Princípios básicos - Amazon Simple Workflow Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Princípios básicos

O controle de SWF acesso da Amazon é baseado principalmente em dois tipos de permissões:

  • Permissões de recursos: quais SWF recursos da Amazon um usuário pode acessar.

    Você pode expressar permissões de recursos apenas para domínios.

  • APIpermissões: quais SWF ações da Amazon um usuário pode chamar.

A abordagem mais simples é conceder acesso total à conta — chamar qualquer SWF ação da Amazon em qualquer domínio — ou negar totalmente o acesso. No entanto, IAM oferece suporte a uma abordagem mais granular ao controle de acesso, que geralmente é mais útil. Por exemplo, você pode:

  • Permita que um usuário chame qualquer SWF ação da Amazon sem restrições, mas somente em um domínio especificado. Essa política pode ser usada para permitir que aplicativos de fluxo de trabalho em desenvolvimento usem qualquer ação, mas apenas um domínio de "sandbox".

  • Permita que um usuário acesse qualquer domínio, mas restrinja a forma como ele usa o. API Você pode usar essa política para permitir que um aplicativo “auditor” chame o API em qualquer domínio, mas permitir somente o acesso de leitura.

  • Permitir que um usuário chame apenas um conjunto limitado de ações em determinados domínios. Você poderia usar essa política para permitir que um iniciador de fluxo de trabalho chamasse apenas a ação StartWorkflowExecution em um domínio especificado.

O controle de SWF acesso da Amazon é baseado nos seguintes princípios:

  • As decisões de controle de acesso são baseadas apenas em IAM políticas; toda auditoria e manipulação de políticas são feitas por completo. IAM

  • O modelo de controle de acesso usa uma deny-by-default política; qualquer acesso que não seja explicitamente permitido é negado.

  • Você controla o acesso aos SWF recursos da Amazon anexando IAM políticas apropriadas aos atores do fluxo de trabalho.

  • Permissões de recursos podem ser expressas somente para domínios.

  • Você pode restringir o uso de algumas ações aplicando condições a um ou mais parâmetros.

  • Se você conceder permissão de uso RespondDecisionTaskCompleted, poderá expressar permissões para a lista de decisões incluídas nessa ação.

    Cada uma das decisões tem um ou mais parâmetros, muito parecido com uma API chamada normal. Para permitir que as políticas sejam o mais legíveis possível, você pode expressar permissões sobre decisões como se fossem API chamadas reais, incluindo a aplicação de condições a alguns parâmetros. Esses tipos de permissões são chamados de APIpseudopermissões.

Para obter um resumo de quais parâmetros regulares e API pseudoparâmetros podem ser restringidos usando condições, consulte. APIResumo