Principi di base - Amazon Simple Workflow Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Principi di base

Il controllo degli SWF accessi di Amazon si basa principalmente su due tipi di autorizzazioni:

  • Autorizzazioni per le risorse: a quali SWF risorse Amazon può accedere un utente.

    Puoi esprimere autorizzazioni a livello di risorsa solo per i domini.

  • APIautorizzazioni: quali SWF azioni Amazon può richiamare un utente.

L'approccio più semplice consiste nel concedere l'accesso completo all'account, richiamando qualsiasi SWF azione Amazon in qualsiasi dominio, o negare completamente l'accesso. Tuttavia, IAM supporta un approccio più granulare al controllo degli accessi che è spesso più utile. È ad esempio possibile:

  • Consenti a un utente di effettuare qualsiasi SWF azione Amazon senza restrizioni, ma solo in un dominio specifico. Potresti utilizzare tale policy per consentire alle applicazioni di flusso di lavoro in fase di sviluppo di utilizzare qualsiasi operazione, ma soltanto in un dominio "sandbox".

  • Consenti a un utente di accedere a qualsiasi dominio, ma limita il modo in cui utilizza ilAPI. È possibile utilizzare tale politica per consentire a un'applicazione «auditor» di richiamarli API in qualsiasi dominio, ma consentire solo l'accesso in lettura.

  • Consentire a un utente di chiamare soltanto un set limitato di operazioni in determinati domini. Potresti utilizzare tale policy per consentire a un starter di flusso di lavoro di chiamare unicamente l'operazione StartWorkflowExecution in un determinato dominio.

Il controllo degli SWF accessi di Amazon si basa sui seguenti principi:

  • Le decisioni relative al controllo degli accessi si basano solo sulle IAM politiche; tutte le verifiche e le manipolazioni delle politiche avvengono regolarmente. IAM

  • Il modello di controllo degli accessi utilizza una deny-by-default politica; qualsiasi accesso non esplicitamente consentito viene negato.

  • Puoi controllare l'accesso alle SWF risorse di Amazon associando IAM politiche appropriate agli attori del flusso di lavoro.

  • Le autorizzazioni a livello di risorsa possono essere espresse solo per i domini.

  • Puoi limitare ulteriormente l'utilizzo di alcune operazioni applicando condizioni a uno o più parametri.

  • Se concedi l'autorizzazione all'uso RespondDecisionTaskCompleted, puoi esprimere le autorizzazioni per l'elenco delle decisioni incluse in quell'azione.

    Ciascuna decisione ha uno o più parametri, proprio come una normale API chiamata. Per rendere le policy il più leggibili possibile, puoi esprimere le autorizzazioni sulle decisioni come se si trattasse di API chiamate effettive, inclusa l'applicazione di condizioni ad alcuni parametri. Questi tipi di autorizzazioni sono denominate pseudo autorizzazioni. API

Per un riepilogo di quali API parametri regolari e pseudo possono essere vincolati utilizzando condizioni, vedere. APIRiepilogo