Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'autorisations granulaires pour les utilisateurs non administrateurs dans Step Functions

Les politiques gérées par défaut dansIAM, telles queReadOnly, ne couvrent pas entièrement tous les types de AWS Step Functions autorisations. Cette section décrit ces différents types d'autorisations et fournit des exemples des configurations.

Step Functions propose quatre catégories d'autorisations. En fonction du type d'accès que vous souhaitez fournir à un utilisateur, vous pouvez contrôler l'accès en utilisant ces catégories d'autorisations.

Autorisations de niveau service

Ce niveau d'autorisation s'applique à toutes les API actions qui n'agissent pas sur une ressource spécifique. Ceux-ci incluentCreateStateMachine, CreateActivityListStateMachines,ListActivities, etValidationStateMachineDefinition.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:ListStateMachines",
        "states:ListActivities",
        "states:CreateStateMachine",
        "states:CreateActivity",
        "states:ValidationStateMachineDefinition", 
      ],
      "Resource": [ 
        "arn:aws:states:*:*:*" 
      ]
    },
    {
      "Effect": "Allow",
      "Action": [ 
        "iam:PassRole"
      ],
      "Resource": [
        "arn:aws:iam:::role/my-execution-role"
      ]
    }
  ]
}

Autorisations de niveau machine d'état

Ce niveau d'autorisation s'applique à toutes les API actions qui agissent sur une machine à états spécifique. Ces API opérations nécessitent le nom de ressource Amazon (ARN) de la machine d'état dans le cadre de la demande, tel que DeleteStateMachineDescribeStateMachine,StartExecution, etListExecutions.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeStateMachine",
        "states:StartExecution",
        "states:DeleteStateMachine",
        "states:ListExecutions",
        "states:UpdateStateMachine",
        "states:TestState",
        "states:RevealSecrets"
      ],
      "Resource": [ 
        "arn:aws:states:*:*:stateMachine:StateMachinePrefix*" 
      ]
    }
  ]
}

Autorisations de niveau exécution

Ce niveau d'autorisation s'applique à toutes les API actions qui agissent sur une exécution spécifique. Ces API opérations nécessitent ARN l'exécution dans le cadre de la demande, telles que DescribeExecutionGetExecutionHistory, etStopExecution.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeExecution",
        "states:DescribeStateMachineForExecution",
        "states:GetExecutionHistory",
        "states:StopExecution"
      ],
      "Resource": [ 
        "arn:aws:states:*:*:execution:*:ExecutionPrefix*"
      ]
    }
  ]
}

Autorisations de niveau activité

Ce niveau d'autorisation s'applique à toutes les API actions qui agissent sur une activité spécifique ou sur une instance particulière de celle-ci. Ces API opérations nécessitent ARN l'activité ou le jeton de l'instance dans le cadre de la demande, tel que DeleteActivityDescribeActivity,GetActivityTask, etSendTaskHeartbeat.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeActivity",
        "states:DeleteActivity",
        "states:GetActivityTask",
        "states:SendTaskHeartbeat"
      ],
      "Resource": [
        "arn:aws:states:*:*:activity:ActivityPrefix*"
      ]
    }
  ]
}