

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration des rôles d'exécution avec Workflow Studio dans Step Functions
<a name="manage-state-machine-permissions"></a>

Vous pouvez utiliser Workflow Studio pour configurer des rôles d'exécution pour vos flux de travail. Chaque machine d'Step Functionsétat nécessite un rôle Gestion des identités et des accès AWS (IAM) qui lui accorde l'autorisation d'effectuer des actions sur Services AWS les ressources ou d'appeler HTTPS APIs. Ce rôle est appelé *rôle d'exécution*. 

Le rôle d'exécution doit contenir des IAM politiques pour chaque action, par exemple des politiques qui permettent à la machine d'état d'invoquer une AWS Lambda fonction, d'exécuter une AWS Batch tâche ou d'appeler l'API Stripe. Step Functionsvous oblige à fournir un rôle d'exécution dans les cas suivants :
+ Vous créez une machine à états dans la console AWS SDKs ou à AWS CLI l'aide de l'[CreateStateMachine](https://docs.aws.amazon.com/step-functions/latest/apireference/API_CreateStateMachine.html)API.
+ Vous [testez](test-state-isolation.md) un état dans la console ou à AWS CLI l'aide de l'[TestState](https://docs.aws.amazon.com/step-functions/latest/apireference/API_TestState.html)API. AWS SDKs

**Topics**
+ [À propos des rôles générés automatiquement](#wfs-auto-gen-roles)
+ [Génération automatique de rôles](#auto-generating-roles)
+ [Résoudre les problèmes de génération de rôles](#resolve-role-gen-problem)
+ [Rôle pour tester les tâches HTTP dans Workflow Studio](#test-state-role-http)
+ [Rôle pour tester une intégration de service optimisée dans Workflow Studio](#test-state-role-optimized)
+ [Rôle pour tester l'intégration d'un service AWS SDK dans Workflow Studio](#test-state-role-aws-sdk)
+ [Rôle pour tester les états des flux dans Workflow Studio](#test-state-role-flow)

## À propos des rôles générés automatiquement
<a name="wfs-auto-gen-roles"></a>

Lorsque vous créez une machine à états dans la Step Functions console, [Workflow Studio](workflow-studio.md) peut automatiquement créer pour vous un rôle d'exécution contenant les IAM politiques nécessaires. Workflow Studio analyse la définition de votre machine à états et génère des politiques avec le moins de privilèges nécessaires pour exécuter votre flux de travail.

Workflow Studio peut générer des IAM politiques pour les éléments suivants :
+ [Tâches HTTP](call-https-apis.md) qui appellent HTTPS APIs.
+ États de tâches qui en appellent d'autres Services AWS à l'aide d'[intégrations optimisées](integrate-optimized.md), telles que [LambdaInvoke](connect-lambda.md) ou [AWS Glue StartJobRun](connect-glue.md). [DynamoDB GetItem](connect-batch.md)
+ États de tâches qui exécutent des [flux de travail imbriqués](connect-stepfunctions.md).
+ [États cartographiques distribués](state-map-distributed.md), y compris [les politiques permettant](iam-policies-eg-dist-map.md) de démarrer l'exécution des flux de travail pour enfants, de répertorier les Amazon S3 compartiments et de lire ou d'écrire des objets S3.
+ [X-Ray](concepts-xray-tracing.md)traçage. Chaque rôle généré automatiquement dans Workflow Studio contient une [politique](concepts-xray-tracing.md#xray-iam) qui autorise la machine à états à envoyer des traces. X-Ray
+ [Utiliser CloudWatch les journaux pour enregistrer l'historique des exécutions dans Step Functions](cw-logs.md)lorsque la journalisation est activée sur la machine d'état.

Workflow Studio ne peut pas générer de IAM politiques pour les états de tâches qui en appellent d'autres à Services AWS l'aide des [intégrations du AWS SDK](supported-services-awssdk.md).

## Génération automatique de rôles
<a name="auto-generating-roles"></a>

1. Ouvrez la [console Step Functions](https://console.aws.amazon.com/states/home), choisissez **State machines** dans le menu, puis **Create state machine**.

   Vous pouvez également mettre à jour une machine à états existante. Reportez-vous à l'étape 4 si vous mettez à jour une machine à états.

1. Choisissez **Créer à partir de rien**.

1. Donnez un nom à votre machine d'état, puis choisissez **Continuer** pour modifier votre machine d'état dans Workflow Studio.

