기본 원칙

리소스 권한: 사용자가 액세스할 수 있는 Amazon SWF 리소스입니다.

리소스 권한은 도메인에 대해서만 표현할 수 있습니다.

API 권한: 사용자가 호출할 수 있는 Amazon SWF 작업입니다.

사용자가 제한 없이 지정된 도메인에서만 Amazon SWF 작업을 호출하도록 허용합니다. 이러한 정책을 사용해 개발 중인 워크플로 애플리케이션이 "샌드박스" 도메인 내에서만 모든 작업을 사용할 수 있도록 허용할 수 있습니다.

사용자가 모든 도메인에 액세스할 수 있도록 허용하지만 를 사용하는 방법을 제한합니다API. 이러한 정책을 사용하여 '감사' 애플리케이션이 모든 도메인API에서 를 호출하도록 허용할 수 있지만 읽기 액세스만 허용할 수 있습니다.

사용자가 특정 도메인에서 제한된 작업 세트만 호출하도록 허용합니다. 이러한 정책을 사용해 워크플로 시작자가 지정된 도메인 내에서 StartWorkflowExecution 작업만 호출하도록 허용할 수 있습니다.

액세스 제어 결정은 IAM 정책을 기반으로 합니다. 모든 정책 감사 및 조작은 를 통해 이루어집니다IAM.

액세스 제어 모델은 정책을 사용합니다 deny-by-default. 명시적으로 허용되지 않는 액세스는 거부됩니다.

워크플로의 작업자에 적절한 IAM 정책을 연결하여 Amazon SWF 리소스에 대한 액세스를 제어합니다.

리소스 권한은 도메인에 대해서만 표현할 수 있습니다.

하나 이상의 파라미터에 조건을 적용해 일부 작업의 사용을 추가로 제한할 수 있습니다.

를 사용할 수 있는 권한을 부여하는 경우 해당 작업에 포함된 결정 목록에 대한 권한을 표현할 RespondDecisionTaskCompleted수 있습니다.

각 결정에는 일반 API 호출과 마찬가지로 하나 이상의 파라미터가 있습니다. 정책을 최대한 읽을 수 있도록 하기 위해 일부 파라미터에 조건 적용을 포함하여 결정이 실제 API 호출인 것처럼 결정에 대한 권한을 표현할 수 있습니다. 이러한 유형의 권한을 의사 API 권한이라고 합니다.