AWS Step Functions
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

集成服务的 IAM 策略

在 AWS Step Functions 控制台中创建状态机时,Step Functions 将根据状态机定义中使用的资源生成 AWS Identity and Access Management (IAM) 策略。

这些示例显示 Step Functions 如何根据您的状态机定义生成 IAM 策略。示例代码中的项目(例如 [[resourceName]])将替换为状态机定义中列出的静态资源。如果您有多个静态资源,则在 IAM 角色中每个资源都将有一个条目。

动态与静态资源

静态资源直接在状态机的任务状态中定义。当您在任务状态中包含有关您直接调用的 API 操作的信息时,Step Functions 仅为这些资源创建 IAM 角色。

动态资源是传递到您的状态输入并使用 Path 访问的资源(请参阅路径)。如果要将动态资源传递给任务,Step Functions 将创建一个具有更高特权的策略,该策略指定 "Resource": "*"

同步与异步 IAM 策略

对于同步连接(以 .sync 结尾的那些),需要额外的权限来监视和接收来自所连接服务的 API 操作的响应。相关策略需要比非同步连接服务更多的权限。有关同步连接的信息,请参阅 服务集成模式

注意

查看这些模板以了解 Step Functions 如何创建 IAM 策略,以及在使用其他 AWS 服务时如何为 Step Functions 手动创建 IAM 策略的示例。有关 Step Functions 服务集成的更多信息,请参阅 AWS 服务集成