Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Para invocar las acciones de la API de Step Functions con una versión o un alias, necesita los permisos adecuados. Para autorizar una versión o un alias a invocar una acción de API, Step Functions usa el ARN de la máquina de estado en lugar de usar el ARN de la versión o el ARN del alias. También puede restringir los permisos para una versión o un alias específicos. Para obtener más información, consulte Reducir el alcance de los permisos.
Puede utilizar el siguiente ejemplo de política de IAM de una máquina de estado denominada myStateMachine
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "states:CreateStateMachineAlias",
"Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine"
}
]
}Cuando configure permisos para permitir o denegar el acceso a acciones de la API mediante versiones o alias de máquinas de estado, tenga en cuenta lo siguiente:
Si utilizas el
publishparámetro de las acciones CreateStateMachiney de la UpdateStateMachineAPI para publicar una nueva versión de la máquina de estados, también necesitarás elALLOWpermiso para la acción de la PublishStateMachineVersionAPI.La acción de la DeleteStateMachineAPI elimina todas las versiones y los alias asociados a una máquina de estados.
Reducir el alcance de los permisos de una versión o un alias
Puede usar un calificador para reducir más el permiso de autorización que necesita una versión o un alias. Un calificador hace referencia a un número de versión o a un nombre de alias. El calificador se utiliza para calificar una máquina de estado. El siguiente ejemplo es un ARN de máquina de estado que usa un alias denominado PROD como calificador.
arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine:PRODPara obtener más información sobre las cualificadas y las no ARNs cualificadas, consulte. Asociar ejecuciones a una versión o alias
Para reducir el alcance de los permisos, utilice la clave de contexto opcional llamada states:StateMachineQualifier en la instrucción Condition de una política de IAM. Por ejemplo, la siguiente política de IAM para una máquina de estado denominada myStateMachine deniega el acceso a la acción de la DescribeStateMachineAPI con un alias denominado como PROD o la versión. 1
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "states:DescribeStateMachine",
"Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine",
"Condition": {
"ForAnyValue:StringEquals": {
"states:StateMachineQualifier": [
"PROD",
"1"
]
}
}
}
]
}En la siguiente lista se especifican las acciones de la API que se pueden utilizar para limitar los permisos con la clave de contexto StateMachineQualifier.
