Otorisasi untuk versi dan alias dalam alur kerja Step Functions

Untuk menjalankan API tindakan Step Functions dengan versi atau alias, Anda memerlukan izin yang sesuai. Untuk mengotorisasi versi atau alias untuk menjalankan API tindakan, Step Functions menggunakan mesin status ARN alih-alih menggunakan versi ARN atau alias. ARN Anda juga dapat mencatat izin untuk versi atau alias tertentu. Untuk informasi selengkapnya, lihat Memindahkan izin.

Anda dapat menggunakan contoh IAM kebijakan berikut dari mesin status bernama myStateMachine untuk menjalankan CreateStateMachineAliasAPItindakan untuk membuat alias mesin status.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "states:CreateStateMachineAlias",
      "Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine"
    }
  ]
}

Saat Anda menetapkan izin untuk mengizinkan atau menolak akses ke API tindakan menggunakan versi mesin status atau alias, pertimbangkan hal berikut:

Jika Anda menggunakan publish parameter CreateStateMachinedan UpdateStateMachineAPItindakan untuk mempublikasikan versi mesin status baru, Anda juga memerlukan ALLOW izin pada PublishStateMachineVersionAPItindakan tersebut.
DeleteStateMachineAPITindakan menghapus semua versi dan alias yang terkait dengan mesin status.

Mencakup izin untuk versi atau alias

Anda dapat menggunakan qualifier untuk memperluas cakupan izin otorisasi yang diperlukan oleh versi atau alias. Kualifikasi mengacu pada nomor versi atau nama alias. Anda menggunakan kualifikasi untuk memenuhi syarat mesin negara. Contoh berikut adalah mesin negara ARN yang menggunakan alias bernama PROD sebagai qualifier.


arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine:PROD

Untuk informasi lebih lanjut tentang memenuhi syarat dan tidak memenuhi syaratARNs, lihatMengaitkan eksekusi dengan versi atau alias.

Anda membuka cakupan izin menggunakan kunci konteks opsional yang disebutkan states:StateMachineQualifier dalam Condition pernyataan IAM kebijakan. Misalnya, IAM kebijakan berikut untuk mesin status bernama myStateMachine menolak akses untuk menjalankan DescribeStateMachineAPItindakan dengan alias bernama as PROD atau versinya. 1


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "states:DescribeStateMachine",
      "Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "states:StateMachineQualifier": [
            "PROD",
            "1"
          ]
        }
      }
    }
  ]
}

Daftar berikut menentukan API tindakan yang dapat Anda cakup izin dengan kunci StateMachineQualifier konteks.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Alias

Mengaitkan eksekusi dengan versi atau alias