Amazon Simple Workflow Service

开发人员指南 (API 版本 2012-01-25)

AWS 文档 » Amazon Simple Workflow Service » 开发人员指南 » 使用 IAM 管理对 Amazon SWF 资源的访问

使用 IAM 管理对 Amazon SWF 资源的访问

访问 Amazon SWF 资源的每一个参与者，如决策程序、活动工作程序和工作流程管理员，都必须有授权的 AWS 访问密钥。参与者可通过账户的访问密钥访问资源。但是，访问密钥提供对账户所有资源的无限制访问，难以撤销，所以并不适合所有应用程序。

Amazon SWF 使用 AWS Identity and Access Management (IAM)提供对资源的受控制访问。IAM 提供灵活的方法来管理对账户的 AWS 资源的访问，无需公开访问密钥。使用 IAM，您可以创建与 AWS 账户关联的一个或多个用户。每个用户都有一组独立的 IAM 访问密钥，以提供对账户资源的访问。然后，您可以将 IAM 策略附加到用户或用户所在的组，以指定用户可访问的资源。相比简单地指定是否允许或拒绝账户访问，该策略的粒度可以更细。例如，您可以创建允许用户访问账户的策略，但只能针对一组特定的域。

IAM 还具有这样的优点，您可以撤销 IAM 访问而不会影响到您的访问密钥。事实上，定期交替轮换访问密钥（撤销用户的 IAM 访问密钥并发出新密钥）是最佳安全实践。

这个主题讨论的是如何使用 IAM 提供对 Amazon SWF 资源的受控访问方面的详细信息。假设您对以下文档中具体描述的 IAM 有大概了解。

基本原理

Amazon SWF 访问控制主要基于两种权限：

最简单的方法是授权账户完全访问权 —、在任何域 — 中调用任何 Amazon SWF 操作或完全拒绝访问。但是，IAM 支持更细粒度的访问控制方法，这种方法通常更有用。例如，您可以：

Amazon SWF 访问控制基于以下原理：

有关能用条件进行限制的常规和伪 API 参数的摘要，请参阅 API 摘要。

Amazon SWF IAM 策略

IAM 策略包含一个或多个 Statement 元素，每一个元素都包含一组定义该策略的元素。有关元素的完整列表和策略构建方法的一半讨论，请参阅 The Access Policy Language。Amazon SWF 访问控制基于以下元素：

下一章提供了 Amazon SWF 策略构建方法示例。有关详细信息，请参阅 String Conditions。

Amazon SWF 策略示例

工作流程由多个参与者 — 活动、决策程序等组成。您可以通过附加适当 IAM 策略控制对每个参与者的访问。本章节提供了一些示例。以下所示为最简单的案例：

{
   "Version": "2012-10-17",
   "Statement" : [ {
      "Effect" : "Allow",
      "Action" : "swf:*",
      "Resource" : "arn:aws:swf:*:123456789012:/domain/*"
   } ]
}        

如果您将此策略附加到参与者，它对所有地区的账户都有访问权。您可以使用通配符利用一个值来表示多个资源、操作或地区。

有关通配符使用方法的详细信息，请参阅 Element Descriptions

以下章节显示的是以更精细方法授予权限的策略的示例。

域权限

如果您想将部门工作流程限制到一个特定域中，您可以使用与下述类似的方法：

{
   "Version": "2012-10-17",
   "Statement": [ {
      "Effect" : "Allow",
      "Action" : "swf:*",
      "Resource" : "arn:aws:swf:*:123456789012:/domain/department1"
   } ]
}           

如果您附加此策略到参与者，它可以调用任何操作，但只能针对 department1 域。

如果您希望参与者有权访问多个域，您可以针对每个域单独授予权限，如下所述：

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect" : "Allow",
         "Action" : "swf:*",
         "Resource" : "arn:aws:swf:*:123456789012:/domain/department1"
      }, {
         "Effect" : "Allow",
         "Action" : "swf:*",
         "Resource" : "arn:aws:swf:*:123456789012:/domain/department2"
      }
   ]
}           

如果您附加此策略到参与者，它可以使用 "department1" 和 "department2" 域中的任何 Amazon SWF 操作。有时候，您还可以使用通配符表示多个域。

