Acerca de los roles generados automáticamente Generación automática de roles Resolución de problemas de generación de roles Función para probar HTTP las tareas en Workflow Studio Rol para probar una integración de servicios optimizada en Workflow Studio Función para probar la integración AWS SDK de un servicio en Workflow Studio Rol para probar estados de flujo en Workflow Studio

Configure funciones de ejecución con Workflow Studio en Step Functions

Puede usar Workflow Studio para configurar las funciones de ejecución de sus flujos de trabajo. Cada Step Functions la máquina de estados requiere un AWS Identity and Access Management (IAM) función que otorga a la máquina estatal permiso para realizar acciones Servicios de AWS y recursos o llamar a tercerosAPIs. Este rol se denomina rol de ejecución.

El rol de ejecución debe contener IAM políticas para cada acción, por ejemplo, políticas que permiten a la máquina de estados invocar un AWS Lambda función, ejecuta un AWS Batch trabajo, o llama a StripeAPI. Step Functions requiere que proporciones una función de ejecución en los siguientes casos:

Se crea una máquina de estados en la consola AWS SDKs o se AWS CLI utiliza el CreateStateMachineAPI.
Se prueba un estado en la consola AWS SDKs, o AWS CLI utilizando el TestStateAPI.

Temas

Acerca de los roles generados automáticamente
Generación automática de roles
Resolución de problemas de generación de roles
Función para probar HTTP las tareas en Workflow Studio
Rol para probar una integración de servicios optimizada en Workflow Studio
Función para probar la integración AWS SDK de un servicio en Workflow Studio
Rol para probar estados de flujo en Workflow Studio

Acerca de los roles generados automáticamente

Al crear una máquina de estados en el Step Functions consola, Workflow Studio puede crear automáticamente un rol de ejecución para usted que contenga lo necesario IAM políticas. Workflow Studio analiza la definición de máquina de estado y genera políticas con los privilegios mínimos necesarios para ejecutar el flujo de trabajo.

Workflow Studio puede generar IAM políticas para lo siguiente:

HTTPTareas a las que se recurre a tercerosAPIs.
Estados de tareas que llaman a otros Servicios de AWS mediante integraciones optimizadas, como Lambda Invoca, DynamoDB GetItem, o AWS Glue StartJobRun.
Estados de tareas que ejecutan flujos de trabajo anidados.
Lista de estados de mapas distribuidos, incluidas las políticas para iniciar las ejecuciones de flujos de trabajo secundarios Amazon S3 cubos y lee o escribe objetos de S3.
X-RayRastreo de . Cada rol que se genera automáticamente en Workflow Studio contiene una política que otorga permisos para que la máquina de estado envíe seguimientos a X-Ray.
Uso de CloudWatch registros para registrar el historial de ejecuciones en Step Functions cuando está habilitado el registro en la máquina de estado.

Workflow Studio no puede generar IAM las políticas de los estados de tareas que llaman a otras AWS SDKintegraciones de Servicios de AWS uso.

Generación automática de roles

Abra la consola de Step Functions y seleccione Crear máquina de estado.

También puede actualizar una máquina de estado existente. Consulte el paso 4 si está actualizando una máquina de estado.
En el cuadro de diálogo Elegir una plantilla, seleccione En blanco.
Elija Seleccionar para abrir Workflow Studio. Modo Diseño
Seleccione la pestaña Configuración.
Desplácese hacia abajo hasta la sección Permisos y haga lo siguiente:
1. En Rol de ejecución, asegúrese de mantener la selección predeterminada de Crear nuevo rol.
  
  Workflow Studio genera automáticamente todo lo necesario IAM políticas para cada estado válido en la definición de su máquina de estados. Muestra un aviso con el mensaje: Se creará un rol de ejecución con todos los permisos.
  
  sugerencia
  Para revisar los permisos que Workflow Studio genera automáticamente para su máquina de estado, seleccione Revisar los permisos generados automáticamente.
  
  nota
  Si eliminas el IAM rol que Step Functions crea, Step Functions no podrá volver a crearlo más adelante. Del mismo modo, si modificas el rol (por ejemplo, quitando Step Functions de los principios de la IAM política), Step Functions no podrá restaurar su configuración original más adelante.
  
  Si Workflow Studio no puede generar todo lo necesario IAM políticas, muestra un banner con el mensaje Los permisos para ciertas acciones no se pueden generar automáticamente. Un registro IAM el rol se creará solo con permisos parciales. Para obtener información acerca de cómo añadir los permisos que faltan, consulte Resolución de problemas de generación de roles.
2. Elija Crear si va a crear una máquina de estado. De lo contrario, seleccione Save (Guardar).
3. En el cuadro de diálogo que aparece, seleccione Confirmar.
  
  Workflow Studio guarda la máquina de estado y crea el nuevo rol de ejecución.

Resolución de problemas de generación de roles

Workflow Studio no puede generar automáticamente un rol de ejecución con todos los permisos necesarios en los siguientes casos:

Hay errores en su máquina de estados. Asegúrese de resolver todos los errores de validación en Workflow Studio. Además, asegúrese de corregir cualquier error del lado del servidor que se produzca al guardar.
Su máquina de estados contiene tareas, usa AWS SDK integraciones. Workflow Studio no se puede generar automáticamente IAM políticas en este caso. Workflow Studio muestra un banner con el mensaje: Los permisos para determinadas acciones no se pueden generar automáticamente. Un registro IAM el rol se creará solo con permisos parciales. En la tabla Revisar permisos generados automáticamente, elija el contenido en Estado para obtener más información sobre las políticas que faltan en su rol de ejecución. Workflow Studio aún puede generar un rol de ejecución, pero este rol no contendrá IAM políticas para todas las acciones. Consulte los Enlaces a la documentación para escribir sus propias políticas y añadirlas al rol una vez que se haya generado. Estos enlaces están disponibles incluso después de guardar la máquina de estado.

