Erstellen des Endpunkts Amazon VPC-Endpunktrichtlinien Endpunktrichtlinien

Amazon VPC-Endpoints für Step Functions erstellen

Wenn Sie Amazon Virtual Private Cloud (Amazon VPC) zum Hosten Ihrer AWS Ressourcen verwenden, können Sie eine Verbindung zwischen Ihrer Amazon VPC und AWS Step Functions Workflows herstellen. Sie können diese Verbindung mit Ihren Step Functions Functions-Workflows verwenden, ohne das öffentliche Internet zu überqueren. Amazon VPC-Endpunkte werden von Standard-Workflows, Express-Workflows und synchronen Express-Workflows unterstützt.

Mit Amazon VPC können Sie AWS Ressourcen in einem benutzerdefinierten virtuellen Netzwerk starten. Mit einer VPC können Sie Netzwerkeinstellungen, wie IP-Adressbereich, Subnetze, Routing-Tabellen und Netzwerk-Gateways, steuern. Weitere Informationen VPCs dazu finden Sie im Amazon VPC-Benutzerhandbuch.

Um Ihre Amazon VPC mit Step Functions zu verbinden, müssen Sie zunächst einen VPC-Schnittstellen-Endpunkt definieren, über den Sie Ihre VPC mit anderen Services verbinden können. AWS Der Endpunkt bietet eine zuverlässige, skalierbare Konnektivität, ohne dass ein Internet-Gateway, eine NAT-Instance (Network Address Translation) oder eine VPN-Verbindung erforderlich ist. Weitere Informationen finden Sie unter Schnittstellen-VPC-Endpunkte (AWS PrivateLink) im Amazon-VPC-Benutzerhandbuch.

Erstellen des Endpunkts

Sie können einen AWS Step Functions Endpunkt in Ihrer VPC mit dem AWS Management Console, dem AWS Command Line Interface (AWS CLI), einem AWS SDK, der AWS Step Functions API oder AWS CloudFormation erstellen.

Informationen zum Erstellen und Konfigurieren eines Endpunkts über die Amazon-VPC-Konsole oder die AWS CLI finden Sie unter Creating an Interface Endpoint (Erstellen eines Schnittstellenendpunkts) im Amazon-VPC-Benutzerhandbuch.

Anmerkung

Wenn Sie einen Endpunkt erstellen, geben Sie Step Functions als den Service an, zu dem Ihre VPC eine Verbindung herstellen soll. In der Amazon VPC-Konsole variieren die Servicenamen je nach AWS Region. Wenn Sie beispielsweise USA Ost (Nord-Virginia) wählen, lautet der Service-Name für Standard-Workflows und Express-Workflows com.amazonaws.us-east-1.states und der Servicename für Synchronous Express Workflows ist com.amazonaws.us-east-1.sync-states.

Anmerkung

Es ist möglich, VPC-Endpunkte über Private DNS zu verwenden, ohne den Endpunkt im SDK zu überschreiben. Wenn Sie den Endpunkt im SDK für synchrone Express-Workflows jedoch überschreiben möchten, müssen Sie die Konfiguration auf setzen. DisableHostPrefixInjection true Beispiel (Java SDK V2):


SfnClient.builder()
  .endpointOverride(URI.create("https://vpce-{vpceId}.sync-states.us-east-1.vpce.amazonaws.com"))
  .overrideConfiguration(ClientOverrideConfiguration.builder()
    .advancedOptions(ImmutableMap.of(SdkAdvancedClientOption.DISABLE_HOST_PREFIX_INJECTION, true))
    .build())
  .build();

Informationen zum Erstellen und Konfigurieren eines Endpunkts mithilfe AWS CloudFormation von finden Sie in der VPCEndpoint Ressource AWSEC2:::: im AWS CloudFormation Benutzerhandbuch.

Amazon VPC-Endpunktrichtlinien

Um den Konnektivitätszugriff auf Step Functions zu kontrollieren, können Sie beim Erstellen eines Amazon VPC-Endpunkts eine AWS Identity and Access Management (IAM-) Endpunktrichtlinie anhängen. Sie können komplexe IAM-Regeln erstellen, indem Sie mehrere Endpunktrichtlinien anhängen. Weitere Informationen finden Sie unter:

Amazon Virtual Private Cloud-Endpunktrichtlinien für Step Functions

Sie können eine Amazon VPC-Endpunktrichtlinie für Step Functions erstellen, in der Sie Folgendes angeben:

Prinzipal, der die Aktionen ausführen kann.
Aktionen, die ausgeführt werden können
Die Ressourcen, auf denen die Aktionen ausgeführt werden können.

Das folgende Beispiel zeigt eine Amazon VPC-Endpunktrichtlinie, die es einem Benutzer ermöglicht, Zustandsmaschinen zu erstellen, und allen anderen Benutzern die Erlaubnis verweigert, Zustandsmaschinen zu löschen. Die Beispielrichtlinie gewährt auch allen -Benutzern die Ausführungsberechtigung.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "*Execution",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Action": "states:CreateStateMachine",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": {
              "AWS": "arn:aws:iam::123456789012:user/MyUser"
            }
        },
        {
            "Action": "states:DeleteStateMachine",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}

Weitere Informationen zum Erstellen von Endpunktrichtlinien finden Sie unter:

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Zugreifen auf kontoübergreifende Ressourcen AWS

IAM-Richtlinien für integrierte Dienste