Principios básicos

El control de SWF acceso de Amazon se basa principalmente en dos tipos de permisos:

Permisos de recursos: a qué SWF recursos de Amazon puede acceder un usuario.

Solo puede expresar los permisos a nivel de recursos para los dominios.
APIpermisos: qué SWF acciones de Amazon puede invocar un usuario.

El enfoque más sencillo consiste en conceder acceso total a la cuenta (solicitar cualquier SWF acción de Amazon en cualquier dominio) o denegar el acceso por completo. Sin embargo, IAM admite un enfoque más detallado del control de acceso que suele ser más útil. Por ejemplo, puede:

Permite a un usuario realizar cualquier SWF acción de Amazon sin restricciones, pero solo en un dominio específico. Puede utilizar una política de este tipo para permitir que aplicaciones de flujo de trabajo que están en desarrollo utilicen cualquier acción, pero solo un dominio de "entorno de prueba".
Permita que un usuario acceda a cualquier dominio, pero restrinja la forma en que lo usa. API Se podría utilizar una política de este tipo para permitir que una aplicación de «auditoría» lo llame API en cualquier dominio, pero solo permita el acceso de lectura.
Permitir que el usuario llame solo a un conjunto limitado de acciones en ciertos dominios. Puede utilizar una política de este tipo para permitir que un iniciador de flujo de trabajo solo llame a la acción StartWorkflowExecution en un determinado dominio.

El control de SWF acceso de Amazon se basa en los siguientes principios:

Las decisiones de control de acceso se basan únicamente en IAM políticas; todas las auditorías y manipulaciones de las políticas se llevan a cabo mediante procedimientosIAM.
El modelo de control de acceso utiliza una deny-by-default política; se deniega cualquier acceso que no esté explícitamente permitido.
Usted controla el acceso a SWF los recursos de Amazon adjuntando IAM las políticas adecuadas a los actores del flujo de trabajo.
Solo se pueden expresar permisos a nivel de recursos para los dominios.
Puede limitar aún más el uso de ciertas acciones aplicando condiciones a uno o más parámetros.
Si concedes permiso de uso RespondDecisionTaskCompleted, puedes expresar los permisos para la lista de decisiones incluidas en esa acción.

Cada una de las decisiones tiene uno o más parámetros, al igual que una API llamada normal. Para que las políticas sean lo más legibles posible, puede expresar los permisos sobre las decisiones como si se tratara de decisiones realesAPI, incluida la aplicación de condiciones a algunos parámetros. Estos tipos de permisos se denominan APIpseudopermisos.

Para obtener un resumen de los parámetros normales y API pseudoparámetros que se pueden restringir mediante el uso de condiciones, consulte. APIResumen

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Ejemplos de políticas basadas en identidades

SWFIAMPolíticas de Amazon