在 Step Functions 中使用工作流程工作室设置执行角色 - Amazon Step Functions
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Step Functions 中使用工作流程工作室设置执行角色

可以使用工作流程工作室设置工作流程的执行角色。每个 Step Functions 状态机需要 Amazon Identity and Access Management (IAM) 角色,该角色授予状态机对资源执行操作或调用的权限HTTPSAPIs。 Amazon Web Services 服务 此角色称为执行角色

执行角色必须包含 IAM 每个操作的策略,例如,允许状态机调用 Amazon Lambda 函数,运行 Amazon Batch 工作,或者给 Stripe 打电话API。Step Functions 要求您在以下情况下提供执行角色:

  • 您可以在控制台中创建状态机, Amazon SDKs或者 Amazon CLI 使用CreateStateMachineAPI。

  • 你在控制台中测试状态 Amazon SDKs,或者 Amazon CLI 使用 TestStateAPI.

关于自动生成的角色

当你在中创建状态机时 Step Functions 控制台,Workflow Studio 可以自动为你创建一个包含必要内容的执行角色 IAM 政策。Workflow Studio 会分析您的状态机定义,并生成具有执行工作流所需的最低权限的策略。

Studio 可以生成的工作流程 IAM 以下方面的政策:

工作流程 Studio 无法生成 IAM Amazon Web Services 服务 使用Amazon SDK集成调用其他任务状态的策略。

自动生成角色

  1. 打开 Step Functions 控制台,然后选择创建状态机

    您也可以更新现有状态机。如果您要更新状态机,请参阅步骤 4。

  2. 选择模板对话框中,选择空白

  3. 选择选择,以便在设计模式下打开工作流程工作室。

  4. 选择配置选项卡。

  5. 向下滚动到权限部分,然后执行以下操作:

    1. 对于执行角色,请确保保留默认选择创建新角色

      工作流工作室会自动生成所有必需的内容 IAM 状态机定义中每个有效状态的策略。它会显示一条横幅,指明将创建具有完全权限的执行角色

      “配置”选项卡的说明性屏幕截图,其中包含自动生成的权限的预览。
      提示

      要查看 Workflow Studio 为状态机自动生成的权限,请选择查看自动生成的权限

      注意

      如果你删除 Step Functions 创建的IAM角色,Step Functions 以后将无法重新创建它。同样,如果您修改角色(例如,通过从IAM策略的主体中删除 Step Functions),Step Functions 以后将无法恢复其原始设置。

      如果工作流工作室无法生成所有必需的内容 IAM policies,它会显示一条横幅,上面写着 “无法自动生成某些操作的权限” 消息。网络 ACL 和安全组都允许 (因此可到达您的实例) 的发起 ping 的 IAM 将仅使用部分权限创建角色。 有关如何添加缺失权限的信息,请参阅解决角色生成问题

    2. 如果要创建状态机,请选择创建。否则,请选择保存

    3. 在出现的对话框中,选择确认

      Workflow Studio 会保存您的状态机并创建新的执行角色。

解决角色生成问题

在以下情况下,Workflow Studio 无法自动生成具有所有必需权限的执行角色:

  • 状态机中出现错误。请务必在 Workflow Studio 中解决所有验证错误。另外,请务必解决在保存过程中遇到的任何服务器端错误。

  • 您的状态机包含任务使用 Amazon SDK集成。工作流程 Studio 无法自动生成 IAM 在本例中为策略。Workflow Studio 会显示一条横幅,上面写着 “某些操作的权限无法自动生成”。网络 ACL 和安全组都允许 (因此可到达您的实例) 的发起 ping 的 IAM 将仅使用部分权限创建角色。 查看自动生成的权限表中,选择状态中的内容,以了解有关您的执行角色缺少的策略的更多信息。Workflow Studio 仍然可以生成执行角色,但此角色不包含 IAM 适用于所有操作的策略。请参阅文档链接下的链接,编写您自己的策略,并在角色生成后将其添加到角色中。即使在保存状态机之后,这些链接也仍然可用。

在工作流工作室中测试HTTP任务的角色

测试HTTP任务状态需要执行角色。如果您没有具有足够权限的角色,请使用以下选项之一创建角色:

  • 通过 Workflow Studio 自动生成一个角色(推荐)- 这是安全的选项。关闭测试状态对话框并按照自动生成角色中的说明操作。这需要您先创建或更新状态机,然后返回 Workflow Studio 测试状态。

