Criar endpoints da Amazon VPC para o Step Functions - AWS Step Functions
Criação do endpointPolíticas de endpoint da Amazon VPCPolíticas de endpoint

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar endpoints da Amazon VPC para o Step Functions

Se você usar a Amazon Virtual Private Cloud (Amazon VPC) para hospedar os recursos da AWS, poderá estabelecer uma conexão entre a Amazon VPC e os fluxos de trabalho do AWS Step Functions. É possível usar essa conexão com seus fluxos de trabalho do Step Functions sem passar pela internet pública. Os endpoints da Amazon VPC são compatíveis com fluxos de trabalho padrão, fluxos de trabalho expressos e fluxos de trabalho expressos síncronos.

A Amazon VPC permite iniciar recursos da AWS em uma rede virtual personalizada. Você pode usar uma VPC para controlar as configurações de rede, como o intervalo de endereços IP, sub-redes, tabelas de rotas e gateways de rede. Para obter informações sobre como criar suas próprias VPCs, consulte o Guia do usuário da Amazon VPC.

Para conectar a Amazon VPC ao Step Functions, você deve primeiro definir um endpoint da VPC de interface, que permite conectar a VPC a outros serviços da AWS. O endpoint fornece conectividade confiável e escalável sem a necessidade de um gateway da Internet, da instância de conversão de endereço de rede (NAT) ou de uma conexão VPN. Para obter mais informações, consulte Endpoints da VPC da interface (AWS PrivateLink) no Guia do usuário da Amazon VPC.

Criação do endpoint

É possível criar um endpoint do AWS Step Functions em sua VPC usando o AWS Management Console, a AWS Command Line Interface (AWS CLI), um SDK da AWS, a API doAWS Step Functions ou o AWS CloudFormation.

Para obter informações sobre como criar e configurar um endpoint usando o console da Amazon VPC ou aAWS CLI , consulte Creating an Interface Endpoint (“Criar um endpoint da interface”) no Manual do usuário da Amazon VPC.

nota

Ao criar um endpoint, especifique o Step Functions como o serviço ao qual a VPC deve se conectar. No console da Amazon VPC, os nomes de serviços variam conforme a região da AWS. Por exemplo, se você escolher Leste dos EUA (Norte da Virgínia), o nome do serviço para fluxos de trabalho padrão e expressos será com.amazonaws.us-east-1.states, e o nome do serviço para fluxos de trabalho expressos síncronos será com.amazonaws.us-east-1.sync-states.

nota

É possível usar Endpoints da VPC sem substituir o endpoint no SDK por meio do DNS privado. No entanto, para substituir o endpoint no SDK para fluxos de trabalho expressos síncronos, será necessário definir a configuração DisableHostPrefixInjection como true. Exemplo (Java SDK V2): 

SfnClient.builder()
  .endpointOverride(URI.create("https://vpce-{vpceId}.sync-states.us-east-1.vpce.amazonaws.com"))
  .overrideConfiguration(ClientOverrideConfiguration.builder()
    .advancedOptions(ImmutableMap.of(SdkAdvancedClientOption.DISABLE_HOST_PREFIX_INJECTION, true))
    .build())
  .build();

Para obter informações sobre como criar e configurar um endpoint usando o AWS CloudFormation, consulte o recurso AWS::EC2::VPCEndpoint no Manual do usuário do AWS CloudFormation.

Políticas de endpoint da Amazon VPC

Para controlar o acesso de conectividade ao Step Functions, é possível anexar uma política de endpoint do AWS Identity and Access Management (IAM) ao criar um endpoint da Amazon VPC. É possível criar regras complexas do IAM anexando várias políticas de endpoint. Para obter mais informações, consulte:

Políticas de endpoint da Amazon Virtual Private Cloud para o Step Functions

É possível criar uma política de endpoint de Amazon VPC para o Step Functions na qual você especifica o seguinte:

  • A entidade principal que pode executar ações.

  • As ações que podem ser executadas.

  • Os recursos nos quais as ações podem ser executadas.

O exemplo a seguir mostra uma política de endpoint da Amazon VPC que permite que um usuário crie máquinas de estado e nega a todos os outros usuários a permissão para excluir máquinas de estado. A política de exemplo também concede permissão de execução a todos os usuários do .

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "*Execution",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Action": "states:CreateStateMachine",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": {
              "AWS": "arn:aws:iam::123456789012:user/MyUser"
            }
        },
        {
            "Action": "states:DeleteStateMachine",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}

Para obter mais informações sobre como criar políticas de endpoint, consulte o seguinte: