As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Acesso entre contas para o padrão de integração.sync em Step Functions
Ao usar os padrões de integração de serviços .sync
em seus fluxos de trabalho, o Step Functions pesquisa o recurso entre contas invocado para confirmar que a tarefa foi concluída. Isso causa um pequeno atraso entre o tempo real de conclusão da tarefa e o momento em que o Step Functions reconhece a tarefa como concluída. A IAM função de destino precisa das permissões necessárias para que uma .sync
invocação conclua esse ciclo de pesquisa. Para fazer isso, a IAM função de destino deve ter uma política de confiança que permita que a conta de origem a assuma. Além disso, a IAM função de destino precisa das permissões necessárias para concluir o ciclo de pesquisa.
nota
Para fluxos de trabalho expressos aninhados, arn:aws:states:::states:startExecution.sync
não é compatível no momento. Use arn:aws:states:::aws-sdk:sfn:startSyncExecution
em vez disso.
Atualização da política de confiança para chamadas .sync
Atualize a política de confiança da sua IAM função de destino, conforme mostrado no exemplo a seguir. O campo sts:ExternalId
controla ainda mais quem pode assumir o perfil. O nome da máquina de estado deve incluir somente os caracteres que ela AWS Security Token Service AssumeRole
API suporta. Para obter mais informações, consulte AssumeRolena AWS Security Token Service APIReferência.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Principal": { "AWS": "arn:aws:iam::
sourceAccountID
:role/InvokeRole
", }, "Condition": { "StringEquals": { "sts:ExternalId": "arn:aws:states:us-east-2:sourceAccountID
:stateMachine:stateMachineName
" } } } ] }
Permissões necessárias para chamadas .sync
Para conceder as permissões necessárias para sua máquina de estado, atualize as permissões necessárias para a IAM função de destino. Para obter mais informações, consulte Como o Step Functions gera IAM políticas para serviços integrados. As EventBridge permissões da Amazon das políticas de exemplo não são necessárias. Por exemplo, para iniciar uma máquina de estado, adicione as seguintes permissões.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:StartExecution" ], "Resource": [ "arn:aws:states:
region
:accountID
:stateMachine:stateMachineName
" ] }, { "Effect": "Allow", "Action": [ "states:DescribeExecution", "states:StopExecution" ], "Resource": [ "arn:aws:states:region
:accountID
:execution:stateMachineName
:*" ] } ] }