1. Choisissez l'onglet **Config**.

1. Faites défiler la page jusqu'à la section **Autorisations**, puis procédez comme suit :

   1. Pour **le rôle d'exécution**, assurez-vous de conserver la sélection par défaut de **Créer un nouveau rôle**.

      Workflow Studio génère automatiquement toutes les IAM politiques requises pour chaque état valide dans la définition de votre machine à états. Il affiche une bannière avec le message « **Un rôle d'exécution sera créé avec toutes les autorisations ».**  
![\[Capture d'écran illustrative de l'onglet Config avec aperçu des autorisations générées automatiquement.\]](http://docs.aws.amazon.com/fr_fr/step-functions/latest/dg/images/wfs-full-permissions-role.png)
**Astuce**  
Pour vérifier les autorisations générées automatiquement par Workflow Studio pour votre machine d'état, choisissez **Vérifier les autorisations générées automatiquement**.
**Note**  
Si vous supprimez le rôle IAM créé par Step Functions, Step Functions ne pourra pas le recréer ultérieurement. De même, si vous modifiez le rôle (par exemple, en supprimant Step Functions des principes de la politique IAM), Step Functions ne pourra pas restaurer ses paramètres d'origine ultérieurement. 

      Si Workflow Studio ne parvient pas à générer toutes les IAM politiques requises, il affiche une bannière avec le message Les **autorisations pour certaines actions ne peuvent pas être générées automatiquement. Un IAM rôle sera créé avec des autorisations partielles uniquement.** Pour plus d'informations sur la façon d'ajouter les autorisations manquantes, consultez[Résoudre les problèmes de génération de rôles](#resolve-role-gen-problem).

   1. Choisissez **Create** si vous créez une machine à états. Sinon, choisissez **Save** (Enregistrer).

   1. Choisissez **Confirmer** dans la boîte de dialogue qui apparaît.

      Workflow Studio enregistre votre machine d'état et crée le nouveau rôle d'exécution.

## Résoudre les problèmes de génération de rôles
<a name="resolve-role-gen-problem"></a>

Workflow Studio ne peut pas générer automatiquement un rôle d'exécution avec toutes les autorisations requises dans les cas suivants :
+ Il y a des erreurs dans votre machine d'état. Assurez-vous de résoudre toutes les erreurs de validation dans Workflow Studio. Assurez-vous également de corriger toutes les erreurs côté serveur que vous rencontrez au cours de l'enregistrement.
+ Votre machine à états contient des tâches utilisant des intégrations de AWS SDK. Workflow Studio ne peut pas [générer automatiquement](#auto-generating-roles) de IAM politiques dans ce cas. Workflow Studio affiche une bannière avec le message « Les **autorisations pour certaines actions ne peuvent pas être générées automatiquement ». Un IAM rôle sera créé avec des autorisations partielles uniquement.** Dans le tableau des **autorisations générées automatiquement par Review**, choisissez le contenu dans **Status** pour plus d'informations sur les politiques manquantes à votre rôle d'exécution. Workflow Studio peut toujours générer un rôle d'exécution, mais ce rôle ne contiendra pas de IAM politiques pour toutes les actions. Consultez les liens sous **Liens de documentation** pour rédiger vos propres politiques et les ajouter au rôle une fois celui-ci généré. Ces liens sont disponibles même après avoir enregistré la machine d'état.

## Rôle pour tester les tâches HTTP dans Workflow Studio
<a name="test-state-role-http"></a>

Le [test](call-https-apis.md#http-task-test) de l'état d'une tâche HTTP nécessite un rôle d'exécution. Si vous ne disposez pas d'un rôle doté d'autorisations suffisantes, utilisez l'une des options suivantes pour créer un rôle :
+ **Générer automatiquement un rôle avec Workflow Studio (recommandé)** : il s'agit de l'option sécurisée. Fermez la boîte de dialogue **État du test** et suivez les instructions indiquées dans[Génération automatique de rôles](#auto-generating-roles). Vous devrez d'abord créer ou mettre à jour votre machine d'état, puis retourner dans Workflow Studio pour tester votre état.
+ **Utiliser un rôle doté d'un accès administrateur** : si vous êtes autorisé à créer un rôle avec un accès complet à tous les services et ressources AWS, vous pouvez utiliser ce rôle pour tester tout type d'état dans votre flux de travail. Pour ce faire, vous pouvez créer un rôle de Step Functions service et y ajouter la [AdministratorAccess politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator) dans la IAM console [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

## Rôle pour tester une intégration de service optimisée dans Workflow Studio
<a name="test-state-role-optimized"></a>

La tâche indique que les [intégrations de services optimisées pour](integrate-optimized.md) les appels nécessitent un rôle d'exécution. Si vous ne disposez pas d'un rôle doté d'autorisations suffisantes, utilisez l'une des options suivantes pour créer un rôle :
+ **Générer automatiquement un rôle avec Workflow Studio (recommandé)** : il s'agit de l'option sécurisée. Fermez la boîte de dialogue **État du test** et suivez les instructions indiquées dans[Génération automatique de rôles](#auto-generating-roles). Vous devrez d'abord créer ou mettre à jour votre machine d'état, puis retourner dans Workflow Studio pour tester votre état.
+ **Utiliser un rôle doté d'un accès administrateur** : si vous êtes autorisé à créer un rôle avec un accès complet à tous les services et ressources AWS, vous pouvez utiliser ce rôle pour tester tout type d'état dans votre flux de travail. Pour ce faire, vous pouvez créer un rôle de Step Functions service et y ajouter la [AdministratorAccess politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator) dans la IAM console [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

