Creazione di endpoint Amazon VPC per Step Functions - AWS Step Functions
Creazione dell'endpointPolitiche degli endpoint Amazon VPCPolicy di endpoint

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di endpoint Amazon VPC per Step Functions

Se utilizzi Amazon Virtual Private Cloud (Amazon VPC) per ospitare AWS le tue risorse, puoi stabilire una connessione tra Amazon VPC e i flussi di lavoro. AWS Step Functions Puoi utilizzare questa connessione con i flussi di lavoro di Step Functions senza dover accedere alla rete Internet pubblica. Gli endpoint Amazon VPC sono supportati dai flussi di lavoro Standard, dai flussi di lavoro Express e dai flussi di lavoro Synchronous Express.

Amazon VPC ti consente di avviare AWS risorse in una rete virtuale personalizzata. Puoi utilizzare un VPC per controllare le impostazioni di rete, come l'intervallo di indirizzi IP, le sottoreti, le tabelle di routing e i gateway di rete. Per ulteriori informazioni VPCs, consulta la Amazon VPC User Guide.

Per connettere Amazon VPC a Step Functions, devi prima definire un endpoint VPC di interfaccia, che ti permetta di connettere il tuo VPC ad altri servizi. AWS L'endpoint offre una connettività scalabile e affidabile senza necessità di disporre di un gateway Internet, un'istanza NAT (Network Address Translation) o una connessione VPN. Per ulteriori informazioni, consulta Endpoint VPC di interfaccia (AWS PrivateLink) nella Guida per l'utente di Amazon VPC.

Creazione dell'endpoint

Puoi creare un AWS Step Functions endpoint nel tuo VPC utilizzando, AWS Management Console AWS Command Line Interface the AWS CLI(), AWS un SDK, AWS Step Functions l'API o. AWS CloudFormation

Per informazioni sulla creazione e sulla configurazione di un endpoint utilizzando la console Amazon VPC o il AWS CLI, consulta la sezione Creazione di un endpoint di interfaccia nella Guida per l'utente di Amazon VPC.

Nota

Quando crei un endpoint, specifica Step Functions come servizio a cui desideri connettere il tuo VPC. Nella console Amazon VPC, i nomi dei servizi variano in base alla AWS regione. Ad esempio, se scegli US East (Virginia settentrionale), il nome del servizio per Standard Workflows ed Express Workflows è com.amazonaws.us-east-1.states e il nome di servizio per Synchronous Express Workflows è com.amazonaws.us-east-1.sync-states.

Nota

È possibile utilizzare gli endpoint VPC senza sovrascrivere l'endpoint nell'SDK tramite DNS privato. Tuttavia, se desideri sovrascrivere l'endpoint nell'SDK for Synchronous Express Workflows, devi impostare la configurazione su. DisableHostPrefixInjection true Esempio (Java SDK V2): 

SfnClient.builder()
  .endpointOverride(URI.create("https://vpce-{vpceId}.sync-states.us-east-1.vpce.amazonaws.com"))
  .overrideConfiguration(ClientOverrideConfiguration.builder()
    .advancedOptions(ImmutableMap.of(SdkAdvancedClientOption.DISABLE_HOST_PREFIX_INJECTION, true))
    .build())
  .build();

Per informazioni sulla creazione e configurazione di un endpoint utilizzando AWS CloudFormation, consulta la VPCEndpoint risorsa AWS:::EC2: nella AWS CloudFormation User Guide.

Politiche degli endpoint Amazon VPC

Per controllare l'accesso alla connettività a Step Functions, puoi allegare una policy per gli endpoint AWS Identity and Access Management (IAM) durante la creazione di un endpoint Amazon VPC. Puoi creare regole IAM complesse collegando più policy per gli endpoint. Per ulteriori informazioni, consultare:

Policy degli endpoint di Amazon Virtual Private Cloud per Step Functions

Puoi creare una policy di endpoint Amazon VPC per Step Functions in cui specifichi quanto segue:

  • Il principale che può eseguire azioni.

  • Le azioni che possono essere eseguite.

  • Le risorse in cui è possibile eseguire le operazioni.

L'esempio seguente mostra una policy per gli endpoint di Amazon VPC che consente a un utente di creare macchine a stati e nega a tutti gli altri utenti l'autorizzazione a eliminare le macchine a stati. La policy di esempio concede inoltre l'autorizzazione di esecuzione a tutti gli utenti .

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "*Execution",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Action": "states:CreateStateMachine",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": {
              "AWS": "arn:aws:iam::123456789012:user/MyUser"
            }
        },
        {
            "Action": "states:DeleteStateMachine",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}

Per ulteriori informazioni sulla creazione delle policy di endpoint, consulta: