Autorizzazione per versioni e alias nei flussi di lavoro Step Functions

Per richiamare le azioni dell'API Step Functions con una versione o un alias, sono necessarie le autorizzazioni appropriate. Per autorizzare una versione o un alias a richiamare un'azione API, Step Functions utilizza l'ARN della macchina a stati anziché utilizzare la versione ARN o l'alias ARN. Puoi anche limitare le autorizzazioni per una versione o un alias specifici. Per ulteriori informazioni, consulta Ridurre l'ambito delle autorizzazioni.

Puoi utilizzare il seguente esempio di policy IAM di una macchina a stati denominata myStateMachine per richiamare l'azione CreateStateMachineAliasAPI per creare un alias di macchina a stati.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "states:CreateStateMachineAlias",
      "Resource": "arn:aws:states:region:account-id:stateMachine:myStateMachine"
    }
  ]
}

Quando imposti le autorizzazioni per consentire o negare l'accesso alle azioni API utilizzando versioni o alias di macchine a stati, considera quanto segue:

Se utilizzi il publish parametro delle azioni CreateStateMachinee UpdateStateMachineAPI per pubblicare una nuova versione della macchina a stati, hai bisogno anche dell'ALLOWautorizzazione per l'azione API. PublishStateMachineVersion
L'azione DeleteStateMachineAPI elimina tutte le versioni e gli alias associati a una macchina a stati.

Definizione delle autorizzazioni per una versione o un alias

È possibile utilizzare un qualificatore per definire ulteriormente l'autorizzazione di autorizzazione richiesta da una versione o da un alias. Un qualificatore si riferisce a un numero di versione o a un nome alias. Il qualificatore viene utilizzato per qualificare una macchina a stati. L'esempio seguente è un ARN di una macchina a stati che utilizza un alias denominato PROD come qualificatore.


arn:aws:states:region:account-id:stateMachine:myStateMachine:PROD

Per ulteriori informazioni su qualified e unqualified, vedere. ARNs Associazione delle esecuzioni a una versione o a un alias

È possibile definire l'ambito delle autorizzazioni utilizzando la chiave di contesto opzionale denominata states:StateMachineQualifier in una dichiarazione di Condition una policy IAM. Ad esempio, la seguente politica IAM per una macchina a stati denominata myStateMachine nega l'accesso per richiamare l'azione DescribeStateMachineAPI con un alias denominato as PROD o la versione. 1


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "states:DescribeStateMachine",
      "Resource": "arn:aws:states:region:account-id:stateMachine:myStateMachine",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "states:StateMachineQualifier": [
            "PROD",
            "1"
          ]
        }
      }
    }
  ]
}

L'elenco seguente specifica le azioni API in base alle quali è possibile definire le autorizzazioni con la chiave di contesto. StateMachineQualifier

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Alias

Associazione delle esecuzioni a una versione o a un alias