Tag-basierte IAM Richtlinien in Step Functions erstellen - AWS Step Functions

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tag-basierte IAM Richtlinien in Step Functions erstellen

Step Functions unterstützt Richtlinien, die auf Tags basieren. Sie könnten beispielsweise den Zugriff auf alle Step Functions-Ressourcen einschränken, die ein Tag mit dem Schlüssel environment und dem Wert enthaltenproduction.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "states:TagResource", "states:UntagResource", "states:DeleteActivity", "states:DeleteStateMachine", "states:StopExecution" ], "Resource": "*", "Condition": { "StringEquals": {"aws:ResourceTag/environment": "production"} } } ] }

Diese Richtlinie setzt die Möglichkeit zum Löschen von Zustandsautomaten oder Aktivitäten auf Deny (Verweigern), stoppt Ausführungen und fügt allen Ressourcen, die als environment/production markiert wurden, neue Tags hinzu bzw. löscht diese.

Bei der Tag-basierten Autorisierung erben die Ressourcen zur Ausführung von Zustandsmaschinen, wie im folgenden Beispiel gezeigt, die einem Zustandsmaschine zugewiesenen Tags.

arn:<partition>:states:<Region>:<account-id>:execution:<StateMachineName>:<ExecutionId>

Wenn Sie aufrufen DescribeExecutionoder eine andere, APIs in der Sie die Ausführungsressource angebenARN, verwendet Step Functions Tags, die der Zustandsmaschine zugeordnet sind, um die Anfrage anzunehmen oder abzulehnen, während die Tag-basierte Autorisierung durchgeführt wird. Auf diese Weise können Sie den Zugriff auf Zustandsmaschinenausführungen auf Zustandsmaschinen-Ebene zulassen oder verweigern.

Weitere Informationen zum Tagging finden Sie hier: