本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
基本原則
Amazon SWF 存取控制主要基於兩種類型的許可:
-
資源許可:使用者可以存取哪些 Amazon SWF 資源。
您只可以表達網域的資源許可。
-
API許可:用戶可以調用哪些 Amazon SWF 操作。
最簡單的方法是授予完整帳戶存取權限 (呼叫任何網域中的任何 Amazon SWF 動作),或者完全拒絕存取。但是,IAM支援更精細的存取控制方法,通常更有用。例如,您可以:
-
允許使用者不受限制地呼叫任何 Amazon SWF 動作,但只能在指定的網域中呼叫。您可以使用這類政策允許正在開發的工作流程應用程式使用任何動作,但僅限「沙盒」網域。
-
允許使用者存取任何網域,但限制他們使用API. 您可以使用此類原則來允許「Auditor」應用程式API在任何網域中呼叫,但只允許讀取存取權。
-
允許使用者在特定網域中只呼叫一組有限的動作。您可以使用這類政策允許工作流程啟動者在指定的網域中僅呼叫
StartWorkflowExecution
動作。
Amazon SWF 存取控制是以下列原則為基礎:
-
存取控制決IAM策僅以原則為基礎;所有原則稽核和操作都是透過完成的IAM。
-
存取控制模型使用 deny-by-default 原則;任何未明確允許的存取都會遭到拒絕。
-
透過將適當的IAM政策附加到工作流程的參與者,您可以控制對 Amazon SWF 資源的存取。
-
僅能表達網域的資源許可。
-
您可以將條件套用至一或多個參數,從而進一步限制部分動作的使用。
-
如果您授與使用權限 RespondDecisionTaskCompleted,則可以對該動作中包含的決策清單表示權限。
每個決定都有一個或多個參數,就像常規API調用一樣。為了讓原則盡可能可讀,您可以將決策的權限表示為實際API呼叫,包括將條件套用至某些參數。這些類型的權限稱為虛擬API權限。
如需使用條件限制一般參數和虛擬API參數的摘要,請參閱API摘要。