IAM 정책에 태그 사용 - AWS RoboMaker

지원 종료 알림: 는 2025 AWS 년 9월 10일에 에 대한 지원을 중단합니다 AWS RoboMaker. 2025년 9월 10일 이후에는 AWS RoboMaker 콘솔 또는 AWS RoboMaker 리소스에 더 이상 액세스할 수 없습니다. 컨테이너화된 시뮬레이션 실행을 돕기 AWS Batch 위해 로 전환하는 방법에 대한 자세한 내용은 이 블로그 게시물을 참조하세요.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM 정책에 태그 사용

AWS RoboMaker API 작업에 사용하는 IAM 정책에 태그 기반의 리소스 수준 권한을 적용할 수 있습니다. 이를 통해 사용자가 생성, 수정 또는 사용할 수 있는 리소스를 더욱 정확하게 제어할 수 있습니다. 리소스 태그를 기반으로 사용자 액세스(권한)를 제어하기 위해 IAM 정책에서 다음 조건 콘텍스트 키 및 값과 함께 Condition 요소(Condition 블록)를 사용합니다.

  • aws:ResourceTag/tag-key: tag-value를 사용하여 특정 태그가 지정된 리소스에 대한 사용자 작업을 허용 또는 거부합니다.

  • aws:RequestTag/tag-key: tag-value를 사용하여 태그를 허용하는 리소스를 생성하거나 수정하는 API 요청을 작성할 때 특정 태그를 사용하도록(또는 사용하지 않도록) 요구합니다.

  • aws:TagKeys: [tag-key, ...]를 사용하여 태깅 가능한 리소스를 생성하거나 수정하는 API 요청을 작성할 때 특정 태그 키 집합을 사용하도록(또는 사용하지 않도록) 요구합니다.

참고

IAM 정책의 조건 컨텍스트 키와 값은 태깅 가능한 리소스의 ID가 필수 파라미터인 AWS RoboMaker 작업에만 적용됩니다. 예를 들어, 이 요청에서는 태깅 가능한 리소스(플릿, 로봇, 로봇 애플리케이션, 시뮬레이션 애플리케이션, 시뮬레이션 작업, 배포 작업)을 참조하지 않으므로 조건 컨텍스트 키 및 값을 기준으로 ListFleets 사용을 허용하거나 거부하게 됩니다.

자세한 내용은 AWS Identity and Access Management 사용 설명서AWS 리소스에 대한 액세스 제어를 참조하세요. 이 설명서의 IAM JSON 정책 참조 단원에서는 IAM에서 JSON 정책의 자세한 구문과 설명, 요소의 예, 변수, 평가 로직을 설명합니다.

다음은 태그 기반 제한 2개를 적용하는 정책 예제입니다. 이 정책으로 제한되는 IAM 사용자는 다음과 같습니다.

  • "env=prod" 태그가 있는 로봇을 생성할 수 없습니다(예시에서는 줄 "aws:RequestTag/env" : "prod" 참조).

  • 기존 태그("env=prod")가 있는 로봇은 삭제할 수 없습니다(예시에서는 줄 "aws:ResourceTag/env" : "prod" 참조).

{
    "Version" : "2012-10-17",
    "Statement" : [
        {
          "Effect" : "Deny",
          "Action" : "robomaker:CreateRobot",
          "Resource" : "*",
          "Condition" : {
            "StringEquals" : {
              "aws:RequestTag/env" : "prod"
            }
          }
        },
        {
          "Effect" : "Deny",
          "Action" : "robomaker:DeleteRobot",
          "Resource" : "*",
          "Condition" : {
            "StringEquals" : {
              "aws:ResourceTag/env" : "prod"
            }
          }
        },
        {
          "Effect": "Allow",
          "Action": "robomaker:*",
          "Resource": "*"
        }
    ]
}

또한 다음과 같이 목록에서 태그를 둘러싸 지정된 태그 키에 대해 여러 태그 값을 지정할 수도 있습니다.


            "StringEquals" : {
              "aws:ResourceTag/env" : ["dev", "test"]
}
참고

태그를 기준으로 리소스에 대한 사용자 액세스를 허용 또는 거부하는 경우 동일한 리소스에서 태그를 추가 또는 제거할 수 있도록 사용자를 명시적으로 거부할 것을 고려해야 합니다. 그렇지 않으면 사용자가 제한을 피해 태그를 수정하여 리소스에 대한 액세스 권한을 얻을 수 있습니다.