Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Creazione di policy IAM basate su tag in Step Functions
Step Functions supporta le politiche basate sui tag. Ad esempio, è possibile limitare l'accesso a tutte le risorse Step Functions che includono un tag con la chiave `environment` e il valore`production`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"states:TagResource",
"states:UntagResource",
"states:DeleteActivity",
"states:DeleteStateMachine",
"states:StopExecution"
],
"Resource": "*",
"Condition": {
"StringEquals": {"aws:ResourceTag/environment": "production"}
}
}
]
}
```
Questa policy `Deny` (Nega) la possibilità di eliminare lo stato di attività o di macchine, arrestare esecuzioni e aggiungere o eliminare i nuovi tag per tutte le risorse che sono state contrassegnate come `environment/production`.
Per l'autorizzazione basata su tag, le risorse di esecuzione di una macchina a stati, come illustrato nell'esempio seguente, ereditano i tag associati a una macchina a stati.
```
arn:partition:states:region:account-id:execution::
```
Quando si chiama [DescribeExecution](https://docs.aws.amazon.com/step-functions/latest/apireference/API_DescribeExecution.html)o si APIs specifica la risorsa di esecuzione ARN, Step Functions utilizza i tag associati alla macchina a stati per accettare o rifiutare la richiesta durante l'esecuzione dell'autorizzazione basata su tag. Ciò consente di consentire o negare l'accesso alle esecuzioni delle macchine a stati a livello di macchina a stati.
Per ulteriori informazioni sul tagging, consulta:
+ [Etichettatura di macchine a stati e attività in Step Functions](sfn-best-practices.md#concepts-tagging)
+ [Controllo degli accessi tramite tag IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html)