Step Functions에서 태그 기반 IAM 정책 생성 - AWS Step Functions

Step Functions에서 태그 기반 IAM 정책 생성

Step Functions는 태그를 기반으로 하는 정책을 지원합니다. 예를 들어 environment 키 및 production 값과 함께 태그가 포함된 모든 Step Functions 리소스에 대한 액세스를 제한할 수 있습니다.

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "states:TagResource",
                "states:UntagResource",
                "states:DeleteActivity",
                "states:DeleteStateMachine",
                "states:StopExecution"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/environment": "production"}
            }
        }
    ]
}

이 정책은 Deny으로 태그 지정된 모든 리소스에 대해 상태 머신 또는 활동을 삭제하고, 실행을 중지하며, 새 태그를 추가하거나 삭제할 수 있는 기능을 거부(environment/production)합니다.

태그 기반 권한 부여의 경우 다음 예제와 같은 상태 머신 실행 리소스는 상태 머신과 연결된 태그를 상속합니다.

arn:partition:states:region:account-id:execution:<StateMachineName>:<ExecutionId>

DescribeExecution 또는 실행 리소스 ARN을 지정하는 다른 API를 직접적으로 호출하면 태그 기반 권한 부여를 수행하는 동안 Step Functions에서 상태 머신과 연결된 태그를 사용하여 요청을 수락하거나 거부합니다. 이렇게 하면 상태 머신 수준에서 상태 머신 실행에 대한 액세스를 허용하거나 거부할 수 있습니다.

태그 지정에 대한 자세한 내용은 다음을 참조하십시오.