Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acceso multicuenta para el patrón de integración.sync en Step Functions
Cuando se utilizan los patrones de integración de servicios .sync
en los flujos de trabajo, Step Functions sondea el recurso entre cuentas invocado para confirmar que la tarea se ha completado. Esto provoca un ligero retraso entre el momento real de finalización de la tarea y el momento en que Step Functions reconoce la tarea como completada. El IAM rol de destino necesita los permisos necesarios para que una .sync
invocación complete este ciclo de sondeo. Para ello, el IAM rol de destino debe tener una política de confianza que permita a la cuenta de origen asumirlo. Además, el IAM rol de destino necesita los permisos necesarios para completar el ciclo de sondeo.
nota
Para flujos de trabajo rápidos anidados, arn:aws:states:::states:startExecution.sync
no es compatible actualmente. En su lugar, use arn:aws:states:::aws-sdk:sfn:startSyncExecution
.
Actualización de la política de confianza para llamadas .sync
Actualice la política de confianza de su IAM rol objetivo como se muestra en el siguiente ejemplo. El campo sts:ExternalId
controla, además, quién puede asumir el rol. El nombre de la máquina de estados debe incluir solo los caracteres que AWS Security Token Service AssumeRole
API admite. Para obtener más información, consulte AssumeRolela AWS Security Token Service APIReferencia.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Principal": { "AWS": "arn:aws:iam::
sourceAccountID
:role/InvokeRole
", }, "Condition": { "StringEquals": { "sts:ExternalId": "arn:aws:states:us-east-2:sourceAccountID
:stateMachine:stateMachineName
" } } } ] }
Se requieren permisos para las llamadas .sync
Para conceder los permisos necesarios para su máquina de estado, actualice los permisos necesarios para el IAM rol de destino. Para obtener más información, consulte Cómo Step Functions genera IAM políticas para servicios integrados. No se requieren EventBridge los permisos de Amazon de las políticas de ejemplo. Por ejemplo, para iniciar una máquina de estado, añada los siguientes permisos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:StartExecution" ], "Resource": [ "arn:aws:states:
region
:accountID
:stateMachine:stateMachineName
" ] }, { "Effect": "Allow", "Action": [ "states:DescribeExecution", "states:StopExecution" ], "Resource": [ "arn:aws:states:region
:accountID
:execution:stateMachineName
:*" ] } ] }