Acesso entre contas para o padrão de integração.sync em Step Functions - AWS Step Functions
Atualização da política de confiança para chamadas .syncPermissões necessárias para chamadas .sync

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Acesso entre contas para o padrão de integração.sync em Step Functions

Ao usar os padrões de integração de serviços .sync em seus fluxos de trabalho, o Step Functions pesquisa o recurso entre contas invocado para confirmar que a tarefa foi concluída. Isso causa um pequeno atraso entre o tempo real de conclusão da tarefa e o momento em que o Step Functions reconhece a tarefa como concluída. A IAM função de destino precisa das permissões necessárias para que uma .sync invocação conclua esse ciclo de pesquisa. Para fazer isso, a IAM função de destino deve ter uma política de confiança que permita que a conta de origem a assuma. Além disso, a IAM função de destino precisa das permissões necessárias para concluir o ciclo de pesquisa.

nota

Para fluxos de trabalho expressos aninhados, arn:aws:states:::states:startExecution.sync não é compatível no momento. Use arn:aws:states:::aws-sdk:sfn:startSyncExecution em vez disso.

Atualização da política de confiança para chamadas .sync

Atualize a política de confiança da sua IAM função de destino, conforme mostrado no exemplo a seguir. O campo sts:ExternalId controla ainda mais quem pode assumir o perfil. O nome da máquina de estado deve incluir somente os caracteres que ela AWS Security Token Service AssumeRole API suporta. Para obter mais informações, consulte AssumeRolena AWS Security Token Service APIReferência.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Principal": {
        "AWS": "arn:aws:iam::sourceAccountID:role/InvokeRole",
      },
      "Condition": {
        "StringEquals": {
          "sts:ExternalId": "arn:aws:states:us-east-2:sourceAccountID:stateMachine:stateMachineName"
        }
      }
    }
  ]
}

Permissões necessárias para chamadas .sync

Para conceder as permissões necessárias para sua máquina de estado, atualize as permissões necessárias para a IAM função de destino. Para obter mais informações, consulte Como o Step Functions gera IAM políticas para serviços integrados. As EventBridge permissões da Amazon das políticas de exemplo não são necessárias. Por exemplo, para iniciar uma máquina de estado, adicione as seguintes permissões.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:StartExecution"
      ],
      "Resource": [
        "arn:aws:states:region:accountID:stateMachine:stateMachineName"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeExecution",
        "states:StopExecution"
      ],
      "Resource": [
        "arn:aws:states:region:accountID:execution:stateMachineName:*"
      ]
    }
  ]
}