As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como criar permissões granulares do IAM para usuários que não são administradores

As políticas gerenciadas padrão no IAM, comoReadOnly, não abrangem totalmente todos os tipos de AWS Step Functions permissões. Esta seção descreve esses tipos diferentes de permissões e apresenta alguns exemplos de configurações.

O Step Functions tem quatro categorias de permissões. Dependendo do acesso que você deseja fornecer a um usuário, pode controlar o acesso usando as permissões dessas categorias.

Permissões no nível do serviço

Esse nível de permissão se aplica a todas as ações da API que não atuam em um recurso específico. Isso inclui CreateStateMachineCreateActivity, ListStateMachinesListActivities,, ValidationStateMachineDefinition e.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:ListStateMachines",
        "states:ListActivities",
        "states:CreateStateMachine",
        "states:CreateActivity",
        "states:ValidationStateMachineDefinition", 
      ],
      "Resource": [ 
        "arn:aws:states:*:*:*" 
      ]
    },
    {
      "Effect": "Allow",
      "Action": [ 
        "iam:PassRole"
      ],
      "Resource": [
        "arn:aws:iam:::role/my-execution-role"
      ]
    }
  ]
}

Permissões no nível da máquina de estado

Esse nível de permissão se aplica a todas as ações de API que atuam em uma máquina de estado específica. Essas operações de API requerem o nome do recurso da Amazon (ARN) da máquina de estado como parte da solicitação, como DeleteStateMachine, DescribeStateMachine, StartExecution e ListExecutions.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeStateMachine",
        "states:StartExecution",
        "states:DeleteStateMachine",
        "states:ListExecutions",
        "states:UpdateStateMachine",
        "states:TestState",
        "states:RevealSecrets"
      ],
      "Resource": [ 
        "arn:aws:states:*:*:stateMachine:StateMachinePrefix*" 
      ]
    }
  ]
}

Permissões no nível da execução

Esse nível de permissão se aplica a todas as ações de API que atuam em uma execução específica. Essas operações de API exigem o ARN da execução como parte da solicitação, como DescribeExecution, GetExecutionHistory e StopExecution.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeExecution",
        "states:DescribeStateMachineForExecution",
        "states:GetExecutionHistory",
        "states:StopExecution"
      ],
      "Resource": [ 
        "arn:aws:states:*:*:execution:*:ExecutionPrefix*"
      ]
    }
  ]
}

Permissões no nível da atividade

Esse nível de permissão se aplica a todas as ações de API que atuam em uma atividade específica ou em uma determinada instância dela. Essas operações de API exigem o ARN da atividade ou o token da instância como parte da solicitação, como DeleteActivity, DescribeActivity, GetActivityTask e SendTaskHeartbeat.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeActivity",
        "states:DeleteActivity",
        "states:GetActivityTask",
        "states:SendTaskHeartbeat"
      ],
      "Resource": [
        "arn:aws:states:*:*:activity:ActivityPrefix*"
      ]
    }
  ]
}