Acerca de los roles generados automáticamente Generación automática de roles Resolución de problemas de generación de roles Función para probar las HTTP tareas en Workflow Studio Rol para probar una integración de servicios optimizada en Workflow Studio Función para probar la integración AWS SDK de un servicio en Workflow Studio Rol para probar estados de flujo en Workflow Studio

Configure funciones de ejecución con Workflow Studio en Step Functions

Puede usar Workflow Studio para configurar funciones de ejecución para sus flujos de trabajo. Cada máquina de Step Functions estado requiere un rol AWS Identity and Access Management (IAM) que le otorga permiso a la máquina de estado para realizar acciones Servicios de AWS y recursos o llamar a tercerosAPIs. Este rol se denomina rol de ejecución.

La función de ejecución debe contener IAM políticas para cada acción, por ejemplo, políticas que permitan a la máquina de estados invocar una AWS Lambda función, ejecutar un AWS Batch trabajo o llamar a StripeAPI. Step Functionsrequiere que proporciones una función de ejecución en los siguientes casos:

Se crea una máquina de estados en la consola AWS SDKs o se AWS CLI utiliza el CreateStateMachineAPI.
Se prueba un estado en la consola o AWS SDKs se AWS CLI utiliza el TestStateAPI.

Temas

Acerca de los roles generados automáticamente
Generación automática de roles
Resolución de problemas de generación de roles
Función para probar las HTTP tareas en Workflow Studio
Rol para probar una integración de servicios optimizada en Workflow Studio
Función para probar la integración AWS SDK de un servicio en Workflow Studio
Rol para probar estados de flujo en Workflow Studio

Acerca de los roles generados automáticamente

Al crear una máquina de estado en la consola de Step Functions, Workflow Studio puede crear automáticamente un rol de ejecución que contenga las políticas de IAM necesarias. Workflow Studio analiza la definición de máquina de estado y genera políticas con los privilegios mínimos necesarios para ejecutar el flujo de trabajo.

Workflow Studio puede generar políticas de IAM para lo siguiente:

HTTPTareas que llaman a tercerosAPIs.
Estados de tareas que llaman a otros Servicios de AWS mediante integraciones optimizadas, como LambdaInvoke DynamoDB GetItem, o. AWS Glue StartJobRun
Estados de tareas que ejecutan flujos de trabajo anidados.
Estados Map distribuidos, incluidas políticas para iniciar las ejecuciones de flujos de trabajo secundarios, mostrar buckets de Amazon S3 y leer o escribir objetos de S3.
Rastreo de X-Ray. Cada rol que se genera automáticamente en Workflow Studio contiene una política que otorga permisos a la máquina de estado para enviar rastros a X-Ray.
Uso de CloudWatch registros para registrar el historial de ejecuciones en Step Functions cuando está habilitado el registro en la máquina de estado.

Workflow Studio no puede generar IAM políticas para los estados de tareas que llamen a otras Servicios de AWS integraciones de usuario.AWS SDK

Generación automática de roles

Abra la consola de Step Functions y seleccione Crear máquina de estado.

También puede actualizar una máquina de estado existente. Consulte el paso 4 si está actualizando una máquina de estado.
En el cuadro de diálogo Elegir una plantilla, seleccione En blanco.
Elija Seleccionar para abrir Workflow Studio. Modo Diseño
Seleccione la pestaña Configuración.
Desplácese hacia abajo hasta la sección Permisos y haga lo siguiente:
1. En Rol de ejecución, asegúrese de mantener la selección predeterminada de Crear nuevo rol.
  
  Workflow Studio genera automáticamente todas las políticas de IAM necesarias para cada estado válido en la definición de máquina de estado. Muestra un aviso con el mensaje: Se creará un rol de ejecución con todos los permisos.
  
  sugerencia
  Para revisar los permisos que Workflow Studio genera automáticamente para su máquina de estado, seleccione Revisar los permisos generados automáticamente.
  
  nota
  Si eliminas el IAM rol que Step Functions crea, Step Functions no podrá volver a crearlo más adelante. Del mismo modo, si modificas el rol (por ejemplo, quitando Step Functions de los principios de la IAM política), Step Functions no podrá restaurar su configuración original más adelante.
  
  Si Workflow Studio no puede generar todas las políticas de IAM necesarias, mostrará un aviso con el mensaje No se pueden generar automáticamente permisos para determinadas acciones. Se creará un rol de IAM solo con permisos parciales. Para obtener información acerca de cómo añadir los permisos que faltan, consulte Resolución de problemas de generación de roles.
2. Elija Crear si va a crear una máquina de estado. De lo contrario, seleccione Save (Guardar).
3. En el cuadro de diálogo que aparece, seleccione Confirmar.
  
  Workflow Studio guarda la máquina de estado y crea el nuevo rol de ejecución.

Resolución de problemas de generación de roles

Workflow Studio no puede generar automáticamente un rol de ejecución con todos los permisos necesarios en los siguientes casos:

Hay errores en la máquina de estado. Asegúrese de resolver todos los errores de validación en Workflow Studio. Además, asegúrese de corregir cualquier error del lado del servidor que se produzca al guardar.
Tu máquina de estados contiene tareas, usa AWS SDK integraciones. En este caso, Workflow Studio no puede generar automáticamente políticas de IAM. Workflow Studio muestra un aviso con el mensaje No se pueden generar automáticamente permisos para determinadas acciones. Se creará un rol de IAM solo con permisos parciales. En la tabla Revisar permisos generados automáticamente, elija el contenido en Estado para obtener más información sobre las políticas que faltan en su rol de ejecución. Workflow Studio puede seguir generando un rol de ejecución, pero este rol no contendrá políticas de IAM para todas las acciones. Consulte los Enlaces a la documentación para escribir sus propias políticas y añadirlas al rol una vez que se haya generado. Estos enlaces están disponibles incluso después de guardar la máquina de estado.

