Grundlegende Prinzipien - Amazon Simple Workflow Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegende Prinzipien

Die Amazon SWF SWF-Zugriffskontrolle basiert hauptsächlich auf zwei Arten von Berechtigungen:

  • Ressourcenberechtigungen: Auf welche Amazon SWF SWF-Ressourcen ein Benutzer zugreifen kann.

    Sie können Ressourcenberechtigungen nur für Domänen erteilen.

  • API-Berechtigungen: Welche Amazon SWF SWF-Aktionen ein Benutzer aufrufen kann.

Die einfachste Methode besteht darin, vollen Kontozugriff zu gewähren — jede Amazon SWF SWF-Aktion in einer beliebigen Domain aufzurufen — oder den Zugriff komplett zu verweigern. IAM unterstützt jedoch einen detaillierteren Ansatz zur Zugriffskontrolle, der oft nützlicher ist. So können Sie beispielsweise:

  • Erlaubt einem Benutzer, jede Amazon SWF SWF-Aktion ohne Einschränkungen aufzurufen, jedoch nur in einer bestimmten Domain. Solch eine Richtlinie eignet sich, um Workflow-Anwendungen, die sich noch in der Entwicklung befinden, die Möglichkeit zu bieten, alle Aktionen zu verwenden, allerdings nur in einer "Sandbox"-Domäne.

  • einem Benutzer Zugriff auf alle Domänen zu gewähren, jedoch die Verwendung der API einzuschränken. Solch eine Richtlinie eignet sich, um einer "Auditor"-Anwendung die Berechtigung zu erteilen, die API in allen Domänen aufzurufen, ihr allerdings nur Lesezugriff zu gewähren.

  • einem Benutzer die Berechtigung erteilen, eine begrenzte Anzahl an Aktionen in bestimmten Domänen aufzurufen. Solch eine Richtlinie eignet sich, um einem Workflow-Starter die Berechtigung zu erteilen, nur die StartWorkflowExecution-Aktion in einer bestimmten Domäne aufzurufen.

Die Amazon SWF SWF-Zugriffskontrolle basiert auf den folgenden Prinzipien:

  • Entscheidungen zur Zugriffskontrolle basieren ausschließlich auf IAM-Richtlinien. Die gesamte Überprüfung und Bearbeitung von Richtlinien erfolgt über IAM.

  • Das Zugriffskontrollmodell verwendet eine deny-by-default Richtlinie. Jeder Zugriff, der nicht ausdrücklich erlaubt ist, wird verweigert.

  • Sie kontrollieren den Zugriff auf Amazon SWF SWF-Ressourcen, indem Sie den Akteuren des Workflows entsprechende IAM-Richtlinien zuordnen.

  • Ressourcenberechtigungen können nur für Domänen erteilt werden.

  • Sie können die Verwendung für einige Aktionen weiter einschränken, indem Sie einem oder mehreren Parametern Bedingungen hinzufügen.

  • Wenn Sie die Erlaubnis zur Nutzung erteilen RespondDecisionTaskCompleted, können Sie Genehmigungen für die Liste der in dieser Aktion enthaltenen Entscheidungen erteilen.

    Jede Entscheidung umfasst einen oder mehrere Parameter, ähnlich einem regulären API-Aufruf. Damit die Richtlinien so gut wie möglich zu lesen sind, können Sie die Berechtigungen für Entscheidungen so erteilen, als würde es sich dabei um API-Aufrufe handeln, einschließlich dem Hinzufügen von Bedingungen zu einigen Parametern. Diese Art von Berechtigungen werden als Pseudo-API-Berechtigungen bezeichnet.

Eine Zusammenfassung der regulären und Pseudo-API-Parameter, die durch Bedingungen eingeschränkt werden können, finden Sie unter Übersicht über API-Befehle.