Step Functions 워크플로의 버전 및 별칭에 대한 권한 부여

버전 또는 별칭을 사용하여 Step API Functions 작업을 호출하려면 적절한 권한이 필요합니다. 버전 또는 별칭이 작업을 호출하도록 승인하기 위해 Step API Functions는 ARN 버전이나 별칭을 사용하는 ARN 대신 상태 머신의 상태를 사용합니다. ARN 특정 버전이나 별칭에 대한 권한의 범위를 좁힐 수도 있습니다. 자세한 내용은 권한 범위 축소 단원을 참조하십시오.

이름이 지정된 상태 시스템의 다음 IAM 정책 예제를 사용하여 CreateStateMachineAliasAPI작업을 myStateMachine 호출하여 상태 시스템 별칭을 만들 수 있습니다.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "states:CreateStateMachineAlias",
      "Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine"
    }
  ]
}

상태 시스템 버전 또는 별칭을 사용하여 API 작업에 대한 액세스를 허용하거나 거부하도록 권한을 설정할 때는 다음 사항을 고려하십시오.

CreateStateMachine및 UpdateStateMachineAPI액션의 publish 매개 변수를 사용하여 새 상태 머신 버전을 게시하는 경우 해당 작업에 대한 ALLOW 권한도 필요합니다. PublishStateMachineVersionAPI
DeleteStateMachineAPI액션은 스테이트 머신과 관련된 모든 버전과 별칭을 삭제합니다.

버전 또는 별칭에 대한 권한 범위 축소

한정자를 사용하여 버전이나 별칭에 필요한 권한을 부여할 수 있는 권한의 범위를 더 좁힐 수 있습니다. 한정자는 버전 번호나 별칭 이름을 나타냅니다. 한정자를 사용하여 상태 시스템을 검증할 수 있습니다. 다음 예제는 PROD 한정자로 이름이 지정된 별칭을 ARN 사용하는 상태 시스템입니다.


arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine:PROD

적격 및 ARNs 비정규화에 대한 자세한 내용은 을 참조하십시오. 실행을 버전 또는 별칭과 연결

IAM정책 Condition 설명에 이름이 지정된 states:StateMachineQualifier 선택적 컨텍스트 키를 사용하여 권한 범위를 좁힐 수 있습니다. 예를 들어, 이름이 지정된 상태 시스템에 대한 다음 IAM 정책은 로 명명된 별칭 PROD 또는 버전을 사용하여 DescribeStateMachineAPI작업을 호출할 수 있는 액세스를 myStateMachine 거부합니다. 1


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "states:DescribeStateMachine",
      "Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "states:StateMachineQualifier": [
            "PROD",
            "1"
          ]
        }
      }
    }
  ]
}

다음 목록은 컨텍스트 키를 사용하여 권한 범위를 좁힐 수 있는 API 작업을 지정합니다. StateMachineQualifier

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

에일리어스

실행을 버전 또는 별칭과 연결