Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengakses sumber daya lainnya Akun AWS di Step Functions
Step Functions menyediakan akses lintas akun ke sumber daya yang dikonfigurasi Akun AWS di berbagai alur kerja Anda. Dengan menggunakan integrasi layanan Step Functions, Anda dapat memanggil AWS sumber daya lintas akun apa pun meskipun AWS layanan tidak mendukung kebijakan berbasis sumber daya atau panggilan lintas akun.
Misalnya, asumsikan Anda memiliki dua Akun AWS, yang disebut Pengembangan dan Pengujian, dalam hal yang sama Wilayah AWS. Menggunakan akses lintas akun, alur kerja Anda di akun Pengembangan dapat mengakses sumber daya, seperti bucket Amazon S3, tabel Amazon DynamoDB, dan fungsi Lambda yang tersedia di akun Pengujian.
penting
IAMperan dan kebijakan berbasis sumber daya mendelegasikan akses di seluruh akun hanya dalam satu partisi. Misalnya, anggap Anda memiliki akun di AS Barat (N. California) dalam partisi aws standar. Anda juga memiliki akun di Tiongkok (Beijing) dalam partisi aws-cn. Anda tidak dapat menggunakan kebijakan berbasis sumber daya Amazon S3 di akun Anda di Tiongkok (Beijing) untuk memungkinkan akses bagi pengguna dalam akun aws standar Anda.
Untuk informasi selengkapnya tentang akses lintas akun, lihat Logika evaluasi kebijakan lintas akun di IAMPanduan Pengguna.
Meskipun masing-masing Akun AWS mempertahankan kontrol penuh atas sumber dayanya sendiri, dengan Step Functions, Anda dapat mengatur ulang, menukar, menambah, atau menghapus langkah-langkah dalam alur kerja Anda tanpa perlu menyesuaikan kode apa pun. Anda dapat melakukan ini bahkan ketika proses berubah atau aplikasi berkembang.
Anda juga dapat menjalankan eksekusi mesin status bersarang sehingga tersedia di berbagai akun. Melakukannya secara efisien memisahkan dan mengisolasi alur kerja Anda. Saat Anda menggunakan pola integrasi .synclayanan dalam alur kerja yang mengakses alur kerja Step Functions lain di akun lain, Step Functions menggunakan polling yang menggunakan kuota yang ditetapkan. Untuk informasi selengkapnya, lihat Jalankan Tugas (.sync).
catatan
Saat ini, AWS SDK integrasi lintas wilayah dan akses AWS sumber daya lintas wilayah tidak tersedia di Step Functions.
Daftar Isi
Konsep kunci dalam topik ini
- Peran eksekusi
-
IAMPeran yang digunakan Step Functions untuk menjalankan kode dan mengakses AWS sumber daya, seperti tindakan Invoke AWS Lambda fungsi.
- Integrasi layanan
-
APITindakan AWS SDK integrasi yang dapat dipanggil dari dalam
Taskkeadaan dalam alur kerja Anda. - akun sumber
An Akun AWS yang memiliki mesin negara dan telah memulai pelaksanaannya.
- akun target
Sebuah Akun AWS tempat Anda melakukan panggilan lintas akun.
- peran target
IAMPeran dalam akun target yang diasumsikan oleh mesin negara untuk melakukan panggilan ke sumber daya yang dimiliki akun target.
- Jalankan Job (.sync)
Pola integrasi layanan yang digunakan untuk memanggil layanan, seperti AWS Batch. Itu juga membuat mesin status Step Functions menunggu pekerjaan selesai sebelum melanjutkan ke status berikutnya. Untuk menunjukkan bahwa Step Functions harus menunggu, tambahkan
.syncakhiran diResourcebidang dalam definisiTaskstatus Anda.
Memanggil sumber daya lintas akun
Untuk memanggil sumber daya lintas akun di alur kerja Anda, lakukan hal berikut:
Buat IAM peran di akun target yang berisi sumber daya. Peran ini memberikan akun sumber, yang berisi mesin status, izin untuk mengakses sumber daya akun target.
Dalam definisi
Taskstatus, tentukan IAM peran target yang akan diasumsikan oleh mesin status sebelum menjalankan sumber daya lintas akun.Ubah kebijakan kepercayaan dalam IAM peran target untuk memungkinkan akun sumber untuk mengambil peran ini sementara. Kebijakan kepercayaan harus menyertakan Amazon Resource Name (ARN) dari mesin status yang ditentukan dalam akun sumber. Juga, tentukan izin yang sesuai dalam IAM peran target untuk memanggil AWS sumber daya.
Perbarui peran eksekusi akun sumber untuk menyertakan izin yang diperlukan untuk mengasumsikan IAM peran target.
Sebagai contoh, lihat Tutorial: Mengakses AWS sumber daya lintas akun di Step Functions.
catatan
Anda dapat mengonfigurasi mesin status Anda untuk mengambil IAM peran untuk mengakses sumber daya dari beberapa Akun AWS sumber daya. Namun, mesin negara hanya dapat mengambil satu IAM peran pada waktu tertentu.
