Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisation pour les versions et les alias dans les flux de travail Step Functions
Pour appeler des API actions Step Functions avec une version ou un alias, vous devez disposer des autorisations appropriées. Pour autoriser une version ou un alias à invoquer une API action, Step Functions utilise celui de la machine à états ARN au lieu d'utiliser la version ARN ou l'aliasARN. Vous pouvez également définir les autorisations pour une version ou un alias spécifique. Pour de plus amples informations, veuillez consulter Délimitation des autorisations.
Vous pouvez utiliser l'exemple de IAM politique suivant concernant une machine à états nommée
pour invoquer l'CreateStateMachineAliasAPIaction visant à créer un alias de machine à états.myStateMachine
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "states:CreateStateMachineAlias", "Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:
myStateMachine
" } ] }
Lorsque vous définissez des autorisations pour autoriser ou refuser l'accès à API des actions utilisant des versions ou des alias de machine à états, tenez compte des points suivants :
Si vous utilisez le
publish
paramètre des UpdateStateMachineAPIactions CreateStateMachineet pour publier une nouvelle version de State Machine, vous devez également disposer de l'ALLOW
autorisation requise pour l'PublishStateMachineVersionAPIaction.L'DeleteStateMachineAPIaction supprime toutes les versions et tous les alias associés à une machine à états.
Définition des autorisations pour une version ou un alias
Vous pouvez utiliser un qualificatif pour limiter davantage l'autorisation d'autorisation requise par une version ou un alias. Un qualificatif fait référence à un numéro de version ou à un nom d'alias. Vous utilisez le qualificatif pour qualifier une machine étatique. L'exemple suivant est une machine à états ARN qui utilise un alias nommé PROD
comme qualificatif.
arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine
:PROD
Pour plus d'informations sur les catégories qualifiées et non qualifiéesARNs, consultezAssocier des exécutions à une version ou à un alias.
Vous pouvez définir les autorisations à l'aide de la clé contextuelle facultative nommée states:StateMachineQualifier
dans la Condition
déclaration d'une IAM politique. Par exemple, la IAM politique suivante pour une machine à états nommée myStateMachine
refuse l'accès à l'DescribeStateMachineAPIaction avec un alias nommé « version » PROD
ou « version 1
».
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "states:DescribeStateMachine", "Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:
myStateMachine
", "Condition": { "ForAnyValue:StringEquals": { "states:StateMachineQualifier": [ "PROD", "1" ] } } } ] }
La liste suivante indique les API actions pour lesquelles vous pouvez limiter les autorisations à l'aide de la clé de StateMachineQualifier
contexte.