Políticas de IAM para Amazon SWF - Amazon Simple Workflow Service
Redacción de políticas para Amazon SWFAWS política gestionada: SimpleWorkflowFullAccessLimitaciones del modelo de servicio de las políticas de IAM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Políticas de IAM para Amazon SWF

Una política de IAM comprende uno o varios elementos Statement, cada uno de los cuales consta de un conjunto de elementos que define la política. Para obtener una lista completa de los elementos y un análisis general acerca de cómo crear políticas, consulte El lenguaje de la política de acceso. El control de acceso a Amazon SWF se basa en los siguientes elementos:

Efecto

(Obligatorio) El efecto de la instrucción: deny o allow.

nota

Debe permitir el acceso de forma explícita. IAM deniega el acceso de forma predeterminada.

Recurso

(Obligatorio) El recurso (una entidad de un AWS servicio con la que el usuario puede interactuar) al que se aplica la declaración.

Solo puede expresar los permisos a nivel de recursos para los dominios. Por ejemplo, una política puede permitir acceder solo a determinados dominios en su cuenta. Para expresar los permisos de un dominio, Resource configúrelo en el nombre de recurso de Amazon (ARN) del dominio, que tiene el formato «arn:aws:swf::: /domain/». Region AccountID DomainName Regiones la AWS región, AccountID es el ID de la cuenta sin guiones y es el nombre de dominio. DomainName

Acción

(Obligatorio) La acción a la que se aplica la declaración, a la que puede hacer referencia utilizando el siguiente formato:serviceId:action. Para Amazon SWF, serviceID establézcalo en. swf Por ejemplo, swf:StartWorkflowExecution hace referencia a la StartWorkflowExecutionacción y se utiliza para controlar qué usuarios pueden iniciar flujos de trabajo.

Si concedes permiso de uso RespondDecisionTaskCompleted, también puedes controlar el acceso a la lista de decisiones incluida Action para expresar los permisos de la pseudoAPI. Dado que IAM deniega el acceso de forma predeterminada, la decisión del decisor debe indicarse explícitamente o, de lo contrario, no se aceptará. Puede utilizar un valor * para permitir todas las decisiones.

Condición

(Opcional) Expresa una restricción en uno o más parámetros de una acción, que limitan los valores permitidos.

Las acciones de Amazon SWF tienen a menudo un gran alcance, que se puede reducir con la ayuda de condiciones de IAM. Por ejemplo, para limitar las listas de tareas a las que puede acceder la PollForActivityTaskacción, debes incluir una Condition y utilizar la swf:taskList.name clave para especificar las listas permitidas.

Puede expresar restricciones para las siguientes entidades:

  • El tipo de flujo de trabajo. El nombre y la versión tienen claves independientes.

  • El tipo de actividad. El nombre y la versión tienen claves independientes.

  • Las listas de tareas.

  • Tags. Puede especificar varias etiquetas para algunas acciones. En ese caso, cada etiqueta tiene una clave distinta.

nota

Para Amazon SWF, todos los valores son cadenas, de modo que puede limitar un parámetro por medio de un operador de cadena como StringEquals, que limita el parámetro a una cadena especificada. Sin embargo, los operadores de comparación de la cadena regulares como StringEquals requieren que todas las solicitudes incluyan el parámetro. Si no incluye el parámetro de forma explícita, y no hay un valor predeterminado como la lista de tareas predeterminada provista durante el registro del tipo, se denegará el acceso.

A menudo es útil tratar las condiciones como si fueran opcionales. De este modo, puede llamar a una acción sin incluir necesariamente el parámetro asociado. Por ejemplo, es posible que desee permitir que un decisor especifique un conjunto de RespondDecisionTaskCompleteddecisiones, pero también permitirle especificar solo una de ellas para una llamada determinada. En ese caso, puede limitar los parámetros pertinentes con un operador StringEqualsIfExists, a fin de permitir el acceso si el parámetro satisface la condición, pero sin denegar el acceso si el parámetro está ausente.

Para obtener una lista completa de los parámetros que puede limitar y las claves asociadas, consulte Resumen de las API.

La siguiente sección proporciona ejemplos de cómo crear políticas de Amazon SWF. Para obtener más información, consulte Condiciones de la cadena.

Redacción de políticas para Amazon SWF

Un flujo de trabajo consta de varios actores: actividades, decisores, etc. Para controlar el acceso de cada actor, asocie una política de IAM adecuada.

Con la siguiente acción, el actor tendrá acceso completo a la cuenta en todas las regiones:

  • Acción: swf:*

  • Recurso: arn:aws:swf:*:123456789012:/domain/*

Puede utilizar comodines para que un solo valor represente varios recursos, acciones o regiones.

  • El primer comodín (*) del Resource valor indica que los permisos de recursos se aplican a todas las regiones.

    Para limitar los permisos a una sola región, sustituya el comodín por la cadena de región apropiada, como us-east-1.

  • El segundo comodín (*) en el valor Resource permite al actor acceder a todos los dominios en las regiones especificadas.

  • El comodín (*) en el valor Action permite al actor llamar a cualquier acción de Amazon SWF.

Para obtener más información sobre el uso de los comodines, consulte Descripciones de elementos

Permisos de dominio

Para restringir los flujos de trabajo de un departamento a un dominio concreto, puedes conceder un permiso que permita a un actor realizar cualquier acción, pero solo para un departamento específico.

