Tagbasierte Richtlinien - AWS Step Functions

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tagbasierte Richtlinien

Step Functions unterstützt Richtlinien, die auf Tags basieren. Sie können beispielsweise den Zugriff auf alle Step Functions-Ressourcen einschränken, die ein Tag mit dem Schlüssel environment und dem Wert enthaltenproduction.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "states:TagResource", "states:UntagResource", "states:DeleteActivity", "states:DeleteStateMachine", "states:StopExecution" ], "Resource": "*", "Condition": { "StringEquals": {"aws:ResourceTag/environment": "production"} } } ] }

Diese Richtlinie setzt die Möglichkeit zum Löschen von Zustandsautomaten oder Aktivitäten auf Deny (Verweigern), stoppt Ausführungen und fügt allen Ressourcen, die als environment/production markiert wurden, neue Tags hinzu bzw. löscht diese.

Für die Tag-basierte Autorisierung erben die Ausführungsressourcen des Zustandsautomaten, wie im folgenden Beispiel gezeigt, die Tags, die einem Zustandsautomaten zugeordnet sind.

arn:<partition>:states:<Region>:<account-id>:execution:<StateMachineName>:<ExecutionId>

Wenn Sie DescribeExecution oder andere APIs aufrufen, in denen Sie den ARN der Ausführungsressource angeben, verwendet Step Functions Tags, die dem Zustandsautomaten zugeordnet sind, um die Anforderung zu akzeptieren oder zu verweigern, während eine Tag-basierte Autorisierung durchgeführt wird. Auf diese Weise können Sie den Zugriff auf Zustandsautomatenausführungen auf Zustandsautomatenebene zulassen oder verweigern.

Weitere Informationen zum Tagging finden Sie hier: