Actualización de la política de confianza para llamadas .sync Se requieren permisos para las llamadas .sync

Acceso multicuenta para el patrón de integración.sync en Step Functions

Cuando se utilizan los patrones de integración de servicios .sync en los flujos de trabajo, Step Functions sondea el recurso entre cuentas invocado para confirmar que la tarea se ha completado. Esto provoca un ligero retraso entre el momento real de finalización de la tarea y el momento en que Step Functions reconoce la tarea como completada. El IAM rol de destino necesita los permisos necesarios para que una .sync invocación complete este ciclo de sondeo. Para ello, el IAM rol de destino debe tener una política de confianza que permita a la cuenta de origen asumirlo. Además, el IAM rol de destino necesita los permisos necesarios para completar el ciclo de sondeo.

nota

Para flujos de trabajo rápidos anidados, arn:aws:states:::states:startExecution.sync no es compatible actualmente. En su lugar, use arn:aws:states:::aws-sdk:sfn:startSyncExecution.

Actualización de la política de confianza para llamadas .sync

Actualice la política de confianza de su IAM rol objetivo como se muestra en el siguiente ejemplo. El campo sts:ExternalId controla, además, quién puede asumir el rol. El nombre de la máquina de estados debe incluir solo los caracteres que AWS Security Token Service AssumeRole API admite. Para obtener más información, consulte AssumeRolela AWS Security Token Service APIReferencia.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Principal": {
        "AWS": "arn:aws:iam::sourceAccountID:role/InvokeRole",
      },
      "Condition": {
        "StringEquals": {
          "sts:ExternalId": "arn:aws:states:us-east-2:sourceAccountID:stateMachine:stateMachineName"
        }
      }
    }
  ]
}

Se requieren permisos para las llamadas .sync

Para conceder los permisos necesarios para su máquina de estado, actualice los permisos necesarios para el IAM rol de destino. Para obtener más información, consulte Cómo Step Functions genera IAM políticas para servicios integrados. No se requieren EventBridge los permisos de Amazon de las políticas de ejemplo. Por ejemplo, para iniciar una máquina de estado, añada los siguientes permisos.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:StartExecution"
      ],
      "Resource": [
        "arn:aws:states:region:accountID:stateMachine:stateMachineName"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeExecution",
        "states:StopExecution"
      ],
      "Resource": [
        "arn:aws:states:region:accountID:execution:stateMachineName:*"
      ]
    }
  ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Tutorial: Acceso a recursos de entre cuentas

Cree puntos VPC de enlace