API 权限和约束条件

您可以控制哪些操作能被用户用于操作元素。您可以选择通过使用条件元素限制操作的可允许参数值。

如果您想将参与者限制为只进行特定操作，您可以使用与下述类似的方法：

{
   "Version": "2012-10-17",
   "Statement": [ {
      "Effect" : "Allow",
      "Action" : "swf:StartWorkflowExecution",
      "Resource" : "arn:aws:swf:*:123456789012:/domain/department2"
   } ]
}           

如果您将此策略附加到参与者，它能调用 StartWorkflowExecution 以在 "department2" 域中启动工作流程。它不能在任何其它域中使用任何其它操作或启动工作流程。

您可以进一步限制参与者通过限制一个或多个 StartWorkflowExecution 参数值启动的工作流程范围，如下所述：

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect" : "Allow",
         "Action" : "swf:StartWorkflowExecution",
         "Resource" : "arn:aws:swf:*:123456789012:/domain/department1",
         "Condition" : {
            "StringEquals" : { "swf:workflowType.name" : "workflow1" },
            "StringEquals" : { "swf:workflowType.version" : "version2" }
         }
      }
   ]
}           

此策略限制StartWorkflowExecution操作名称和版本参数。如果您附加此策略到参与者，它只能在 "department1" 域中运行 "workflow1" 的 "version2"，且两个参数都必须包含在请求中。

您可以使用 StringEqualsIfExists 运算符限制操作，无需将其包含在请求中，如下所述：

{
   "Version": "2012-10-17",
   "Statement" : [ {
      "Effect" : "Allow",
      "Action" : "swf:StartWorkflowExecution",
      "Resource" : "arn:aws:swf:*:123456789012:/domain/some_domain",
      "Condition" : {
         "StringEqualsIfExists" : { "swf:taskList.name" : "task_list_name" }
      }
   } ]
}           

参与者可通过此策略在启动工作流程执行时选择性地指定任务列表。

您可以限制某些操作的标签列表。在此情况下，每个标签都有一个单独的密钥，所以您会使用 swf:tagList.member.0 限制列表中的第一个标签，使用 swf:tagList.member.1 限制列表中的第二个标签，以此类推，最多能限制 5 个。但是，对于标签列表的限制方法，您必须要谨慎。关于实例，下面是非推荐策略的示例：

{
   "Version": "2012-10-17",
   "Statement" : [ {
      "Effect" : "Allow",
      "Action" : "swf:StartWorkflowExecution",
      "Resource" : "arn:aws:swf:*:123456789012:/domain/some_domain",
      "Condition" : {
         "StringEqualsIfExists" : {
            "swf:tagList.member.0" : "some_ok_tag", "another_ok_tag"
         }
      }
   } ]
}           

您可以通过此策略选择性地指定 "some_ok_tag" 或 "another_ok_tag"。但是，此策略只会限制标签列表的第一个元素。列表中可以有全部能被允许的具有任意值的其它元素，因为此策略不会将任何条件应用于 swf:tagList.member.1、swf:tagList.member.2 等等。

解决此问题的一个方法是禁止使用标签列表。以下策略确保，只有 "some_ok_tag" 或 "another_ok_tag" 能通过需要列表只包含一个元素的方式被允许。

{
   "Version": "2012-10-17",
   "Statement" : [ {
      "Effect" : "Allow",
      "Action" : "swf:StartWorkflowExecution",
      "Resource" : "arn:aws:swf:*:123456789012:/domain/some_domain",
      "Condition" : {
         "StringEqualsIfExists" : {
            "swf:tagList.member.0" : "some_ok_tag", "another_ok_tag"
         },
         "Null" : { "swf:tagList.member.1" : "true" }
      }
   } ]
}          

伪 API 权限和约束条件

如果您想限制提供给 RespondDecisionTaskCompleted 的决策，您首先必须允许参与者调用 RespondDecisionTaskCompleted。然后，您可以使用常规 API 的句法，授予适当伪 API 成员权限，如下所示：

{
   "Version": "2012-10-17",
   "Statement" : [
      {
         "Resource" : "arn:aws:swf:*:123456789012:/domain/*",
         "Action" : "swf:RespondDecisionTaskCompleted",
         "Effect" : "Allow"
      }, {
         "Resource" : "*",
         "Action" : "swf:ScheduleActivityTask",
         "Effect" : "Allow",
         "Condition" : {
            "StringEquals" : { "swf:activityType.name" : "SomeActivityType" }
         }
      }
   ]
}           

