集成服务的 IAM 策略 - AWS Step Functions
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

集成服务的 IAM 策略

在 AWS Step Functions 控制台中创建状态机时,Step Functions 将根据状态机定义中使用的资源生成 AWS Identity and Access Management (IAM) 策略。

以下示例显示 Step Functions 如何根据您的状态机定义生成 IAM 策略。示例代码中的项目(例如 [[resourceName]])将替换为状态机定义中列出的静态资源。如果您有多个静态资源,则在 IAM 角色中每个资源都将有一个条目。

动态与静态资源

静态资源直接在状态机的任务状态中定义。当您在任务状态中包含有关您直接调用的 API 操作的信息时,Step Functions 仅为这些资源创建 IAM 角色。

动态资源是传递到您的状态输入并使用路径访问的资源(请参阅路径)。如果要将动态资源传递给任务,Step Functions 将创建一个具有更高特权的策略,该策略指定 "Resource": "*"

请求响应与运行作业或等待回调 IAM 策略

对于使用运行作业等待回调模式的连接(以 .sync.waitForTaskToken 结尾的那些连接),需要额外的权限来监视和接收来自所连接服务的 API 操作的响应。相关策略需要比非同步连接服务更多的权限。有关同步连接的信息,请参阅 服务集成模式

注意

查看这些模板以了解 Step Functions 如何创建 IAM 策略,以及在使用其他 AWS 服务时如何为 Step Functions 手动创建 IAM 策略的示例。有关 Step Functions 服务集成的更多信息,请参阅 服务与 AWS Step Functions 集成