Autorisation pour les versions et les alias dans les flux de travail Step Functions - AWS Step Functions

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisation pour les versions et les alias dans les flux de travail Step Functions

Pour appeler des API actions Step Functions avec une version ou un alias, vous devez disposer des autorisations appropriées. Pour autoriser une version ou un alias à invoquer une API action, Step Functions utilise celui de la machine à états ARN au lieu d'utiliser la version ARN ou l'aliasARN. Vous pouvez également définir les autorisations pour une version ou un alias spécifique. Pour de plus amples informations, veuillez consulter Délimitation des autorisations.

Vous pouvez utiliser l'exemple de IAM politique suivant concernant une machine à états nommée myStateMachine pour invoquer l'CreateStateMachineAliasAPIaction visant à créer un alias de machine à états.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "states:CreateStateMachineAlias", "Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine" } ] }

Lorsque vous définissez des autorisations pour autoriser ou refuser l'accès à API des actions utilisant des versions ou des alias de machine à états, tenez compte des points suivants :

Définition des autorisations pour une version ou un alias

Vous pouvez utiliser un qualificatif pour limiter davantage l'autorisation d'autorisation requise par une version ou un alias. Un qualificatif fait référence à un numéro de version ou à un nom d'alias. Vous utilisez le qualificatif pour qualifier une machine étatique. L'exemple suivant est une machine à états ARN qui utilise un alias nommé PROD comme qualificatif.

arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine:PROD

Pour plus d'informations sur les catégories qualifiées et non qualifiéesARNs, consultezAssocier des exécutions à une version ou à un alias.

Vous pouvez définir les autorisations à l'aide de la clé contextuelle facultative nommée states:StateMachineQualifier dans la Condition déclaration d'une IAM politique. Par exemple, la IAM politique suivante pour une machine à états nommée myStateMachine refuse l'accès à l'DescribeStateMachineAPIaction avec un alias nommé « version » PROD ou « version 1 ».

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "states:DescribeStateMachine", "Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine", "Condition": { "ForAnyValue:StringEquals": { "states:StateMachineQualifier": [ "PROD", "1" ] } } } ] }

La liste suivante indique les API actions pour lesquelles vous pouvez limiter les autorisations à l'aide de la clé de StateMachineQualifier contexte.