如果您将此策略附加到参与者，第一个 Statement 元素将允许参与者调用 RespondDecisionTaskCompleted。第二个元素允许参与者使用直接 Amazon SWF 的 ScheduleActivityTask 决策，以排定活动任务。为了允许所有决策，用 "swf:*" 替代 "swf:ScheduleActivityTask"。

您可以使用 Condition 运算符像使用常规 API 一样地限制参数。此 Condition 的 StringEquals 运算符允许 RespondDecisionTaskCompleted 为 "SomeActivityType" 活动排定一个活动任务，但它必须排定该任务。如果您想要允许 RespondDecisionTaskCompleted 使用一个参数值但又不需要它这样做，您可以替代使用 StringEqualsIfExists 运算符。

IAM 策略的服务模型限制

在创建 IAM 策略时，您必须考虑到服务模型约束条件。创建一个代表有效 Amazon SWF 请求的在句法上有效的 IAM 策略是有可能的；在访问控制方面得到允许的请求仍然失败，因为它是无效的请求。

对于实例，不建议在 ListOpenWorkflowExecutions 上使用以下策略：

{
   "Version": "2012-10-17",
   "Statement" : [ {
      "Effect" : "Allow",
      "Action" : "swf:ListOpenWorkflowExecutions",
      "Resource" : "arn:aws:swf:*:123456789012:/domain/domain_name",
      "Condition" : {
         "StringEquals" : { "swf:typeFilter.name" : "workflow_name" },
         "StringEquals" : { "swf:typeFilter.version" : "workflow_version" },
         "StringEquals" : { "swf:tagFilter.tag" : "some_tag" }
      }
   } ]
}        

Amazon SWF 服务模型不允许 typeFilter 和 tagFilter 参数用于同一个 ListOpenWorkflowExecutions 请求。因此，该策略允许服务通过将 ValidationException— 抛弃为无效的请求来拒绝 — 的调用。

API 摘要

本章节简要描述了您可以如何使用 IAM 策略对参与者使用各 API 和伪 API 访问 Amazon SWF 资源的方法。

以下章节列出了可针对每个常规和伪 API 成员限制的参数，并提供了相关密钥，指出您可以根据其控制域访问的任何限制条件。

常规 API

本章节列出了常规 API 成员，并简要描述了可进行限制的参数和相关密钥。它还指出了您可以根据其控制域访问的任何限制条件。

CountClosedWorkflowExecutions

CountOpenWorkflowExecutions

CountPendingActivityTasks

CountPendingDecisionTasks

DeprecateActivityType

DeprecateDomain

DeprecateWorkflowType

DescribeActivityType

DescribeDomain

DescribeWorkflowExecution

DescribeWorkflowType

GetWorkflowExecutionHistory

ListActivityTypes

ListClosedWorkflowExecutions

ListDomains

ListOpenWorkflowExecutions

ListWorkflowTypes

PollForActivityTask

PollForDecisionTask

RecordActivityTaskHeartbeat

RegisterActivityType

RegisterDomain

RegisterWorkflowType

RequestCancelWorkflowExecution

RespondActivityTaskCanceled

RespondActivityTaskCompleted

RespondActivityTaskFailed

RespondDecisionTaskCompleted

SignalWorkflowExecution

StartWorkflowExecution

TerminateWorkflowExecution

伪 API

本章节列出了表示 RespondDecisionTaskCompleted 中所包含决策的伪 API 成员。如果您已授权使用 RespondDecisionTaskCompleted，您的策略会用与常规 API 相同的方法来授予此 API 成员权限。您可以通过设置一个或多个参数的条件来限制伪 API 的某些成员。本章节列出了伪 API 成员，并简要描述了可进行限制的参数与相关密钥。

CancelTimer

CancelWorkflowExecution

CompleteWorkflowExecution

ContinueAsNewWorkflowExecution

FailWorkflowExecution

RecordMarker

RequestCancelActivityTask

RequestCancelExternalWorkflowExecution

ScheduleActivityTask

SignalExternalWorkflowExecution

StartChildWorkflowExecution

StartTimer

本页内容：

• 基本原理
• Amazon SWF IAM 策略
• API 摘要