Amazon Step Functions 如何与 IAM 协同工作 - Amazon Step Functions
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Step Functions 如何与 IAM 协同工作

Amazon Step Functions 可以执行代码和访问 Amazon 资源(如调用 Amazon Lambda 函数)。为了保持安全性,您必须使用 IAM 角色为 Step Functions 授予对这些资源的访问权限。

这些区域有:Step Punctions使您能够利用自动生成的 IAM 角色,前提是这些角色在Amazon在其中创建状态机的区域。要为状态机创建您自己的 IAM 角色,请按照本节中的步骤操作。

在此示例中,您将创建一个有权调用 Lambda 函数的 IAM 角色。

为 Step Functions 创建角色

  1. 登录到IAM 控制台,然后选择角色创建角色

  2. 在存储库的选择受信任实体的类型页面,在Amazon服务,选择Step Functions,然后选择后续:Permissions (下一步:权限)

  3. 在存储库的附加权限策略页面上,选择后续:审核

  4. 在存储库的审核页面上,输入StepFunctionsLambdaRole对于 来说为角色名称,然后选择创建角色

    IAM 角色显示在角色列表中。

有关 IAM 权限和策略的更多信息,请参阅访问控制中的IAM 用户指南

附加内联策略

Step Functions 可以直接在任务状态中控制其他服务。附加内联策略以允许 Step Functions 访问您需要控制的服务的 API 操作。

  1. 打开IAM 控制台中,选择角色,搜索您的 Step Functions 角色,然后选择该角色。

  2. 选择添加内联策略

  3. 使用可视化编辑器JSON 选项卡为您的角色创建策略。

有关 Amazon Step Functions 如何控制其他 Amazon 服务的更多信息,请参阅将 Amazon Step Functions 与其他服务一起使用

注意

有关由 Step Functions 控制台创建的 IAM 策略的示例,请参阅集成服务的 IAM 策略