IAM 정책에서 태그 사용

태그 구현을 시작한 후 AWS Identity and Access Management (IAM) 정책 및 API 작업에 태그 기반의 리소스 수준 권한을 적용할 수 있습니다. 여기에는 리소스가 생성될 때 리소스에 태그 추가를 지원하는 작업이 포함됩니다. 이러한 방식으로 태그를 사용하면 AWS 계정 내에서 리소스를 만들고 태그를 지정할 권한이 있는 그룹 및 사용자, 태그를 생성, 업데이트 및 제거할 권한이 있는 그룹 및 사용자를 보다 일반적으로 세부적으로 제어할 수 있습니다.

예를 들어, 사용자가 이름이 리소스의 Owner태그 값에 해당하는 모든 Personalize 리소스에 대한 전체 액세스 권한을 갖도록 허용하는 정책을 생성할 수 있습니다.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "ModifyResourceIfOwner",
         "Effect": "Allow",
         "Action": "personalize:*",
         "Resource": "*",
         "Condition": {
            "StringEqualsIgnoreCase": {
               "aws:ResourceTag/Owner": "${aws:username}"
            }
         }
      }
   ]
}

다음 예제는 데이터세트 생성 및 삭제를 허용하는 정책을 생성하는 방법을 보여줍니다. 이러한 작업은 사용자 이름이 johndoe인 경우에만 허용됩니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "personalize:CreateDataset",
                "personalize:DeleteDataset"
            ],
            "Resource": "arn:aws:personalize:*:*:dataset/*",
            "Condition": {
                "StringEquals": {"aws:username" : "johndoe"}
            }
        },
        {
            "Effect": "Allow",
            "Action": "personalize:DescribeDataset",
            "Resource": "*"
        }
    ]
}

태그 기반의 리소스 수준 권한을 정의하면 권한이 즉시 적용됩니다. 즉 리소스를 생성하자마자 더 안전하게 보호할 수 있으며 새 리소스에 태그 사용 적용을 빠르게 시작할 수 있습니다. 리소스 수준 권한을 사용하여 새 리소스 및 기존 리소스와 연결할 수 있는 태그 키와 값을 제어할 수도 있습니다. 자세한 내용은AWS IAM 사용 설명서의 태그를 사용한 액세스 제어를 참조하세요.