Principais conceitos neste tópico Invocar recursos entre contas

Acessando recursos em outros Contas da AWS no Step Functions

O Step Functions fornece acesso entre contas a recursos configurados de forma diferente Contas da AWS em seus fluxos de trabalho. Usando as integrações de serviços Step Functions, você pode invocar qualquer AWS recurso entre contas, mesmo que isso Serviço da AWS não ofereça suporte a políticas baseadas em recursos ou chamadas entre contas.

Por exemplo, suponha que você possua dois Contas da AWS, chamados de Desenvolvimento e Teste, no mesmo Região da AWS. Usando o acesso entre contas, seu fluxo de trabalho na conta de Desenvolvimento pode acessar recursos, como buckets do Amazon S3, tabelas do Amazon DynamoDB e funções do Lambda que estão disponíveis na conta de Teste.

Importante

IAMfunções e políticas baseadas em recursos delegam o acesso entre contas somente em uma única partição. Por exemplo, suponha que você tenha uma conta no Oeste dos EUA (Norte da Califórnia) na partição aws padrão. Além disso, você tem uma conta na China (Pequim) na partição aws-cn. Você não pode usar uma política baseada em recurso do Amazon S3 em sua conta na China (Pequim) para permitir o acesso de usuários em sua conta aws padrão.

Para obter mais informações sobre o acesso entre contas, consulte a lógica de avaliação de políticas entre contas no Guia do IAMusuário.

Embora cada um Conta da AWS mantenha controle total sobre seus próprios recursos, com o Step Functions, você pode reorganizar, trocar, adicionar ou remover etapas em seus fluxos de trabalho sem a necessidade de personalizar nenhum código. Você pode fazer isso mesmo quando os processos mudam ou os aplicativos evoluem.

Você também pode invocar execuções de máquinas de estado aninhadas para que elas estejam disponíveis em diferentes contas. Fazer isso separa e isola seus fluxos de trabalho de forma eficiente. Ao usar o padrão de integração de serviços de .sync em seus fluxos de trabalho que acessam outro fluxo de trabalho do Step Functions em uma conta diferente, o Step Functions usa uma sondagem que consome sua cota atribuída. Para obter mais informações, consulte Executar um trabalho (.sync).

nota

Atualmente, a AWS SDK integração entre regiões e o acesso a AWS recursos entre regiões não estão disponíveis no Step Functions.

Conteúdo

Principais conceitos neste tópico

Perfil de execução: Uma IAM função que o Step Functions usa para executar código e acessar AWS recursos, como a ação Invoke da AWS Lambda função.
Integração de serviços: As API ações de AWS SDK integração que podem ser chamadas de dentro de um Task estado em seus fluxos de trabalho.
Conta de origem: E Conta da AWS que é dona da máquina estatal e iniciou sua execução.
Conta de destino: E Conta da AWS para a qual você faz chamadas entre contas.
Perfil de destino: Uma IAM função na conta de destino que a máquina de estado assume para fazer chamadas para recursos que a conta de destino possui.
Executar um trabalho (.sync): Um padrão de integração de serviços usado para chamar serviços, como AWS Batch. Também faz com que uma máquina de estado do Step Functions espere a conclusão de um trabalho antes de avançar para o próximo estado. Para indicar que o Step Functions deve aguardar, acrescente o sufixo .sync no campo Resource na definição do estado Task.

Invocar recursos entre contas

Para invocar um recurso entre contas em seus fluxos de trabalho, faça o seguinte:

Crie uma IAM função na conta de destino que contém o recurso. Esse perfil concede permissões à conta de origem que contém a máquina de estado para acessar os recursos da conta de destino.
Na definição do Task estado, especifique a IAM função de destino a ser assumida pela máquina de estado antes de invocar o recurso entre contas.
Modifique a política de confiança na IAM função de destino para permitir que a conta de origem assuma essa função temporariamente. A política de confiança deve incluir o Amazon Resource Name (ARN) da máquina de estado definida na conta de origem. Além disso, defina as permissões apropriadas na IAM função de destino para chamar o AWS recurso.
Atualize a função de execução da conta de origem para incluir a permissão necessária para assumir a IAM função de destino.

Para ver um exemplo, consulte Tutorial: Acessando AWS recursos entre contas em Step Functions.

nota

Você pode configurar sua máquina de estado para assumir uma IAM função de acessar recursos de vários Contas da AWS. No entanto, uma máquina de estado só pode assumir uma IAM função em um determinado momento.

Conceito para acessar recursos entre contas

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Criação de permissões granulares para usuários não administradores

Tutorial: acessar recursos entre contas da