기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
버전 또는 별칭을 사용하여 Step Functions API 작업을 간접적으로 호출하려면 적절한 권한이 필요합니다. API 작업을 간접적으로 호출하도록 버전이나 별칭에 권한을 부여하기 위해 Step Functions는 버전 ARN 또는 별칭 ARN을 사용하는 대신 상태 시스템의 ARN을 사용합니다. 특정 버전이나 별칭에 대한 권한의 범위를 좁힐 수도 있습니다. 자세한 내용은 권한 범위 축소 단원을 참조하십시오.
myStateMachine
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "states:CreateStateMachineAlias",
"Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine"
}
]
}상태 시스템 버전이나 별칭을 사용하여 API 작업에 대한 액세스를 허용하거나 거부할 수 있는 권한을 설정할 때는 다음 사항을 고려하세요.
CreateStateMachine 및 UpdateStateMachine API 작업의
publish파라미터를 사용하여 새 상태 시스템 버전을 게시하는 경우 PublishStateMachineVersion API 작업에 대한ALLOW권한도 필요합니다.DeleteStateMachine API 작업은 상태 시스템과 관련된 모든 버전 및 별칭을 삭제합니다.
버전 또는 별칭에 대한 권한 범위 축소
한정자를 사용하여 버전이나 별칭에 필요한 권한을 부여할 수 있는 권한의 범위를 더 좁힐 수 있습니다. 한정자는 버전 번호나 별칭 이름을 나타냅니다. 한정자를 사용하여 상태 시스템을 검증할 수 있습니다. 다음 예제는 한정자로 PROD라는 별칭을 사용하는 상태 시스템 ARN입니다.
arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine:PROD검증된 ARN 및 검증되지 않은 ARN에 대한 자세한 내용은 실행을 버전 또는 별칭과 연결 섹션을 참조하세요.
IAM 정책의 Condition 문에서 states:StateMachineQualifier라는 선택적 컨텍스트 키를 사용하여 권한 범위를 좁힙니다. 예를 들어 myStateMachine이라는 상태 시스템에 대한 다음 IAM 정책은 PROD라는 별칭이나 버전 1을 사용하여 DescribeStateMachine API 작업을 간접적으로 호출할 수 있는 액세스를 거부합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "states:DescribeStateMachine",
"Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine",
"Condition": {
"ForAnyValue:StringEquals": {
"states:StateMachineQualifier": [
"PROD",
"1"
]
}
}
}
]
}다음 목록에서는 StateMachineQualifier 컨텍스트 키를 사용하여 권한 범위를 좁힐 수 있는 API 작업을 지정합니다.
