Creación de políticas de IAM basado en etiquetas en Step Functions - AWS Step Functions

Creación de políticas de IAM basado en etiquetas en Step Functions

Step Functions admite políticas basadas en etiquetas. Por ejemplo, puede restringir el acceso a todos los recursos de Step Functions que incluyan una etiqueta con la clave environment y el valor production.

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "states:TagResource",
                "states:UntagResource",
                "states:DeleteActivity",
                "states:DeleteStateMachine",
                "states:StopExecution"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/environment": "production"}
            }
        }
    ]
}

Esta política denegará (Deny) la posibilidad de eliminar máquinas de estado o actividades, detener ejecuciones y añadir o eliminar nuevas etiquetas para todos los recursos que se han etiquetado como environment/production.

En el caso de la autorización basada en etiquetas, los recursos de ejecución de máquinas de estado, como se muestra en el siguiente ejemplo, heredan las etiquetas asociadas a una máquina de estado.

arn:partition:states:region:account-id:execution:<StateMachineName>:<ExecutionId>

Cuando se llama a DescribeExecution u otras API en las que se especifica el ARN del recurso de ejecución, Step Functions utiliza las etiquetas asociadas a la máquina de estados para aceptar o denegar la solicitud mientras realiza la autorización basada en etiquetas. Esto ayuda a permitir o denegar el acceso a las ejecuciones de máquina de estado en el nivel de las máquinas de estado.

Para obtener más información sobre el etiquetado, consulte lo siguiente: