# 리소스 태그를 사용하여 Amazon ECS 리소스에 대한 액세스 제어 사용자에게 Amazon ECS 리소스를 사용할 수 있는 권한을 부여하는 IAM 정책을 생성할 때 정책의 `Condition` 요소에 태그 정보를 포함하면 태그를 기반으로 액세스를 제어할 수 있습니다. 이를 속성 기반 액세스 제어(ABAC)라고 합니다. ABAC를 통해 사용자는 수정, 사용 또는 삭제할 수 있는 리소스를 더욱 정확하게 제어할 수 있습니다. 자세한 내용은 [AWS용 ABAC란 무엇입니까?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 섹션을 참조하세요. 예를 들어 사용자가 클러스터를 삭제할 수 있도록 허용하지만 클러스터에 `environment=production` 태그가 있는 경우 작업을 거부하는 정책을 생성할 수 있습니다. 이렇게 하려면 `aws:ResourceTag` 조건 키를 사용하여 리소스에 연결된 태그를 기반으로 리소스에 대한 액세스를 허용하거나 거부합니다. ``` "StringEquals": { "aws:ResourceTag/environment": "production" } ``` Amazon ECS API 작업에서 `aws:ResourceTag` 조건 키를 사용한 액세스 제어를 지원하는지 알아보려면 [Amazon Elastic Container Service에 사용되는 작업, 리소스 및 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html)를 참조하세요. `Describe` 작업은 리소스 수준 권한을 지원하지 않기 때문에 조건 없이 별도의 명령문에 지정해야 합니다. IAM 정책에 대한 예시는 [Amazon ECS 예제 정책](iam-policies-ecs-console.md) 섹션을 참조하세요. 태그를 기준으로 리소스에 대한 사용자 액세스를 허용 또는 거부하는 경우 동일한 리소스에서 태그를 추가 또는 제거할 수 있도록 사용자를 명시적으로 거부할 것을 고려해야 합니다. 그렇지 않으면 사용자가 제한을 피해 태그를 수정하여 리소스에 대한 액세스 권한을 얻을 수 있습니다.