Concepts clés de cette rubrique Invoquer des ressources entre comptes

Accès aux ressources dans d'autres fonctions Comptes AWS de Step Functions

Step Functions fournit un accès entre comptes aux ressources configurées selon différents flux Comptes AWS de travail. Grâce aux intégrations de services Step Functions, vous pouvez invoquer n'importe quelle AWS ressource entre comptes, même si celle-ci AWS service ne prend pas en charge les politiques basées sur les ressources ou les appels entre comptes.

Supposons, par exemple, que vous en Comptes AWS possédiez deux, appelées Développement et Tests, dans la même entité Région AWS. Grâce à l'accès entre comptes, votre flux de travail dans le compte de développement peut accéder à des ressources, telles que les compartiments Amazon S3, les tables Amazon DynamoDB et les fonctions Lambda disponibles dans le compte de test.

Important

IAMles rôles et les politiques basées sur les ressources délèguent l'accès entre les comptes uniquement au sein d'une même partition. Par exemple, supposons que vous avez un compte dans la région USA Ouest (Californie du Nord) sur la partition aws standard. Vous avez également un compte dans la région Chine (Beijing) sur la partition aws-cn. Vous ne pouvez pas utiliser une politique basée sur les ressources d’Amazon S3 dans votre compte en Chine (Beijing) pour autoriser l'accès aux utilisateurs de votre compte aws standard.

Pour plus d'informations sur l'accès entre comptes, consultez la section Logique d'évaluation des politiques entre comptes dans le guide de l'IAMutilisateur.

Bien que chacun Compte AWS conserve un contrôle total sur ses propres ressources, Step Functions vous permet de réorganiser, d'échanger, d'ajouter ou de supprimer des étapes dans vos flux de travail sans avoir à personnaliser le moindre code. Vous pouvez le faire même si les processus changent ou que les applications évoluent.

Vous pouvez également invoquer des exécutions de machines à états imbriqués afin qu'elles soient disponibles sur différents comptes. Cela permet de séparer et d'isoler efficacement vos flux de travail. Lorsque vous utilisez le modèle d'intégration des .syncservices dans vos flux de travail qui accèdent à un autre flux de travail Step Functions dans un autre compte, Step Functions utilise un sondage qui consomme le quota qui vous a été assigné. Pour de plus amples informations, veuillez consulter Exécuter une tâche (.sync).

Note

Actuellement, AWS SDK l'intégration entre régions et l'accès aux AWS ressources entre régions ne sont pas disponibles dans Step Functions.

Table des matières

Concepts clés de cette rubrique

Rôle d'exécution: IAMRôle utilisé par Step Functions pour exécuter du code et accéder à AWS des ressources, telles que l'action Invoke de la AWS Lambda fonction.
Intégration des services: Les API actions AWS SDK d'intégration qui peuvent être appelées depuis un Task état dans vos flux de travail.
compte source: Celui Compte AWS qui possède la machine d'état et qui a commencé son exécution.
compte cible: Et Compte AWS vers lequel vous passez des appels entre comptes.
rôle cible: IAMRôle dans le compte cible que la machine d'état assume pour effectuer des appels aux ressources détenues par le compte cible.
Exécuter un Job (.sync): Modèle d'intégration de services utilisé pour appeler des services, tels que AWS Batch. Cela oblige également une machine à états Step Functions à attendre la fin d'une tâche avant de passer à l'état suivant. Pour indiquer que Step Functions doit attendre, ajoutez le .sync suffixe dans le Resource champ de votre définition Task d'état.

Invoquer des ressources entre comptes

Pour invoquer une ressource multi-comptes dans vos flux de travail, procédez comme suit :

Créez un IAM rôle dans le compte cible qui contient la ressource. Ce rôle accorde au compte source, contenant la machine d'état, l'autorisation d'accéder aux ressources du compte cible.
Dans la définition de Task l'état, spécifiez le IAM rôle cible à assumer par la machine d'état avant d'appeler la ressource multi-comptes.
Modifiez la politique de confiance dans le IAM rôle cible pour permettre au compte source d'assumer temporairement ce rôle. La politique de confiance doit inclure le nom de ressource Amazon (ARN) de la machine d'état définie dans le compte source. Définissez également les autorisations appropriées dans le IAM rôle cible pour appeler la AWS ressource.
Mettez à jour le rôle d'exécution du compte source pour inclure l'autorisation requise pour assumer le IAM rôle cible.

Pour obtenir un exemple, consultez Tutoriel : Accès aux AWS ressources entre comptes dans Step Functions.

Note

Vous pouvez configurer votre machine d'état pour qu'elle assume un IAM rôle d'accès aux ressources à partir de plusieurs Comptes AWS. Cependant, une machine à états ne peut assumer qu'un seul IAM rôle à la fois.

Concept d'accès aux ressources multicomptes

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Création d'autorisations granulaires pour les utilisateurs non administrateurs

Tutoriel : Accès aux ressources multicomptes