTPAufgaben, die Drittanbieter aufrufenAPIs.
-
Aufgabenstatus, bei denen andere Benutzer AWS -Services mithilfe optimierter Integrationen wie LambdaInvoke DynamoDB GetItem, oder aufgerufen werden. AWS Glue StartJobRun
-
Status verteilter Karten, einschließlich Richtlinien zum Starten untergeordneter Workflow-Ausführungen, zum Auflisten von Amazon S3 Buckets und zum Lesen oder Schreiben von S3-Objekten.
-
X-RayAblaufverfolgung. Jede Rolle, die in Workflow Studio automatisch generiert wird, enthält eine Richtlinie, die dem Zustandsmaschine Berechtigungen zum Senden von Traces erteilt. X-Ray
-
Verwendung von CloudWatch Logs zur Protokollierung des Ausführungsverlaufs in Step Functionswenn die Protokollierung auf der Zustandsmaschine aktiviert ist.
Workflow Studio kann keine IAM Richtlinien für Task-Status generieren, die AWS -Services mithilfe von AWS SDKIntegrationen andere aufrufen.
Automatisches Generieren von Rollen
-
Öffnen Sie die Step Functions Functions-Konsole
und wählen Sie Create State Machine. Sie können auch eine vorhandene Zustandsmaschine aktualisieren. Lesen Sie Schritt 4, wenn Sie eine Zustandsmaschine aktualisieren.
-
Wählen Sie im Dialogfeld Vorlage auswählen die Option Leer aus.
-
Wählen Sie „Auswählen“, um Workflow Studio in zu öffnenEntwurfsmodus.
-
Wählen Sie den Tab Config.
-
Scrollen Sie nach unten zum Abschnitt „Berechtigungen“ und gehen Sie wie folgt vor:
-
Stellen Sie sicher, dass Sie für die Ausführungsrolle die Standardauswahl Neue Rolle erstellen beibehalten.
Workflow Studio generiert automatisch alle erforderlichen IAM Richtlinien für jeden gültigen Status in Ihrer Zustandsmaschinen-Definition. Es zeigt ein Banner mit der Nachricht an: Eine Ausführungsrolle wird mit vollen Rechten erstellt.
Tipp
Um die Berechtigungen zu überprüfen, die Workflow Studio automatisch für Ihren Zustandsmaschine generiert, wählen Sie Automatisch generierte Berechtigungen überprüfen aus.
Anmerkung
Wenn Sie die von Step Functions erstellte IAM Rolle löschen, kann Step Functions sie später nicht mehr neu erstellen. Ebenso kann Step Functions ihre ursprünglichen Einstellungen später nicht wiederherstellen, wenn Sie die Rolle ändern (z. B. indem Sie Step Functions aus den Prinzipalen in der IAM Richtlinie entfernen).
Wenn Workflow Studio nicht alle erforderlichen IAM Richtlinien generieren kann, wird ein Banner mit der Meldung Berechtigungen für bestimmte Aktionen können nicht automatisch generiert werden angezeigt. Eine IAM Rolle wird nur mit Teilberechtigungen erstellt. Informationen zum Hinzufügen der fehlenden Berechtigungen finden Sie unterProbleme bei der Rollengenerierung lösen.
-
Wählen Sie Erstellen, wenn Sie eine Zustandsmaschine erstellen. Wählen Sie andernfalls Speichern aus.
-
Wählen Sie im daraufhin angezeigten Dialogfeld die Option Bestätigen aus.
Workflow Studio speichert Ihren Zustandsmaschine und erstellt die neue Ausführungsrolle.
-
Probleme bei der Rollengenerierung lösen
In den folgenden Fällen kann Workflow Studio nicht automatisch eine Ausführungsrolle mit allen erforderlichen Berechtigungen generieren:
-
In Ihrer Zustandsmaschine sind Fehler aufgetreten. Stellen Sie sicher, dass Sie alle Validierungsfehler in Workflow Studio behoben haben. Stellen Sie außerdem sicher, dass Sie alle serverseitigen Fehler beheben, die beim Speichern auftreten.
