관리자가 아닌 사용자에 대한 세부 IAM 권한 만들기 - AWS Step Functions
서비스 수준 권한상태 시스템 수준 권한실행 수준 권한작업 수준 권한

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

관리자가 아닌 사용자에 대한 세부 IAM 권한 만들기

IAM의 기본 관리형 정책 (예ReadOnly:) 은 모든 유형의 AWS Step Functions 권한을 완전히 다루지는 않습니다. 이 단원에서는 이들 다른 유형의 권한을 설명하고 몇 가지 예제 구성을 제공합니다.

Step Functions에는 4가지 권한 범주가 있습니다. 사용자에게 제공하려는 액세스에 따라 이 범주의 권한을 사용하여 액세스를 제어할 수 있습니다.

서비스 수준 권한

특정 리소스에서 작동하지 않는 API 구성 요소에 적용하세요.

상태 시스템 수준 권한

특정 리소스에 작용하는 모든 API 구성 요소에 적용됩니다.

실행 수준 권한

특정 실행에 작용하는 모든 API 구성 요소에 적용됩니다.

작업 수준 권한

특정 작업에 작용하거나, 작업의 특정 인스턴스에 작용하는 모든 API 구성 요소에 적용됩니다.

서비스 수준 권한

이 권한 수준은 특정 리소스에서 작동하지 않는 모든 API 작업에 적용됩니다. 여기에는CreateStateMachine,,CreateActivity, ListStateMachinesListActivities, 등이 포함됩니다ValidationStateMachineDefinition.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:ListStateMachines",
        "states:ListActivities",
        "states:CreateStateMachine",
        "states:CreateActivity",
        "states:ValidationStateMachineDefinition", 
      ],
      "Resource": [ 
        "arn:aws:states:*:*:*" 
      ]
    },
    {
      "Effect": "Allow",
      "Action": [ 
        "iam:PassRole"
      ],
      "Resource": [
        "arn:aws:iam:::role/my-execution-role"
      ]
    }
  ]
}

상태 시스템 수준 권한

이 권한 수준은 특정 상태 시스템에 작용하지 않는 모든 API 작업에 적용됩니다. 이러한 API 작업에는 요청의 일부로 상태 시스템의 Amazon 리소스 이름(ARN)이 필요합니다(예: DeleteStateMachine, DescribeStateMachine, StartExecutionListExecutions).

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeStateMachine",
        "states:StartExecution",
        "states:DeleteStateMachine",
        "states:ListExecutions",
        "states:UpdateStateMachine",
        "states:TestState",
        "states:RevealSecrets"
      ],
      "Resource": [ 
        "arn:aws:states:*:*:stateMachine:StateMachinePrefix*" 
      ]
    }
  ]
}

실행 수준 권한

이 권한 수준은 특정 실행에 작용하지 않는 모든 API 작업에 적용됩니다. 이러한 API 작업은 요청의 일부로 실행의 ARN을 요구합니다(예: DescribeExecution, GetExecutionHistory, StopExecution).

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeExecution",
        "states:DescribeStateMachineForExecution",
        "states:GetExecutionHistory",
        "states:StopExecution"
      ],
      "Resource": [ 
        "arn:aws:states:*:*:execution:*:ExecutionPrefix*"
      ]
    }
  ]
}

작업 수준 권한

이 권한 수준은 특정 작업에 작용하거나 해당 작업의 특정 인스턴스에 작용하는 모든 API 작업에 적용됩니다. 이러한 API 작업에는 요청의 일부로 작업의 ARN 또는 인스턴스 토큰이 필요합니다(예: DeleteActivity, DescribeActivity, GetActivityTaskSendTaskHeartbeat).

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeActivity",
        "states:DeleteActivity",
        "states:GetActivityTask",
        "states:SendTaskHeartbeat"
      ],
      "Resource": [
        "arn:aws:states:*:*:activity:ActivityPrefix*"
      ]
    }
  ]
}