  • 使用具有管理员权限的角色-如果您有权创建对中的所有服务和资源具有完全访问权限的角色 Amazon,则可以使用该角色来测试工作流程中的任何类型的状态。为此,你可以创建一个 Step Functions 服务角色并在中向其添加AdministratorAccess 策略 IAM 控制台https://console.aws.amazon.com/iam/

在 Workflow Studio 中测试优化的服务集成的角色

调用优化服务集成的任务状态需要执行角色。如果您没有具有足够权限的角色,请使用以下选项之一创建角色:

  • 通过 Workflow Studio 自动生成一个角色(推荐)- 这是安全的选项。关闭测试状态对话框并按照自动生成角色中的说明操作。这需要您先创建或更新状态机,然后返回 Workflow Studio 测试状态。

  • 使用具有管理员权限的角色-如果您有权创建对中的所有服务和资源具有完全访问权限的角色 Amazon,则可以使用该角色来测试工作流程中的任何类型的状态。为此,你可以创建一个 Step Functions 服务角色并在中向其添加AdministratorAccess 策略 IAM 控制台https://console.aws.amazon.com/iam/

在 Workflow Studio 中测试 Amazon SDK服务集成的角色

任务规定呼叫Amazon SDK集成需要执行角色。如果您没有具有足够权限的角色,请使用以下选项之一创建角色:

  • 通过 Workflow Studio 自动生成一个角色(推荐)- 这是安全的选项。关闭测试状态对话框并按照自动生成角色中的说明操作。这需要您先创建或更新状态机,然后返回 Workflow Studio 测试状态。执行以下操作:

    1. 关闭测试状态对话框

    2. 选择配置选项卡以查看配置模式。

    3. 向下滚动到权限部分。

    4. Workflow Studio 会显示一条横幅,上面写着 “某些操作的权限无法自动生成”。网络 ACL 和安全组都允许 (因此可到达您的实例) 的发起 ping 的 IAM 将仅使用部分权限创建角色。 选择查看自动生成的权限

    5. 查看自动生成的权限表会显示一行,列出与您要测试的 Task 状态相对应的操作。参见 “文档” 链接下的链接,自己编写 IAM 策略转换为自定义角色。

  • 使用具有管理员权限的角色-如果您有权创建对中的所有服务和资源具有完全访问权限的角色 Amazon,则可以使用该角色来测试工作流程中的任何类型的状态。为此,你可以创建一个 Step Functions 服务角色并在中向其添加AdministratorAccess 策略 IAM 控制台https://console.aws.amazon.com/iam/

在 Workflow Studio 中测试流状态的角色

您需要一个执行角色,以在 Workflow Studio 中测试流状态。流状态是指定向执行流的状态,例如 Choice 工作流程状态Parallel 工作流程状态Map 状态工作流程。Pass 工作流程状态Wait 工作流程状态Succeed 工作流程状态Fail 工作流程状态TestStateAPI不适用于地图或平行状态。您可以使用以下选项之一创建用于测试流状态的角色:

  • 在你的 Amazon Web Services 账户 (推荐)中使用任何角色 — 流程状态不需要任何特定的角色 IAM 策略,因为它们不调用 Amazon 操作或资源。因此,你可以使用任何 IAM 在你中扮演的角色 Amazon Web Services 账户。

    1. 测试状态对话框中,从执行角色下拉列表中选择任意角色。

    2. 如果下拉列表中没有显示任何角色,请执行以下操作:

      1. 在 IAM 控制台 https://console.aws.amazon.com/iam/,选择 “角色”。

      2. 从列表中选择一个角色,然后ARN从角色详细信息页面复制该角色。您需要在 “测试状态” 对话框ARN中提供此信息。

      3. 在 “测试状态” 对话框中,ARN从 “执行角色” 下拉列表中选择 “输入角色”。

      4. 粘贴 ARN in 角色ARN

  • 使用具有管理员权限的角色-如果您有权创建对中的所有服务和资源具有完全访问权限的角色 Amazon,则可以使用该角色来测试工作流程中的任何类型的状态。为此,你可以创建一个 Step Functions 服务角色并在中向其添加AdministratorAccess 策略 IAM 控制台https://console.aws.amazon.com/iam/