Configurare i ruoli di esecuzione con Workflow Studio in Step Functions - AWS Step Functions
Informazioni sui ruoli generati automaticamenteGenerazione automatica di ruoliRisoluzione dei problemi relativi alla generazione di ruoliRuolo per il test HTTP delle attività in Workflow StudioRuolo per testare un'integrazione di servizi ottimizzata in Workflow StudioRuolo per testare l'integrazione AWS SDK di un servizio in Workflow StudioRuolo per testare gli stati del flusso in Workflow Studio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurare i ruoli di esecuzione con Workflow Studio in Step Functions

È possibile utilizzare Workflow Studio per configurare i ruoli di esecuzione per i flussi di lavoro. Ogni macchina a Step Functions stati richiede un ruolo AWS Identity and Access Management (IAM) che concede alla macchina a stati l'autorizzazione a eseguire azioni su risorse AWS servizi e o chiamare terze parti. APIs Questo ruolo è chiamato ruolo di esecuzione.

Il ruolo di esecuzione deve contenere IAM politiche per ogni azione, ad esempio politiche che consentono alla macchina a stati di richiamare una AWS Lambda funzione, eseguire un AWS Batch processo o chiamare StripeAPI. Step Functionsrichiede di fornire un ruolo di esecuzione nei seguenti casi:

  • Si crea una macchina a stati nella console AWS SDKs o AWS CLI utilizzando il CreateStateMachineAPI.

  • Si verifica uno stato nella console o AWS SDKs si AWS CLI utilizza il TestStateAPI.

Informazioni sui ruoli generati automaticamente

Quando crei una macchina a stati nella Step Functions console, Workflow Studio può creare automaticamente un ruolo di esecuzione che contiene le IAM politiche necessarie. Workflow Studio analizza la definizione della macchina a stati e genera politiche con i privilegi minimi necessari per eseguire il flusso di lavoro.

Workflow Studio può generare IAM policy per quanto segue:

Workflow Studio non è in grado IAM di generare politiche per gli stati delle attività che chiamano altre persone AWS servizi utilizzando AWS SDKintegrazioni.

Generazione automatica di ruoli

  1. Apri la console Step Functions e scegli Crea macchina a stati.

    Puoi anche aggiornare una macchina a stati esistente. Fai riferimento al Passaggio 4 se stai aggiornando una macchina a stati.

  2. Nella finestra di dialogo Scegli un modello, seleziona Vuoto.

  3. Scegliete Seleziona per aprire Workflow Studio inmodalità di progettazione.

  4. Scegli la scheda Config.

  5. Scorri verso il basso fino alla sezione Autorizzazioni ed esegui le seguenti operazioni:

    1. Per il ruolo di esecuzione, assicurati di mantenere la selezione predefinita di Crea nuovo ruolo.

      Workflow Studio genera automaticamente tutte le IAM politiche richieste per ogni stato valido nella definizione della macchina a stati. Visualizza un banner con il messaggio, Verrà creato un ruolo di esecuzione con autorizzazioni complete.

      Schermata illustrativa della scheda Config con anteprima delle autorizzazioni generate automaticamente.
      Suggerimento

      Per esaminare le autorizzazioni generate automaticamente da Workflow Studio per la tua macchina a stati, scegli Rivedi le autorizzazioni generate automaticamente.

      Nota

      Se elimini il IAM ruolo creato da Step Functions, Step Functions non può ricrearlo in un secondo momento. Allo stesso modo, se modifichi il ruolo (ad esempio, rimuovendo Step Functions dai principi della IAM politica), Step Functions non può ripristinare le impostazioni originali in un secondo momento.

