Prinsip Basic - Amazon Simple Workflow Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prinsip Basic

Kontrol SWF akses Amazon didasarkan terutama pada dua jenis izin:

  • Izin sumber daya: SWF Sumber daya Amazon mana yang dapat diakses pengguna.

    Anda dapat mengekspresikan izin sumber daya hanya untuk domain.

  • APIizin: SWF Tindakan Amazon mana yang dapat dipanggil pengguna.

Pendekatan paling sederhana adalah memberikan akses akun penuh—memanggil SWF tindakan Amazon apa pun di domain apa pun—atau menolak akses sepenuhnya. Namun, IAM mendukung pendekatan yang lebih terperinci untuk kontrol akses yang seringkali lebih berguna. Misalnya, Anda dapat:

  • Izinkan pengguna untuk memanggil SWF tindakan Amazon apa pun tanpa batasan, tetapi hanya dalam domain tertentu. Anda dapat menggunakan kebijakan tersebut untuk mengizinkan aplikasi alur kerja yang sedang dikembangkan untuk menggunakan tindakan apa pun, tetapi hanya domain "sandbox".

  • Izinkan pengguna mengakses domain apa pun, tetapi batasi cara mereka menggunakan domain tersebut. API Anda dapat menggunakan kebijakan semacam itu untuk mengizinkan aplikasi “auditor” memanggil domain apa pun, tetapi hanya mengizinkan akses baca. API

  • Mengizinkan pengguna untuk memanggil hanya serangkaian tindakan terbatas di domain tertentu. Anda dapat menggunakan kebijakan tersebut untuk mengizinkan pemulai alur kerja untuk memanggil hanya tindakan StartWorkflowExecution dalam domain tertentu.

Kontrol SWF akses Amazon didasarkan pada prinsip-prinsip berikut:

  • Keputusan kontrol akses hanya didasarkan pada IAM kebijakan; semua audit dan manipulasi kebijakan dilakukan melaluiIAM.

  • Model kontrol akses menggunakan deny-by-default kebijakan; akses apa pun yang tidak diizinkan secara eksplisit ditolak.

  • Anda mengontrol akses ke SWF sumber daya Amazon dengan melampirkan IAM kebijakan yang sesuai ke aktor alur kerja.

  • Izin sumber daya dapat dinyatakan hanya untuk domain.

  • Anda dapat lebih membatasi penggunaan beberapa tindakan dengan menerapkan syarat untuk satu atau lebih parameter.

  • Jika Anda memberikan izin untuk menggunakan RespondDecisionTaskCompleted, Anda dapat menyatakan izin untuk daftar keputusan yang disertakan dalam tindakan tersebut.

    Setiap keputusan memiliki satu atau lebih parameter, seperti API panggilan biasa. Agar kebijakan dapat dibaca semaksimal mungkin, Anda dapat menyatakan izin atas keputusan seolah-olah itu adalah API panggilan aktual, termasuk menerapkan kondisi ke beberapa parameter. Jenis izin ini disebut izin semu API.

Untuk ringkasan API parameter reguler dan pseudo mana yang dapat dibatasi dengan menggunakan kondisi, lihat. APIRingkasan