Para conceder a un actor acceso a más de un dominio, expresa el permiso para cada dominio en forma de lista de declaraciones:

  • Acción: swf:*

  • Recurso: arn:aws:swf:*:123456789012:/domain/department1

  • Recurso: arn:aws:swf:*:123456789012:/domain/department2

Puede permitir que un actor utilice cualquier acción de Amazon SWF en los dominios department1 ydepartment2. También puede utilizar comodines en ocasiones para representar varios dominios.

Restricciones y permisos de la API

Usted controla qué acciones puede utilizar un actor especificando la acción en el Action elemento.

Con la siguiente acción, un actor solo puede llamar StartWorkflowExecution para iniciar flujos de trabajo. No puede usar ninguna otra acción.

  • Acción: swf:StartWorkflowExecution

Condiciones

Si lo desea, puede restringir los valores de los parámetros permitidos de la acción mediante un Condition elemento.

Para restringir los flujos de trabajo que puede iniciar un actor, restrinja uno o más de los valores de los StartWorkflowExecution parámetros, de la siguiente manera:

"Condition" : {
   "StringEquals" : { 
      "swf:workflowType.name" : "workflow1",
      "swf:workflowType.version" : "version2" 
    }
}

Un actor con las restricciones anteriores solo version2 puede ejecutar workflow1 y ambos parámetros deben incluirse en la solicitud.

Para limitar un parámetro sin tener que incluirlo en una solicitud, utilice un operador StringEqualsIfExists, como sigue:

"Condition" : {
   "StringEqualsIfExists" : { "swf:taskList.name" : "task_list_name" }
}

Un actor con la política anterior puede especificar opcionalmente una lista de tareas al iniciar la ejecución de un flujo de trabajo.

Puede limitar la lista de etiquetas para algunas acciones. Cada etiqueta tiene una clave independiente, por lo que puede swf:tagList.member.0 restringir la primera etiqueta de la lista, swf:tagList.member.1 restringir la segunda etiqueta de la lista, etc., hasta un máximo de 5.

Debe tener cuidado al restringir las listas de etiquetas. Por ejemplo, no se recomienda la siguiente condición.

No se recomienda la siguiente condición porque permite especificar opcionalmente una some_ok_tag u otraanother_ok_tag. Sin embargo, la condición restringe solo el primer elemento de la lista de etiquetas. La lista podría tener elementos adicionales con valores arbitrarios, todos los cuales estarían permitidos porque la condición no aplica ninguna condición swf:tagList.member.1swf:tagList.member.2, y así sucesivamente.

// Example to illustrate an insecure Condition
"Condition" : {
   "StringEqualsIfExists" : {
      "swf:tagList.member.0" : "some_ok_tag", "another_ok_tag"
   }
}

Una forma de solucionar el problema anterior es no permitir el uso de listas de etiquetas.

La siguiente política asegura que solo se permitan some_ok_tag o another_ok_tag al exigir que la lista tenga solo un elemento.

"Condition" : {
   "StringEqualsIfExists" : {
      "swf:tagList.member.0" : "some_ok_tag", "another_ok_tag"
    },
    "Null" : { "swf:tagList.member.1" : "true" }
}

Restricciones y permisos de pseudo API

Para restringir las decisiones disponiblesRespondDecisionTaskCompleted, primero debes permitir que el actor llameRespondDecisionTaskCompleted. A continuación, debes expresar los permisos para los miembros de la pseudoAPI correspondientes utilizando la misma sintaxis que para la API normal, de la siguiente manera:

  • Declaración 1

    Recurso: arn:aws:swf:*:123456789012:/domain/*

    Acción: swf:RespondDecisionTaskCompleted

  • Declaración 2

    Recurso: *

    Acción: swf:ScheduleActivityTask

    Condición: "StringEquals" : { "swf:activityType.name" : "SomeActivityType" }

La primera Statement permite al actor llamarRespondDecisionTaskCompleted. La segunda afirmación permite al actor utilizar la ScheduleActivityTask decisión de ordenar a Amazon SWF que programe una tarea de actividad. Para permitir todas las decisiones, sustituya «swf:ScheduleActivityTask" por «swf: *».

Puede utilizar operadores de condición para limitar los parámetros al igual que con la API normal. El StringEquals operador del ejemplo anterior Condition permite RespondDecisionTaskCompleted programar una tarea de actividad para la SomeActivityType actividad y debe programarla. Si quiere permitir que RespondDecisionTaskCompleted utilice un valor de parámetro pero sin que sea obligatorio, utilice el operador StringEqualsIfExists.

AWS política gestionada: SimpleWorkflowFullAccess

Puede adjuntar la política SimpleWorkflowFullAccess a las identidades de IAM.

Esta política proporciona acceso completo al servicio de configuración de Amazon SWF.

Limitaciones del modelo de servicio de las políticas de IAM

Debe tener presentes las restricciones del modelo de servicio al crear políticas de IAM. Es posible crear una política de IAM válida desde el punto de vista sintáctico que represente una solicitud de Amazon SWF no válida; una solicitud permitida en términos de control de acceso puede producir un error, ya que se trata de una solicitud no válida.

Por ejemplo, el modelo de servicio de Amazon SWF no permite utilizar tagFilter los parámetros typeFilter and en la misma ListOpenWorkflowExecutions solicitud. La siguiente condición permitiría que las llamadas que el servicio rechazara (mediante el lanzamiento) por considerarlas solicitudes no válidasValidationException:

"Condition" : {
   "StringEquals" : { 
      "swf:typeFilter.name" : "workflow_name",
      "swf:typeFilter.version" : "workflow_version",
      "swf:tagFilter.tag" : "some_tag" 
    }
}