Autorização para versões e aliases nos fluxos de trabalho do Step Functions

Para invocar API ações do Step Functions com uma versão ou um alias, você precisa das permissões apropriadas. Para autorizar uma versão ou um alias a invocar uma API ação, o Step Functions usa a máquina de estado ARN em vez de usar a versão ARN ou o alias. ARN Você também pode definir o escopo das permissões de uma versão ou alias específico. Para obter mais informações, consulte Definir o escopo das permissões.

Você pode usar o exemplo de IAM política a seguir de uma máquina de estado chamada myStateMachine para invocar a CreateStateMachineAliasAPIação para criar um alias de máquina de estado.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "states:CreateStateMachineAlias",
      "Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine"
    }
  ]
}

Ao definir permissões para permitir ou negar acesso a API ações usando versões ou aliases de máquina de estado, considere o seguinte:

Se você usar o publish parâmetro das UpdateStateMachineAPIações CreateStateMachinee para publicar uma nova versão da máquina de estado, também precisará da ALLOW permissão para a PublishStateMachineVersionAPIação.
A DeleteStateMachineAPIação exclui todas as versões e aliases associados a uma máquina de estado.

Definir o escopo de permissões para uma versão ou alias

Você pode usar um qualificador para detalhar ainda mais a permissão de autorização necessária para uma versão ou um alias. Um qualificador se refere a um número de versão ou nome de alias. Você usa o qualificador para qualificar uma máquina de estado. O exemplo a seguir é uma máquina de estado ARN que usa um PROD alias chamado qualificador.


arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine:PROD

Para obter mais informações sobre qualificados e não qualificadosARNs, consulteComo associar execuções de máquinas a uma versão ou alias.

Você define o escopo das permissões usando a chave de contexto opcional nomeada states:StateMachineQualifier na Condition declaração de uma IAM política. Por exemplo, a IAM política a seguir para uma máquina de estado chamada myStateMachine nega acesso para invocar a DescribeStateMachineAPIação com um alias chamado como PROD ou a versão. 1


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "states:DescribeStateMachine",
      "Resource": "arn:aws:states:us-east-1:123456789012:stateMachine:myStateMachine",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "states:StateMachineQualifier": [
            "PROD",
            "1"
          ]
        }
      }
    }
  ]
}

A lista a seguir especifica as API ações nas quais você pode definir o escopo das permissões com a chave de StateMachineQualifier contexto.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Aliases

Como associar execuções de máquinas a uma versão ou alias