Función para probar las HTTP tareas en Workflow Studio

Necesita un rol de ejecución para probar el estado de una HTTP tarea. Si no tiene un rol con permisos suficientes, utilice una de las siguientes opciones para crearlo:

Generar automáticamente un rol con Workflow Studio (recomendado): esta es la opción segura. Cierre el cuadro de diálogo Probar estado y siga las instrucciones que aparecen en Generación automática de roles. Para ello, primero tendrá que crear o actualizar su máquina de estado y, a continuación, volver a Workflow Studio para probar el estado.
Use un rol con acceso de administrador: si tiene permisos para crear un rol con acceso total a todos los servicios y recursos AWS, puede usar ese rol para probar cualquier tipo de estado de su flujo de trabajo. Para ello, puede crear un rol de Step Functions servicio y añadirle la AdministratorAccess política en la IAM consola https://console.aws.amazon.com/iam/.

Rol para probar una integración de servicios optimizada en Workflow Studio

Necesita un rol de ejecución para los estados Task que llaman a integraciones de servicios optimizadas. Si no tiene un rol con permisos suficientes, utilice una de las siguientes opciones para crearlo:

Generar automáticamente un rol con Workflow Studio (recomendado): esta es la opción segura. Cierre el cuadro de diálogo Probar estado y siga las instrucciones que aparecen en Generación automática de roles. Para ello, primero tendrá que crear o actualizar su máquina de estado y, a continuación, volver a Workflow Studio para probar el estado.
Use un rol con acceso de administrador: si tiene permisos para crear un rol con acceso total a todos los servicios y recursos AWS, puede usar ese rol para probar cualquier tipo de estado de su flujo de trabajo. Para ello, puede crear un rol de Step Functions servicio y añadirle la AdministratorAccess política en la IAM consola https://console.aws.amazon.com/iam/.

Función para probar la integración AWS SDK de un servicio en Workflow Studio

Necesita un rol de ejecución para los estados de tareas que llaman AWS SDKintegraciones. Si no tiene un rol con permisos suficientes, utilice una de las siguientes opciones para crearlo:

Genera automáticamente un rol con Workflow Studio (recomendado): esta es la opción segura. Cierre el cuadro de diálogo Probar estado y siga las instrucciones que aparecen en Generación automática de roles. Para ello, primero tendrá que crear o actualizar su máquina de estado y, a continuación, volver a Workflow Studio para probar el estado. Haga lo siguiente:
1. Cierre el cuadro de diálogo Probar estado
2. Elija la pestaña Configuración para ver el modo Configuración.
3. Desplácese hacia abajo hasta la sección Permisos.
4. Workflow Studio muestra un aviso con el mensaje No se pueden generar automáticamente permisos para determinadas acciones. Se creará un rol de IAM solo con permisos parciales. Seleccione Revisar permisos generados automáticamente.
5. La tabla Revisar permisos generados automáticamente muestra una fila que presenta la acción correspondiente al estado de tarea que desea probar. Consulte los enlaces que aparecen en Enlaces a la documentación para escribir sus propias políticas de IAM en un rol personalizado.
Use un rol con acceso de administrador: si tiene permisos para crear un rol con acceso total a todos los servicios y recursos AWS, puede usar ese rol para probar cualquier tipo de estado de su flujo de trabajo. Para ello, puede crear un rol de Step Functions servicio y añadirle la AdministratorAccess política en la IAM consola https://console.aws.amazon.com/iam/.

Rol para probar estados de flujo en Workflow Studio

Necesita un rol de ejecución para probar estados de flujo en Workflow Studio. Los estados de flujo son aquellos estados que dirigen el flujo de ejecución, como Estado del flujo de trabajo de elección, Estado del flujo de trabajo paralelo, Mapa del estado del flujo de trabajo, Pase el estado del flujo de trabajo, Estado del flujo de trabajo de espera, Estado de flujo de trabajo exitoso o Estado de flujo de trabajo fallido. No TestStateAPIfunciona con los estados de mapa o paralelo. Utilice una de las siguientes opciones para crear un rol para probar un estado de flujo:

Usa cualquier rol en tu Cuenta de AWS perfil (recomendado): los estados de flujo no requieren IAM políticas específicas, ya que no requieren AWS acciones ni recursos. Por lo tanto, puedes usar cualquier IAM rol en tu Cuenta de AWS.
1. En el cuadro de diálogo Probar estado, seleccione cualquier rol de la lista desplegable Rol de ejecución.
2. Si no aparece ningún rol en la lista desplegable, haga lo siguiente:
  1. En la IAM consola https://console.aws.amazon.com/iam/, selecciona Roles.
  2. Elija un rol de la lista y cópielo ARN de la página de detalles del rol. Deberá indicarlo ARN en el cuadro de diálogo Estado de la prueba.
  3. En el cuadro de diálogo Estado de la prueba, seleccione Introducir un rol ARN en la lista desplegable del rol de ejecución.
  4. Pegue el elemento ARN en Rol ARN.
Use un rol con acceso de administrador: si tiene permisos para crear un rol con acceso total a todos los servicios y recursos AWS, puede usar ese rol para probar cualquier tipo de estado de su flujo de trabajo. Para ello, puede crear un rol de Step Functions servicio y añadirle la AdministratorAccess política en la IAM consola https://console.aws.amazon.com/iam/.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configurar entrada y salida

Configure la gestión de errores