-
Ihr Zustandsmaschine enthält Aufgaben, die AWS SDK Integrationen verwenden. Workflow Studio kann in diesem Fall keine IAM Richtlinien automatisch generieren. Workflow Studio zeigt ein Banner mit der Nachricht an. Berechtigungen für bestimmte Aktionen können nicht automatisch generiert werden. Eine IAM Rolle wird nur mit Teilberechtigungen erstellt. Wählen Sie in der Tabelle Automatisch generierte Berechtigungen überprüfen den Inhalt unter Status aus, um weitere Informationen zu den Richtlinien zu erhalten, die Ihrer Ausführungsrolle fehlen. Workflow Studio kann immer noch eine Ausführungsrolle generieren, aber diese Rolle enthält nicht IAM Richtlinien für alle Aktionen. Mithilfe der Links unter den Links zur Dokumentation können Sie Ihre eigenen Richtlinien schreiben und sie der Rolle hinzufügen, nachdem sie generiert wurde. Diese Links sind auch nach dem Speichern der Zustandsmaschine verfügbar.
Rolle zum Testen von HTTP Aufgaben in Workflow Studio
Sie benötigen eine Ausführungsrolle, um einen HTTP Task-Status zu testen. Wenn Sie keine Rolle mit ausreichenden Berechtigungen haben, verwenden Sie eine der folgenden Optionen, um eine Rolle zu erstellen:
-
Automatische Generierung einer Rolle mit Workflow Studio (empfohlen) — Dies ist die sichere Option. Schließen Sie das Dialogfeld Teststatus und folgen Sie den Anweisungen unterAutomatisches Generieren von Rollen. Dazu müssen Sie zuerst Ihren Zustandsmaschine erstellen oder aktualisieren und dann zu Workflow Studio zurückkehren, um Ihren Status zu testen.
-
Verwenden Sie eine Rolle mit Administratorzugriff — Wenn Sie berechtigt sind, eine Rolle mit Vollzugriff auf alle Dienste und Ressourcen zu erstellen AWS, können Sie diese Rolle verwenden, um jede Art von Status in Ihrem Workflow zu testen. Zu diesem Zweck können Sie eine Step Functions Servicerolle erstellen und ihr die AdministratorAccess Richtlinie in der IAM Konsole hinzufügen https://console.aws.amazon.com/iam/
.
Rolle zum Testen einer optimierten Serviceintegration in Workflow Studio
Sie benötigen eine Ausführungsrolle für Aufgabenstatus, die optimierte Serviceintegrationen aufrufen. Wenn Sie keine Rolle mit ausreichenden Berechtigungen haben, verwenden Sie eine der folgenden Optionen, um eine Rolle zu erstellen:
-
Automatische Generierung einer Rolle mit Workflow Studio (empfohlen) — Dies ist die sichere Option. Schließen Sie das Dialogfeld Teststatus und folgen Sie den Anweisungen unterAutomatisches Generieren von Rollen. Dazu müssen Sie zuerst Ihren Zustandsmaschine erstellen oder aktualisieren und dann zu Workflow Studio zurückkehren, um Ihren Status zu testen.
-
Verwenden Sie eine Rolle mit Administratorzugriff — Wenn Sie berechtigt sind, eine Rolle mit Vollzugriff auf alle Dienste und Ressourcen zu erstellen AWS, können Sie diese Rolle verwenden, um jede Art von Status in Ihrem Workflow zu testen. Zu diesem Zweck können Sie eine Step Functions Servicerolle erstellen und ihr die AdministratorAccess Richtlinie in der IAM Konsole hinzufügen https://console.aws.amazon.com/iam/
.
