AWS 리소스에 태그를 추가했지만 IAM 정책이 작동하지 않습니다. 인증 기반 태그를 지원하는 AWS 서비스는 무엇입니까?

간략한 설명

IAM 정책은 글로벌 조건 키 aws:ResourceTag/tag-key를 사용하여 리소스의 태그 키와 값을 기반으로 액세스를 제어할 수 있습니다. 모든 AWS 서비스가 태그 인증을 지원하는 것은 아닙니다. AWS Lambda 함수 및 Amazon Simple Queue Service(Amazon SQS) 대기열과 같은 일부 AWS 리소스에는 태그를 지정할 수 있습니다. 하지만 이러한 태그를 IAM 정책에서 리소스에 대한 액세스를 제어하는 데 사용할 수는 없습니다. 태그 기반 인증을 지원하는 AWS 서비스 목록은 IAM과 함께 작동하는 AWS 서비스를 참조하십시오.

해결 방법

AWS 서비스가 태그 기반 인증을 지원하지 않는 경우 서비스의 작업, 리소스 및 조건 키를 확인하여 IAM 정책에서 지원되는 리소스 수준 권한 및 조건 키를 확인하십시오. Amazon SQS의 액세스 관리 개요 및 AWS Lambda의 ID 기반 IAM 정책과 같은 일부 AWS 서비스에는 예제 IAM 정책이 포함된 문서가 있습니다.

DeleteFunction 및 PublishVersion과 같은 일부 Lambda 작업은 리소스 수준 권한을 사용하여 특정 Lambda 함수로 제한될 수 있습니다. 이 예제 IAM 정책을 IAM 사용자에게 연결하면 이러한 Lambda 작업이 허용되지만 단일 Lambda 함수에서만 가능합니다.

참고: 자체 Lambda 함수 ARN을 포함하도록 IAM 정책을 편집합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowActionsOnSpecificFunction",
      "Effect": "Allow",
      "Action": [
        "lambda:DeleteFunction",
        "lambda:PublishVersion"
      ],
      "Resource": "arn:aws:lambda:us-west-2:123456789012:function:my-function"
    }
  ]
}

관련 정보

IAM ID 기반 정책을 사용하여 특정 IAM 역할 세션에 대한 액세스를 제한하려면 어떻게 해야 합니까?

PrincipalTag, ResourceTag, RequestTag 및 TagKeys 조건 키를 사용하여 태그 기반 제한을 위한 IAM 정책을 생성하려면 어떻게 합니까?