Kebijakan IAM untuk menggunakan status Peta Terdistribusi - AWS Step Functions
Contoh kebijakan IAM untuk menjalankan status Peta TerdistribusiContoh kebijakan IAM untuk Peta redriving TerdistribusiContoh kebijakan IAM untuk membaca data dari kumpulan data Amazon S3Contoh kebijakan IAM untuk menulis data ke bucket Amazon S3

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan IAM untuk menggunakan status Peta Terdistribusi

Saat Anda membuat alur kerja dengan konsol Step Functions, Step Functions dapat secara otomatis menghasilkan kebijakan IAM berdasarkan sumber daya dalam definisi alur kerja Anda. Kebijakan ini mencakup hak istimewa paling sedikit yang diperlukan untuk memungkinkan peran mesin status menjalankan tindakan StartExecution API untuk status Peta Terdistribusi. Kebijakan ini juga mencakup hak istimewa paling sedikit Step Functions yang diperlukan untuk mengakses AWS sumber daya, seperti bucket dan objek Amazon S3 serta fungsi Lambda. Kami sangat menyarankan agar Anda hanya menyertakan izin yang diperlukan dalam kebijakan IAM Anda. Misalnya, jika alur kerja Anda menyertakan Map status dalam mode Terdistribusi, cakupkan kebijakan Anda ke bucket Amazon S3 tertentu dan folder yang berisi kumpulan data Anda.

penting

Jika Anda menentukan bucket dan objek Amazon S3, atau awalan, dengan jalur referensi ke pasangan nilai kunci yang ada di input status Peta Terdistribusi, pastikan Anda memperbarui kebijakan IAM untuk alur kerja Anda. Cakupan kebijakan hingga ke bucket dan nama objek yang diselesaikan jalur saat runtime.

Contoh kebijakan IAM untuk menjalankan status Peta Terdistribusi

Bila Anda menyertakan status Peta Terdistribusi dalam alur kerja Anda, Step Functions memerlukan izin yang sesuai untuk memungkinkan peran mesin status menjalankan tindakan StartExecution API untuk status Peta Terdistribusi.

Contoh kebijakan IAM berikut memberikan hak istimewa paling sedikit yang diperlukan untuk peran mesin status Anda untuk menjalankan status Peta Terdistribusi.

catatan

Pastikan Anda mengganti stateMachineName dengan nama mesin status tempat Anda menggunakan status Peta Terdistribusi. Misalnya, arn:aws:states:us-east-2:123456789012:stateMachine:mystateMachine.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:StartExecution"
      ],
      "Resource": [
        "arn:aws:states:region:accountID:stateMachine:stateMachineName"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeExecution",
        "states:StopExecution"
      ],
      "Resource": "arn:aws:states:region:accountID:execution:stateMachineName:*"
    }
  ]
}

Contoh kebijakan IAM untuk Peta redriving Terdistribusi

Anda dapat memulai ulang eksekusi alur kerja anak yang gagal di Map Run oleh alur kerja induk redrivingAnda. Alur kerja redriven induk redrives semua status gagal, termasuk Peta Terdistribusi. Pastikan peran eksekusi Anda memiliki hak istimewa paling sedikit yang diperlukan untuk memungkinkannya menjalankan tindakan RedriveExecution API pada alur kerja induk.

Contoh kebijakan IAM berikut memberikan hak istimewa paling sedikit yang diperlukan untuk peran mesin status Anda untuk redriving status Peta Terdistribusi.

catatan

Pastikan Anda mengganti stateMachineName dengan nama mesin status tempat Anda menggunakan status Peta Terdistribusi. Misalnya, arn:aws:states:us-east-2:123456789012:stateMachine:mystateMachine.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:RedriveExecution"
      ],
      "Resource": "arn:aws:states:us-east-2:123456789012:execution:myStateMachine/myMapRunLabel:*"
    }
  ]
}

Contoh kebijakan IAM untuk membaca data dari kumpulan data Amazon S3

Contoh kebijakan IAM berikut memberikan hak istimewa paling sedikit yang diperlukan untuk mengakses kumpulan data Amazon S3 Anda menggunakan ListObjects tindakan V2 dan API. GetObject

contoh Kebijakan IAM untuk objek Amazon S3 sebagai kumpulan data

Contoh berikut menunjukkan kebijakan IAM yang memberikan hak istimewa paling sedikit untuk mengakses objek yang terorganisir processImages dalam bucket Amazon S3 bernama. myBucket

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::myBucket"
            ],
            "Condition": {
                "StringLike": {
                    "s3:prefix": [
                        "processImages"
                    ]
                }
            }
        }
    ]
}
contoh Kebijakan IAM untuk file CSV sebagai kumpulan data

Contoh berikut menunjukkan kebijakan IAM yang memberikan hak istimewa paling sedikit untuk mengakses file CSV bernama. ratings.csv

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::myBucket/csvDataset/ratings.csv"
            ]
        }
    ]
}
contoh Kebijakan IAM untuk inventaris Amazon S3 sebagai kumpulan data

Contoh berikut menunjukkan kebijakan IAM yang memberikan hak istimewa paling sedikit untuk mengakses laporan inventaris Amazon S3.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::destination-prefix/source-bucket/config-ID/YYYY-MM-DDTHH-MMZ/manifest.json",
                "arn:aws:s3:::destination-prefix/source-bucket/config-ID/data/*"
            ]
        }
    ]
}

Contoh kebijakan IAM untuk menulis data ke bucket Amazon S3

Contoh kebijakan IAM berikut memberikan hak istimewa paling sedikit yang diperlukan untuk menulis hasil eksekusi alur kerja turunan Anda ke folder bernama CSVjobs di bucket Amazon S3 menggunakan tindakan API. PutObject

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload"
            ],
            "Resource": [
                "arn:aws:s3:::resultBucket/csvJobs/*"
            ]
        }
    ]
}

Izin IAM untuk bucket AWS KMS key Amazon S3 terenkripsi

Status Peta Terdistribusi menggunakan unggahan multibagian untuk menulis hasil eksekusi alur kerja turunan ke bucket Amazon S3. Jika bucket dienkripsi menggunakan AWS Key Management Service (AWS KMS) kunci, Anda juga harus menyertakan izin dalam IAM kebijakan untuk melakukan kms:Decryptkms:Encrypt, dan kms:GenerateDataKey tindakan pada kunci tersebut. Izin ini diperlukan karena Amazon S3 harus mendekripsi dan membaca data dari bagian file terenkripsi sebelum menyelesaikan unggahan multibagian.

Contoh kebijakan IAM berikut memberikan izin kekms:Decrypt,kms:Encrypt, dan kms:GenerateDataKey tindakan pada kunci yang digunakan untuk mengenkripsi bucket Amazon S3 Anda.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt",
      "kms:Encrypt",
      "kms:GenerateDataKey"
    ],
    "Resource": [
      "arn:aws:kms:us-east-1:123456789012:key/111aa2bb-333c-4d44-5555-a111bb2c33dd"
    ]
  }
}

Untuk informasi lebih lanjut, lihat Mengunggah sebuah file besar ke Amazon S3 dengan enkripsi menggunakan AWS KMS key dalam AWS Pusat Pengetahuan.

Jika pengguna atau peran IAM Anda Akun AWS sama denganKMS key, maka Anda harus memiliki izin ini pada kebijakan utama. Jika pengguna atau peran IAM Anda milik akun yang berbeda dari akunKMS key, maka Anda harus memiliki izin pada kebijakan utama dan pengguna atau peran IAM Anda.