Autorisation pour les versions et les alias dans les flux de travail Step Functions

Pour appeler des API actions Step Functions avec une version ou un alias, vous devez disposer des autorisations appropriées. Pour autoriser une version ou un alias à invoquer une API action, Step Functions utilise celui de la machine à états ARN au lieu d'utiliser la version ARN ou l'aliasARN. Vous pouvez également définir les autorisations pour une version ou un alias spécifique. Pour de plus amples informations, veuillez consulter Délimitation des autorisations.

Vous pouvez utiliser l'exemple de IAM politique suivant concernant une machine à états nommée myStateMachine pour invoquer l'CreateStateMachineAliasAPIaction visant à créer un alias de machine à états.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "states:CreateStateMachineAlias",
      "Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine"
    }
  ]
}

Lorsque vous définissez des autorisations pour autoriser ou refuser l'accès à API des actions utilisant des versions ou des alias de machine à états, tenez compte des points suivants :

Si vous utilisez le publish paramètre des UpdateStateMachineAPIactions CreateStateMachineet pour publier une nouvelle version de State Machine, vous devez également disposer de l'ALLOWautorisation requise pour l'PublishStateMachineVersionAPIaction.
L'DeleteStateMachineAPIaction supprime toutes les versions et tous les alias associés à une machine à états.

Définition des autorisations pour une version ou un alias

Vous pouvez utiliser un qualificatif pour limiter davantage l'autorisation d'autorisation requise par une version ou un alias. Un qualificatif fait référence à un numéro de version ou à un nom d'alias. Vous utilisez le qualificatif pour qualifier une machine étatique. L'exemple suivant est une machine à états ARN qui utilise un alias nommé PROD comme qualificatif.


arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine:PROD

Pour plus d'informations sur les catégories qualifiées et non qualifiéesARNs, consultezAssocier des exécutions à une version ou à un alias.

Vous pouvez définir les autorisations à l'aide de la clé contextuelle facultative nommée states:StateMachineQualifier dans la Condition déclaration d'une IAM politique. Par exemple, la IAM politique suivante pour une machine à états nommée myStateMachine refuse l'accès à l'DescribeStateMachineAPIaction avec un alias nommé « version » PROD ou « version 1 ».


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "states:DescribeStateMachine",
      "Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "states:StateMachineQualifier": [
            "PROD",
            "1"
          ]
        }
      }
    }
  ]
}

La liste suivante indique les API actions pour lesquelles vous pouvez limiter les autorisations à l'aide de la clé de StateMachineQualifier contexte.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Alias

Associer des exécutions à une version ou à un alias