Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de permisos granulares de IAM para usuarios no administradores

Las políticas gestionadas por defecto en IAM, por ejemploReadOnly, no cubren todos los tipos de AWS Step Functions permisos. En esta sección se describen los distintos tipos de permisos y se facilitan algunas configuraciones de ejemplo.

Step Functions tiene cuatro categorías de permisos. En función del acceso que desee proporcionar a un usuario, puede controlar el acceso mediante la utilización de permisos en estas categorías.

Permisos de nivel de servicio

Este nivel de permiso se aplica a todas las acciones de la API que no actúan en un recurso específico. Estas incluyen CreateStateMachineCreateActivity, ListStateMachinesListActivities, yValidationStateMachineDefinition.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:ListStateMachines",
        "states:ListActivities",
        "states:CreateStateMachine",
        "states:CreateActivity",
        "states:ValidationStateMachineDefinition", 
      ],
      "Resource": [ 
        "arn:aws:states:*:*:*" 
      ]
    },
    {
      "Effect": "Allow",
      "Action": [ 
        "iam:PassRole"
      ],
      "Resource": [
        "arn:aws:iam:::role/my-execution-role"
      ]
    }
  ]
}

Permisos de nivel de máquina de estado

Este nivel de permiso se aplica a todas las acciones de la API que actúan sobre una máquina de estado específica. Estas operaciones de la API requieren el Nombre de recurso de Amazon (ARN) de la máquina de estado como parte de la solicitud, como por ejemplo DeleteStateMachine, DescribeStateMachine, StartExecution y ListExecutions.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeStateMachine",
        "states:StartExecution",
        "states:DeleteStateMachine",
        "states:ListExecutions",
        "states:UpdateStateMachine",
        "states:TestState",
        "states:RevealSecrets"
      ],
      "Resource": [ 
        "arn:aws:states:*:*:stateMachine:StateMachinePrefix*" 
      ]
    }
  ]
}

Permisos de nivel de ejecución

Este nivel de permiso se aplica a todas las acciones de la API que actúan sobre una ejecución específica. Estas operaciones del API requieren el ARN de la ejecución como parte de la solicitud, por ejemplo DescribeExecution, GetExecutionHistory y StopExecution.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeExecution",
        "states:DescribeStateMachineForExecution",
        "states:GetExecutionHistory",
        "states:StopExecution"
      ],
      "Resource": [ 
        "arn:aws:states:*:*:execution:*:ExecutionPrefix*"
      ]
    }
  ]
}

Permisos de nivel de actividad

Este nivel de permiso se aplica a todas las acciones de la API que actúan sobre una actividad específica o en una instancia particular de la misma. Estas operaciones de la API requieren el ARN de la actividad o el token de la instancia como parte de la solicitud, como por ejemplo DeleteActivity, DescribeActivity, GetActivityTask y SendTaskHeartbeat.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeActivity",
        "states:DeleteActivity",
        "states:GetActivityTask",
        "states:SendTaskHeartbeat"
      ],
      "Resource": [
        "arn:aws:states:*:*:activity:ActivityPrefix*"
      ]
    }
  ]
}