Autorizzazione per versioni e alias nei flussi di lavoro Step Functions

Per richiamare le azioni di Step API Functions con una versione o un alias, sono necessarie le autorizzazioni appropriate. Per autorizzare una versione o un alias a richiamare un'APIazione, Step Functions utilizza la macchina a stati ARN invece di utilizzare la versione ARN o l'alias. ARN Puoi anche limitare le autorizzazioni per una versione o un alias specifici. Per ulteriori informazioni, consulta Ridurre l'ambito delle autorizzazioni.

È possibile utilizzare il seguente esempio di IAM policy di una macchina a stati denominata myStateMachine per richiamare l'CreateStateMachineAliasAPIazione di creazione di un alias di una macchina a stati.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "states:CreateStateMachineAlias",
      "Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine"
    }
  ]
}

Quando impostate le autorizzazioni per consentire o negare l'accesso alle API azioni utilizzando versioni o alias di macchine a stati, tenete presente quanto segue:

Se utilizzate il publish parametro CreateStateMachineand UpdateStateMachineAPIactions per pubblicare una nuova versione della macchina a stati, avete bisogno anche dell'ALLOWautorizzazione per l'azione. PublishStateMachineVersionAPI
L'DeleteStateMachineAPIazione elimina tutte le versioni e gli alias associati a una macchina a stati.

Ridurre l'ambito delle autorizzazioni per una versione o un alias

È possibile utilizzare un qualificatore per definire ulteriormente l'autorizzazione di autorizzazione richiesta da una versione o da un alias. Un qualificatore si riferisce a un numero di versione o a un nome alias. Il qualificatore viene utilizzato per qualificare una macchina a stati. L'esempio seguente è una macchina a stati ARN che utilizza un alias denominato PROD come qualificatore.


arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine:PROD

Per ulteriori informazioni su qualified e ARNs unqualified, vedere. Associazione delle esecuzioni a una versione o a un alias

È possibile definire l'ambito delle autorizzazioni utilizzando la chiave di contesto opzionale denominata states:StateMachineQualifier nell'IAMinformativa di Condition una policy. Ad esempio, la seguente IAM politica per una macchina a stati denominata myStateMachine nega l'accesso per richiamare l'DescribeStateMachineAPIazione con un alias denominato as PROD o la versione. 1


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "states:DescribeStateMachine",
      "Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "states:StateMachineQualifier": [
            "PROD",
            "1"
          ]
        }
      }
    }
  ]
}

L'elenco seguente specifica le API azioni per le quali è possibile definire le autorizzazioni con la chiave di contesto. StateMachineQualifier

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Alias

Associazione delle esecuzioni a una versione o a un alias