Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Membuat izin granular untuk pengguna non-admin di Step Functions
Kebijakan terkelola default di IAMReadOnly
, seperti, tidak sepenuhnya mencakup semua jenis AWS Step Functions izin. Bagian ini menjelaskan berbagai tipe izin dan menyediakan beberapa konfigurasi contoh.
Step Functions memiliki empat kategori izin. Tergantung pada akses yang ingin diberikan kepada pengguna, Anda dapat mengontrol akses dengan menggunakan izin dalam kategori ini.
- Izin Tingkat Layanan
-
Berlaku untuk komponen API yang tidak bertindak pada sumber daya tertentu.
- Izin Tingkat Mesin Status
-
Berlaku untuk semua API komponen yang bekerja pada mesin negara tertentu.
- Izin Tingkat Eksekusi
-
Berlaku untuk semua API komponen yang bertindak pada eksekusi tertentu.
- Izin Tingkat Aktivitas
-
Berlaku untuk semua API komponen yang bertindak pada aktivitas tertentu atau pada contoh tertentu dari suatu kegiatan.
Izin Tingkat Layanan
Tingkat izin ini berlaku untuk semua API tindakan yang tidak bertindak pada sumber daya tertentu. Ini termasukCreateStateMachine
,CreateActivity
,ListStateMachines
,ListActivities
, danValidationStateMachineDefinition
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:ListStateMachines", "states:ListActivities", "states:CreateStateMachine", "states:CreateActivity", "states:ValidationStateMachineDefinition", ], "Resource": [ "arn:aws:states:*:*:*" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam:::role/my-execution-role" ] } ] }
Izin Tingkat Mesin Status
Tingkat izin ini berlaku untuk semua API tindakan yang bekerja pada mesin negara tertentu. APIOperasi ini memerlukan Amazon Resource Name (ARN) dari mesin status sebagai bagian dari permintaan, sepertiDeleteStateMachine
,DescribeStateMachine
,StartExecution
, danListExecutions
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:DescribeStateMachine", "states:StartExecution", "states:DeleteStateMachine", "states:ListExecutions", "states:UpdateStateMachine", "states:TestState", "states:RevealSecrets" ], "Resource": [ "arn:aws:states:*:*:stateMachine:StateMachinePrefix*" ] } ] }
Izin Tingkat Eksekusi
Tingkat izin ini berlaku untuk semua API tindakan yang bertindak pada eksekusi tertentu. APIOperasi ini memerlukan eksekusi sebagai bagian dari permintaan, sepertiDescribeExecution
,GetExecutionHistory
, danStopExecution
. ARN
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:DescribeExecution", "states:DescribeStateMachineForExecution", "states:GetExecutionHistory", "states:StopExecution" ], "Resource": [ "arn:aws:states:*:*:execution:*:ExecutionPrefix*" ] } ] }
Izin Tingkat Aktivitas
Tingkat izin ini berlaku untuk semua API tindakan yang bertindak pada aktivitas tertentu atau pada contoh tertentu. APIOperasi ini memerlukan aktivitas atau token instance sebagai bagian dari permintaan, seperti,DeleteActivity
, DescribeActivity
GetActivityTask
, danSendTaskHeartbeat
. ARN
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:DescribeActivity", "states:DeleteActivity", "states:GetActivityTask", "states:SendTaskHeartbeat" ], "Resource": [ "arn:aws:states:*:*:activity:ActivityPrefix*" ] } ] }