## Rôle pour tester l'intégration d'un service AWS SDK dans Workflow Studio
<a name="test-state-role-aws-sdk"></a>

La tâche indique que les [intégrations du AWS SDK](supported-services-awssdk.md) d'appel nécessitent un rôle d'exécution. Si vous ne disposez pas d'un rôle doté d'autorisations suffisantes, utilisez l'une des options suivantes pour créer un rôle :
+ **Générer automatiquement un rôle avec Workflow Studio (recommandé)** : il s'agit de l'option sécurisée. Fermez la boîte de dialogue **État du test** et suivez les instructions indiquées dans[Génération automatique de rôles](#auto-generating-roles). Vous devrez d'abord créer ou mettre à jour votre machine d'état, puis retourner dans Workflow Studio pour tester votre état. Procédez comme suit :

  1. Fermez la boîte de dialogue **État du test**

  1. Choisissez l'onglet **Config** pour afficher le mode Config.

  1. Faites défiler la page vers le bas jusqu'à la section **Autorisations**.

  1. Workflow Studio affiche une bannière avec le message « Les **autorisations pour certaines actions ne peuvent pas être générées automatiquement ». Un IAM rôle sera créé avec des autorisations partielles uniquement.** Choisissez **Vérifier les autorisations générées automatiquement**.

  1. Le tableau **des autorisations généré automatiquement par Review** affiche une ligne qui indique l'action correspondant à l'état de la tâche que vous souhaitez tester. Consultez les liens sous **Liens de documentation** pour écrire vos propres IAM politiques dans un rôle personnalisé.
+ **Utiliser un rôle doté d'un accès administrateur** : si vous êtes autorisé à créer un rôle avec un accès complet à tous les services et ressources AWS, vous pouvez utiliser ce rôle pour tester tout type d'état dans votre flux de travail. Pour ce faire, vous pouvez créer un rôle de Step Functions service et y ajouter la [AdministratorAccess politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator) dans la IAM console [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

## Rôle pour tester les états des flux dans Workflow Studio
<a name="test-state-role-flow"></a>

Vous avez besoin d'un rôle d'exécution pour tester les états de flux dans Workflow Studio. Les états de flux sont les états qui dirigent le flux d'exécution [État du flux de travail choisi](state-choice.md)[État du flux de travail parallèle](state-parallel.md), tels que[État du flux de travail cartographique](state-map.md),[Passer l'état du flux de travail](state-pass.md),[État du flux de travail en attente](state-wait.md),[État du flux de travail réussi](state-succeed.md), ou[État du flux de travail défaillant](state-fail.md). L'[TestState](https://docs.aws.amazon.com/step-functions/latest/apireference/API_TestState.html)API ne fonctionne pas avec les états Map ou Parallel. Utilisez l'une des options suivantes pour créer un rôle afin de tester l'état d'un flux :
+ **Utilisez n'importe quel rôle dans votre Compte AWS (recommandé)** — Les états de flux ne nécessitent aucune IAM politique spécifique, car ils n'appellent ni AWS actions ni ressources. Par conséquent, vous pouvez utiliser n'importe quel IAM rôle dans votre Compte AWS. 

  1. Dans la boîte de dialogue **État du test**, sélectionnez un rôle dans la liste déroulante **Rôle d'exécution**.

  1. Si aucun rôle n'apparaît dans la liste déroulante, procédez comme suit :

     1. Dans la IAM console [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/), sélectionnez **Rôles**.

     1. Choisissez un rôle dans la liste et copiez son ARN depuis la page de détails du rôle. Vous devrez fournir cet ARN dans la boîte de dialogue **Test state**.

     1. Dans la boîte de dialogue **État du test**, sélectionnez **Entrer un ARN de rôle** dans la liste déroulante **Rôle d'exécution**.

     1. Collez l'ARN dans **Role ARN**.
+ **Utiliser un rôle doté d'un accès administrateur** : si vous êtes autorisé à créer un rôle avec un accès complet à tous les services et ressources AWS, vous pouvez utiliser ce rôle pour tester tout type d'état dans votre flux de travail. Pour ce faire, vous pouvez créer un rôle de Step Functions service et y ajouter la [AdministratorAccess politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator) dans la IAM console [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).