Membuat IAM kebijakan berbasis tag di Step Functions

Step Functions mendukung kebijakan berbasis tanda. Misalnya, Anda dapat membatasi akses ke sumber daya Step Functions yang menyertakan tanda dengan kunci environment dan nilai production.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "states:TagResource",
                "states:UntagResource",
                "states:DeleteActivity",
                "states:DeleteStateMachine",
                "states:StopExecution"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/environment": "production"}
            }
        }
    ]
}

Kebijakan ini akan Deny kemampuan untuk menghapus mesin status atau aktivitas, menghentikan eksekusi, dan menambah atau menghapus tanda baru untuk semua sumber daya yang telah ditandai sebagai environment/production.

Untuk otorisasi berbasis tag, sumber daya eksekusi mesin status seperti yang ditunjukkan pada contoh berikut mewarisi tag yang terkait dengan mesin status.


arn:<partition>:states:<Region>:<account-id>:execution:<StateMachineName>:<ExecutionId>

Saat Anda memanggil DescribeExecutionatau lainnya APIs di mana Anda menentukan sumber daya eksekusiARN, Step Functions menggunakan tag yang terkait dengan mesin status untuk menerima atau menolak permintaan saat melakukan otorisasi berbasis tag. Ini membantu Anda mengizinkan atau menolak akses ke eksekusi mesin status di tingkat mesin negara.

Untuk informasi selengkapnya tentang penandaan, lihat berikut ini:

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

IAMkebijakan untuk Peta Terdistribusi

Pemecahan masalah identitas dan akses