IAMkebijakan untuk menggunakan status Peta Terdistribusi - AWS Step Functions
Contoh IAM kebijakan untuk menjalankan status Peta TerdistribusiContoh IAM kebijakan untuk redriving Peta TerdistribusiContoh IAM kebijakan untuk membaca data dari kumpulan data Amazon S3Contoh IAM kebijakan untuk menulis data ke bucket Amazon S3

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

IAMkebijakan untuk menggunakan status Peta Terdistribusi

Saat Anda membuat alur kerja dengan konsol Step Functions, Step Functions dapat secara otomatis menghasilkan IAM kebijakan berdasarkan sumber daya dalam definisi alur kerja Anda. Kebijakan ini mencakup hak istimewa paling sedikit yang diperlukan untuk memungkinkan peran mesin status menjalankan StartExecution API tindakan untuk status Peta Terdistribusi. Kebijakan ini juga mencakup hak istimewa paling sedikit Step Functions yang diperlukan untuk diakses AWS sumber daya, seperti bucket Amazon S3 dan objek dan fungsi Lambda. Kami sangat menyarankan agar Anda hanya menyertakan izin yang diperlukan dalam IAM kebijakan Anda. Misalnya, jika alur kerja Anda menyertakan Map status dalam mode Terdistribusi, cakupkan kebijakan Anda ke bucket Amazon S3 tertentu dan folder yang berisi kumpulan data Anda.

penting

Jika Anda menentukan bucket dan objek Amazon S3, atau awalan, dengan jalur referensi ke pasangan nilai kunci yang ada di input status Peta Terdistribusi, pastikan Anda memperbarui kebijakan untuk alur kerja Anda. IAM Cakupan kebijakan hingga ke bucket dan nama objek yang diselesaikan jalur saat runtime.

Contoh IAM kebijakan untuk menjalankan status Peta Terdistribusi

Bila Anda menyertakan status Peta Terdistribusi dalam alur kerja Anda, Step Functions memerlukan izin yang sesuai untuk memungkinkan peran mesin status menjalankan StartExecution API tindakan untuk status Peta Terdistribusi.

Contoh IAM kebijakan berikut memberikan hak istimewa paling sedikit yang diperlukan untuk peran mesin status Anda untuk menjalankan status Peta Terdistribusi.

catatan

Pastikan Anda mengganti stateMachineName dengan nama mesin status tempat Anda menggunakan status Peta Terdistribusi. Misalnya, arn:aws:states:us-east-2:123456789012:stateMachine:mystateMachine.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:StartExecution"
      ],
      "Resource": [
        "arn:aws:states:region:accountID:stateMachine:stateMachineName"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeExecution",
        "states:StopExecution"
      ],
      "Resource": "arn:aws:states:region:accountID:execution:stateMachineName:*"
    }
  ]
}

Contoh IAM kebijakan untuk redriving Peta Terdistribusi

Anda dapat memulai ulang eksekusi alur kerja anak yang gagal di Map Run by redrivingalur kerja orang tua Anda. A redriven alur kerja induk redrives semua negara yang gagal, termasuk Peta Terdistribusi. Pastikan bahwa peran eksekusi Anda memiliki hak istimewa paling sedikit yang diperlukan untuk memungkinkannya menjalankan RedriveExecution API tindakan pada alur kerja induk.

Contoh IAM kebijakan berikut memberikan hak istimewa paling sedikit yang diperlukan untuk peran mesin status Anda redriving status Peta Terdistribusi.

catatan

Pastikan Anda mengganti stateMachineName dengan nama mesin status tempat Anda menggunakan status Peta Terdistribusi. Misalnya, arn:aws:states:us-east-2:123456789012:stateMachine:mystateMachine.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:RedriveExecution"
      ],
      "Resource": "arn:aws:states:us-east-2:123456789012:execution:myStateMachine/myMapRunLabel:*"
    }
  ]
}

Contoh IAM kebijakan untuk membaca data dari kumpulan data Amazon S3

Contoh IAM kebijakan berikut memberikan hak istimewa paling sedikit yang diperlukan untuk mengakses kumpulan data Amazon S3 Anda menggunakan ListObjects V2 dan tindakan. GetObjectAPI

contoh IAMkebijakan untuk objek Amazon S3 sebagai kumpulan data

Contoh berikut menunjukkan IAM kebijakan yang memberikan hak istimewa paling sedikit untuk mengakses objek yang terorganisir processImages di dalam bucket Amazon S3 bernama. amzn-s3-demo-bucket

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ],
            "Condition": {
                "StringLike": {
                    "s3:prefix": [
                        "processImages"
                    ]
                }
            }
        }
    ]
}
contoh IAMkebijakan untuk CSV file sebagai kumpulan data

Contoh berikut menunjukkan IAM kebijakan yang memberikan hak istimewa paling sedikit untuk mengakses CSV file bernama. ratings.csv

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/csvDataset/ratings.csv"
            ]
        }
    ]
}
contoh IAMkebijakan untuk inventaris Amazon S3 sebagai kumpulan data

Contoh berikut menunjukkan IAM kebijakan yang memberikan hak istimewa paling sedikit untuk mengakses laporan inventaris Amazon S3.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::destination-prefix/amzn-s3-demo-bucket/config-ID/YYYY-MM-DDTHH-MMZ/manifest.json",
                "arn:aws:s3:::destination-prefix/amzn-s3-demo-bucket/config-ID/data/*"
            ]
        }
    ]
}

Contoh IAM kebijakan untuk menulis data ke bucket Amazon S3

Contoh IAM kebijakan berikut memberikan hak istimewa paling sedikit yang diperlukan untuk menulis hasil eksekusi alur kerja anak Anda ke folder bernama csvJobs di ember Amazon S3 menggunakan aksi. PutObject API

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-destination-bucket/csvJobs/*"
            ]
        }
    ]
}

IAMizin untuk AWS KMS key ember Amazon S3 terenkripsi

Status Peta Terdistribusi menggunakan unggahan multibagian untuk menulis hasil eksekusi alur kerja turunan ke bucket Amazon S3. Jika bucket dienkripsi menggunakan AWS Key Management Service (AWS KMS) kunci, Anda juga harus menyertakan izin di IAM kebijakan untuk melakukankms:Decrypt,kms:Encrypt, dan kms:GenerateDataKey tindakan pada kunci. Izin ini diperlukan karena Amazon S3 harus mendekripsi dan membaca data dari bagian file terenkripsi sebelum menyelesaikan unggahan multibagian.

Contoh IAM kebijakan berikut memberikan izin kekms:Decrypt,kms:Encrypt, dan kms:GenerateDataKey tindakan pada kunci yang digunakan untuk mengenkripsi bucket Amazon S3 Anda.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt",
      "kms:Encrypt",
      "kms:GenerateDataKey"
    ],
    "Resource": [
      "arn:aws:kms:us-east-1:123456789012:key/111aa2bb-333c-4d44-5555-a111bb2c33dd"
    ]
  }
}

Untuk informasi selengkapnya, lihat Mengunggah file besar ke Amazon S3 dengan enkripsi menggunakan AWS KMS keydi AWS Pusat Pengetahuan.

Jika IAM pengguna atau peran Anda sama Akun AWS sebagai KMS key, maka Anda harus memiliki izin ini pada kebijakan utama. Jika IAM pengguna atau peran Anda termasuk dalam akun yang berbeda dari KMS key, maka Anda harus memiliki izin pada kebijakan utama dan IAM pengguna atau peran Anda.