Rolle zum Testen einer AWS SDK Serviceintegration in Workflow Studio
Sie benötigen eine Ausführungsrolle für Aufgabenstatus, die AWS SDKIntegrationen aufrufen. Wenn Sie keine Rolle mit ausreichenden Berechtigungen haben, verwenden Sie eine der folgenden Optionen, um eine Rolle zu erstellen:
-
Automatische Generierung einer Rolle mit Workflow Studio (empfohlen) — Dies ist die sichere Option. Schließen Sie das Dialogfeld Teststatus und folgen Sie den Anweisungen unterAutomatisches Generieren von Rollen. Dazu müssen Sie zuerst Ihren Zustandsmaschine erstellen oder aktualisieren und dann zu Workflow Studio zurückkehren, um Ihren Status zu testen. Gehen Sie wie folgt vor:
-
Schließen Sie das Dialogfeld Status testen
-
Wählen Sie die Registerkarte Config, um den Konfigurationsmodus anzuzeigen.
-
Scrollen Sie nach unten zum Abschnitt „Berechtigungen“.
-
Workflow Studio zeigt ein Banner mit der Nachricht an. Berechtigungen für bestimmte Aktionen können nicht automatisch generiert werden. Eine IAM Rolle wird nur mit Teilberechtigungen erstellt. Wählen Sie Automatisch generierte Berechtigungen überprüfen aus.
-
In der Tabelle „Automatisch generierte Berechtigungen überprüfen“ wird eine Zeile mit der Aktion angezeigt, die dem Aufgabenstatus entspricht, den Sie testen möchten. Unter den Links zur Dokumentation finden Sie Links, um Ihre eigenen IAM Richtlinien in eine benutzerdefinierte Rolle zu schreiben.
-
-
Verwenden Sie eine Rolle mit Administratorzugriff — Wenn Sie berechtigt sind, eine Rolle mit Vollzugriff auf alle Dienste und Ressourcen zu erstellen AWS, können Sie diese Rolle verwenden, um jeden Status in Ihrem Workflow zu testen. Zu diesem Zweck können Sie eine Step Functions Servicerolle erstellen und ihr die AdministratorAccess Richtlinie in der IAM Konsole hinzufügen https://console.aws.amazon.com/iam/
.
Rolle zum Testen von Ablaufzuständen in Workflow Studio
Sie benötigen eine Ausführungsrolle, um Flussstatus in Workflow Studio zu testen. Ablaufstatus sind die Zustände, die den Ausführungsfluss steuernWorkflow-Status „Auswahl“, wieStatus des parallelen Workflows,Workflow-Status zuordnen,Workflow-Status übergeben,Workflow-Status warten,Workflow-Status „Erfolgreich“, oderWorkflow-Status „Fehlgeschlagen“. Das TestStateAPIfunktioniert nicht mit Map- oder Parallel-Status. Verwenden Sie eine der folgenden Optionen, um eine Rolle zum Testen eines Flow-Status zu erstellen:
-
Verwenden Sie eine beliebige Rolle in Ihrem AWS-Konto (empfohlen) — Flow-Status erfordern keine spezifischen IAM Richtlinien, da sie keine AWS Aktionen oder Ressourcen aufrufen. Daher kannst du jede IAM Rolle in deinem verwenden AWS-Konto.
-
Wählen Sie im Dialogfeld Teststatus eine beliebige Rolle aus der Dropdownliste Ausführungsrolle aus.
-
Wenn in der Dropdownliste keine Rollen angezeigt werden, gehen Sie wie folgt vor:
-
Wählen Sie in der IAM Konsole https://console.aws.amazon.com/iam/
Rollen aus. -
Wählen Sie eine Rolle aus der Liste aus und kopieren Sie sie ARN von der Seite mit den Rollendetails. Sie müssen dies ARN im Dialogfeld Teststatus angeben.
-
Wählen Sie im Dialogfeld Teststatus in der Dropdownliste Ausführungsrolle die Option Rolle eingeben ARN aus.
-
Fügen Sie das Feld ARN Rolle ARN ein.
-
-
-
Verwenden Sie eine Rolle mit Administratorzugriff — Wenn Sie berechtigt sind, eine Rolle mit Vollzugriff auf alle Dienste und Ressourcen zu erstellen AWS, können Sie diese Rolle verwenden, um jeden Status in Ihrem Workflow zu testen. Zu diesem Zweck können Sie eine Step Functions Servicerolle erstellen und ihr die AdministratorAccess Richtlinie in der IAM Konsole hinzufügen https://console.aws.amazon.com/iam/
.