      Se Workflow Studio non è in grado di generare tutte le IAM politiche richieste, visualizza un banner con il messaggio Le autorizzazioni per determinate azioni non possono essere generate automaticamente. Verrà creato un IAM ruolo solo con autorizzazioni parziali. Per informazioni su come aggiungere le autorizzazioni mancanti, consulta. Risoluzione dei problemi relativi alla generazione di ruoli

    2. Scegli Crea se stai creando una macchina a stati. Altrimenti, scegliere Save (Salva).

    3. Scegli Conferma nella finestra di dialogo che appare.

      Workflow Studio salva la macchina a stati e crea il nuovo ruolo di esecuzione.

Risoluzione dei problemi relativi alla generazione di ruoli

Workflow Studio non è in grado di generare automaticamente un ruolo di esecuzione con tutte le autorizzazioni richieste nei seguenti casi:

  • Ci sono errori nella tua macchina a stati. Assicurati di risolvere tutti gli errori di convalida in Workflow Studio. Inoltre, assicuratevi di correggere eventuali errori sul lato server riscontrati durante il salvataggio.

  • La tua macchina a stati contiene attività, utilizza AWS SDK integrazioni. Workflow Studio non può generare automaticamente IAM le policy in questo caso. Workflow Studio visualizza un banner con il messaggio «Le autorizzazioni per determinate azioni non possono essere generate automaticamente». Verrà creato un IAM ruolo solo con autorizzazioni parziali. Nella tabella Rivedi le autorizzazioni generate automaticamente, scegli il contenuto in Stato per ulteriori informazioni sulle politiche mancanti nel tuo ruolo di esecuzione. Workflow Studio può ancora generare un ruolo di esecuzione, ma questo ruolo non conterrà IAM politiche per tutte le azioni. Consulta i collegamenti nella sezione Collegamenti alla documentazione per scrivere le tue politiche e aggiungerle al ruolo dopo che è stato generato. Questi collegamenti sono disponibili anche dopo aver salvato la macchina a stati.

Ruolo per il test HTTP delle attività in Workflow Studio

È necessario un ruolo di esecuzione per testare lo stato di un HTTP Task. Se non disponi di un ruolo con autorizzazioni sufficienti, utilizza una delle seguenti opzioni per creare un ruolo:

  • Generazione automatica di un ruolo con Workflow Studio (consigliato): questa è l'opzione sicura. Chiudi la finestra di dialogo Test state e segui le istruzioni riportate inGenerazione automatica di ruoli. Ciò richiederà prima di creare o aggiornare la macchina a stati, quindi tornare in Workflow Studio per testare lo stato.

  • Usa un ruolo con accesso da amministratore: se disponi delle autorizzazioni per creare un ruolo con accesso completo a tutti i servizi e le risorse AWS, puoi utilizzare quel ruolo per testare qualsiasi tipo di stato nel tuo flusso di lavoro. A tale scopo, puoi creare un ruolo Step Functions di servizio e aggiungervi la AdministratorAccess policy nella IAM console https://console.aws.amazon.com/iam/.

Ruolo per testare un'integrazione di servizi ottimizzata in Workflow Studio

È necessario un ruolo di esecuzione per gli stati Task che richiamano integrazioni di servizi ottimizzate. Se non disponi di un ruolo con autorizzazioni sufficienti, utilizza una delle seguenti opzioni per creare un ruolo:

  • Generazione automatica di un ruolo con Workflow Studio (consigliato): questa è l'opzione sicura. Chiudi la finestra di dialogo Test state e segui le istruzioni riportate inGenerazione automatica di ruoli. Ciò richiederà prima di creare o aggiornare la macchina a stati, quindi tornare in Workflow Studio per testare lo stato.

  • Usa un ruolo con accesso da amministratore: se disponi delle autorizzazioni per creare un ruolo con accesso completo a tutti i servizi e le risorse AWS, puoi utilizzare quel ruolo per testare qualsiasi tipo di stato nel tuo flusso di lavoro. A tale scopo, puoi creare un ruolo Step Functions di servizio e aggiungervi la AdministratorAccess policy nella IAM console https://console.aws.amazon.com/iam/.

