Step Functions でのタグベースの IAM ポリシーの作成

Step Functions は、タグベースのポリシーをサポートしています。例えば、キー environment および値 production のタグを含むすべての Step Functions リソースへのアクセスを制限できます。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "states:TagResource",
                "states:UntagResource",
                "states:DeleteActivity",
                "states:DeleteStateMachine",
                "states:StopExecution"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/environment": "production"}
            }
        }
    ]
}

このポリシーでは、ステートマシンまたはアクティビティを削除する機能、実行を停止する機能、および environment/production としてタグ付けされているすべてのリソースに対してタグを追加または削除する機能を Deny (拒否) します。

次の例のように、タグベースの認可の場合、ステートマシンの実行リソースはステートマシンに関連付けられたタグを継承します。


arn:partition:states:region:account-id:execution:<StateMachineName>:<ExecutionId>

実行リソース ARN を指定する DescribeExecution またはその他の API を呼び出すとき、Step Functions はタグベースの認可を実行しながら、ステートマシンに関連付けられたタグを使用してリクエストを許可または拒否します。これにより、ステートマシンレベルの実行へのアクセスを許可または拒否できます。

タグ付けの詳細については、以下を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

分散マップ状態のための IAM ポリシー

ID とアクセスのトラブルシューティング