Función para probar HTTP las tareas en Workflow Studio

Necesita un rol de ejecución para probar el estado de una HTTP tarea. Si no tiene un rol con permisos suficientes, utilice una de las siguientes opciones para crearlo:

Generar automáticamente un rol con Workflow Studio (recomendado): esta es la opción segura. Cierre el cuadro de diálogo Probar estado y siga las instrucciones que aparecen en Generación automática de roles. Para ello, primero tendrá que crear o actualizar su máquina de estado y, a continuación, volver a Workflow Studio para probar el estado.
Use un rol con acceso de administrador: si tiene permisos para crear un rol con acceso total a todos los servicios y recursos AWS, puede usar ese rol para probar cualquier tipo de estado de su flujo de trabajo. Para ello, puede crear un Step Functions rol de servicio y añadirle la AdministratorAccess política en el IAM consola https://console.aws.amazon.com/iam/.

Rol para probar una integración de servicios optimizada en Workflow Studio

Necesita un rol de ejecución para los estados Task que llaman a integraciones de servicios optimizadas. Si no tiene un rol con permisos suficientes, utilice una de las siguientes opciones para crearlo:

Genera automáticamente un rol con Workflow Studio (recomendado): esta es la opción segura. Cierre el cuadro de diálogo Probar estado y siga las instrucciones que aparecen en Generación automática de roles. Para ello, primero tendrá que crear o actualizar su máquina de estado y, a continuación, volver a Workflow Studio para probar el estado.
Use un rol con acceso de administrador: si tiene permisos para crear un rol con acceso total a todos los servicios y recursos AWS, puede usar ese rol para probar cualquier tipo de estado de su flujo de trabajo. Para ello, puede crear un Step Functions rol de servicio y añadirle la AdministratorAccess política en el IAM consola https://console.aws.amazon.com/iam/.

Función para probar la integración AWS SDK de un servicio en Workflow Studio

Se necesita un rol de ejecución para los estados de tareas que llaman a AWS SDKlas integraciones. Si no tiene un rol con permisos suficientes, utilice una de las siguientes opciones para crearlo:

Genera automáticamente un rol con Workflow Studio (recomendado): esta es la opción segura. Cierre el cuadro de diálogo Probar estado y siga las instrucciones que aparecen en Generación automática de roles. Para ello, primero tendrá que crear o actualizar su máquina de estado y, a continuación, volver a Workflow Studio para probar el estado. Haga lo siguiente:
1. Cierre el cuadro de diálogo Probar estado
2. Elija la pestaña Configuración para ver el modo Configuración.
3. Desplácese hacia abajo hasta la sección Permisos.
4. Workflow Studio muestra un banner con el mensaje: Los permisos para determinadas acciones no se pueden generar automáticamente. Un registro IAM el rol se creará solo con permisos parciales. Seleccione Revisar permisos generados automáticamente.
5. La tabla Revisar permisos generados automáticamente muestra una fila que presenta la acción correspondiente al estado de tarea que desea probar. Consulte los enlaces en los enlaces de documentación para escribir los suyos propios IAM las políticas se convierten en una función personalizada.
Utilice un rol con acceso de administrador: si tiene permisos para crear un rol con acceso total a todos los servicios y recursos AWS, puede usar ese rol para probar cualquier tipo de estado de su flujo de trabajo. Para ello, puede crear un Step Functions rol de servicio y añadirle la AdministratorAccess política en el IAM consola https://console.aws.amazon.com/iam/.

Rol para probar estados de flujo en Workflow Studio

Necesita un rol de ejecución para probar estados de flujo en Workflow Studio. Los estados de flujo son aquellos estados que dirigen el flujo de ejecución, como Estado del flujo de trabajo de elección, Estado del flujo de trabajo paralelo, Mapa del estado del flujo de trabajo, Pase el estado del flujo de trabajo, Estado del flujo de trabajo de espera, Estado de flujo de trabajo exitoso o Estado de flujo de trabajo fallido. No TestStateAPIfunciona con estados de mapa o paralelo. Utilice una de las siguientes opciones para crear un rol para probar un estado de flujo:

Usa cualquier rol en tu perfil Cuenta de AWS (recomendado): los estados de flujo no requieren ningún rol específico IAM políticas, porque no requieren AWS acciones ni recursos. Por lo tanto, puede utilizar cualquier IAM papel en tu Cuenta de AWS.
1. En el cuadro de diálogo Probar estado, seleccione cualquier rol de la lista desplegable Rol de ejecución.
2. Si no aparece ningún rol en la lista desplegable, haga lo siguiente:
  1. En el navegador IAM consola https://console.aws.amazon.com/iam/, elige Roles.
  2. Elija un rol de la lista y cópielo ARN de la página de detalles del rol. Deberá indicarlo ARN en el cuadro de diálogo Estado de la prueba.
  3. En el cuadro de diálogo Estado de la prueba, seleccione Introducir un rol ARN en la lista desplegable del rol de ejecución.
  4. Pegue el elemento ARN en Rol ARN.
Use un rol con acceso de administrador: si tiene permisos para crear un rol con acceso total a todos los servicios y recursos AWS, puede usar ese rol para probar cualquier tipo de estado de su flujo de trabajo. Para ello, puede crear un Step Functions rol de servicio y añadirle la AdministratorAccess política en el IAM consola https://console.aws.amazon.com/iam/.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configurar entrada y salida

Configure la gestión de errores