AWS StepFunctions: ошибка при создании конечного автомата с использованием AWS-SDK через лямбду

Question

AWS StepFunctions: ошибка при создании конечного автомата с использованием AWS-SDK через лямбду

Я пытаюсь создать конечный автомат в пошаговых функциях AWS, используя AWS SDK, например,

stepfunctions.createStateMachine(params, function(err, data)...

Я создал лямбду в консоли AWS и добавил код для создания конечного автомата. Также я предоставил разрешения для роли для выполнения этой лямбды и создания конечного автомата. Я проверил Role Permissions с помощью Simulator, и это нормально (разрешено). Но когда я выполняю лямбду, я получаю AcccessDeniedException.

   errorMessage": "User: arn:aws:sts::555555555:assumed-role/SFN_API_role/SFAPITest is not authorized to perform: states:CreateStateMachine on resource: arn:aws:states:us-east-1:555555555:stateMachine:*",
  "errorType": "AccessDeniedException

"SFN_API_role" - это роль, а "SFAPITest" - это лямбда-выражение. Вот определенная политика:

 {
"Version": "2012-10-17",
"Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "states:ListStateMachines",
            "states:ListActivities",
            "states:CreateStateMachine",
            "states:CreateActivity"
        ],
        "Resource": [
            "*"
        ]
    },
    {
        "Effect": "Allow",
        "Action": [
            "iam:PassRole"
        ],
        "Resource": [
            "*"
        ]
    },
    {
        "Effect": "Allow",
        "Action": [
            "lambda:*"
        ],
        "Resource": [
            "*"
        ]
    },
    {
        "Effect": "Allow",
        "Action": [
            "states:DescribeStateMachine",
            "states:StartExecution",
            "states:DeleteStateMachine",
            "states:ListExecutions"
        ],
        "Resource": [
            "*"
        ]
    },
    {
        "Effect": "Allow",
        "Action": [
            "states:DescribeExecution",
            "states:GetExecutionHistory",
            "states:StopExecution"
        ],
        "Resource": [
            "*"
        ]
    },
    {
        "Effect": "Allow",
        "Action": [
            "states:DescribeActivity",
            "states:DeleteActivity",
            "states:GetActivityTask",
            "states:SendTaskSuccess",
            "states:SendTaskFailure",
            "states:SendTaskHeartbeat"
        ],
        "Resource": [
            "*"
        ]
    }
]

}

Любые указатели приветствуются!

4

amazon-web-services aws-lambda aws-step-functions aws-iam aws-iam-roles

Источник

user3123964 08 окт '18 в 21:31

2 ответа

Другие вопросы по тегам amazon-web-services aws-lambda aws-step-functions aws-iam aws-iam-roles

user6451542 18 июн '21 в 01:44 2021-06-18 01:44 · Answer 1 · 2021-06-18 01:44

Ты используешь "Resource": ["*"] вместо "Resource": "*". Просто измените первую часть своей политики на следующую:

      {
"Version": "2012-10-17",
"Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "states:ListStateMachines",
            "states:ListActivities",
            "states:CreateStateMachine",
            "states:CreateActivity"
        ],
        "Resource": "*"
    },
...

12 апр '21 в 11:10 2021-04-12 11:10 · Answer 2 · 2021-04-12 11:10

В моем случае у меня была такая ситуация, когда приходилось немного подождать около 1 минуты, чтобы увидеть, работает ли его разрешение на нем, когда авторизованная роль IAM была предоставлена определенному ресурсу.

0

Источник

12 апр '21 в 11:10