Ruolo per testare l'integrazione AWS SDK di un servizio in Workflow Studio

È necessario un ruolo di esecuzione per gli stati di Task che richiamano AWS SDKle integrazioni. Se non disponi di un ruolo con autorizzazioni sufficienti, utilizza una delle seguenti opzioni per creare un ruolo:

  • Generazione automatica di un ruolo con Workflow Studio (consigliato): questa è l'opzione sicura. Chiudi la finestra di dialogo Test state e segui le istruzioni riportate inGenerazione automatica di ruoli. Ciò richiederà prima di creare o aggiornare la macchina a stati, quindi tornare in Workflow Studio per testare lo stato. Esegui questa operazione:

    1. Chiudete la finestra di dialogo dello stato di test

    2. Scegli la scheda Config per visualizzare la modalità Config.

    3. Scorri verso il basso fino alla sezione Autorizzazioni.

    4. Workflow Studio visualizza un banner con il messaggio «Le autorizzazioni per determinate azioni non possono essere generate automaticamente». Verrà creato un IAM ruolo solo con autorizzazioni parziali. Scegli Rivedi le autorizzazioni generate automaticamente.

    5. La tabella Rivedi le autorizzazioni generate automaticamente visualizza una riga che mostra l'azione corrispondente allo stato dell'attività che desideri testare. Consulta i collegamenti nella sezione Collegamenti alla documentazione per scrivere IAM le tue politiche in un ruolo personalizzato.

  • Usa un ruolo con accesso da amministratore: se disponi delle autorizzazioni per creare un ruolo con accesso completo a tutti i servizi e le risorse AWS, puoi utilizzare quel ruolo per testare qualsiasi tipo di stato nel tuo flusso di lavoro. A tale scopo, puoi creare un ruolo Step Functions di servizio e aggiungervi la AdministratorAccess policy nella IAM console https://console.aws.amazon.com/iam/.

Ruolo per testare gli stati del flusso in Workflow Studio

È necessario un ruolo di esecuzione per testare gli stati del flusso in Workflow Studio. Gli stati del flusso sono quegli stati che dirigono il flusso di esecuzioneStato del flusso di lavoro di scelta, ad esempio Stato del flusso di lavoro paralleloStato del flusso di lavoro della mappa,Passare lo stato del workflow,Attendi lo stato del workflow,,Stato del flusso di lavoro Success, oStato del flusso di lavoro fallito. Non TestStateAPIfunziona con gli stati Map o Parallel. Utilizzate una delle seguenti opzioni per creare un ruolo per il test dello stato del flusso:

  • Usa qualsiasi ruolo nel tuo Account AWS (consigliato): gli stati di flusso non richiedono IAM politiche specifiche, perché non richiedono AWS azioni o risorse. Pertanto, puoi utilizzare qualsiasi IAM ruolo nel tuo Account AWS.

    1. Nella finestra di dialogo Stato del test, selezionate un ruolo dall'elenco a discesa Ruolo di esecuzione.

    2. Se non viene visualizzato alcun ruolo nell'elenco a discesa, procedi come segue:

      1. Nella IAM console https://console.aws.amazon.com/iam/, scegli Ruoli.

      2. Scegli un ruolo dall'elenco e copialo ARN dalla pagina dei dettagli del ruolo. Dovrai fornirlo ARN nella finestra di dialogo Test state.

      3. Nella finestra di dialogo Test state, selezionate Inserisci un ruolo ARN dall'elenco a discesa Execution role.

      4. Incolla il file ARN in Ruolo ARN.

  • Usa un ruolo con accesso da amministratore: se disponi delle autorizzazioni per creare un ruolo con accesso completo a tutti i servizi e le risorse in AWS, puoi utilizzare quel ruolo per testare qualsiasi tipo di stato nel tuo flusso di lavoro. A tale scopo, puoi creare un ruolo Step Functions di servizio e aggiungervi la AdministratorAccess policy nella IAM console https://console.aws.amazon.com/iam/.