AWS 리소스에 태그를 추가했지만 IAM 정책이 작동하지 않습니다. 권한 부여 기반 태그를 지원하는 AWS 서비스는 무엇입니까?

최종 업데이트 날짜: 2022년 2월 17일

내 리소스는 올바른 태그 키와 값으로 태그가 지정되었지만 AWS Identity and Access Management(IAM) 정책에서 내 리소스의 태그를 평가하지는 않습니다.

간략한 설명

IAM 정책은 전역 조건 키 aws:ResourceTag를 사용하여 리소스의 태그 키 및 값에 따라 액세스를 제어할 수 있습니다. 모든 AWS 서비스가 태그 인증을 지원하는 것은 아닙니다. AWS Lambda 함수 및 Amazon Simple Queue Service (Amazon SQS) 대기열과 같은 일부 AWS 리소스에는 태그를 지정할 수 있습니다. 하지만 IAM 정책에서 이러한 태그를 사용하여 리소스에 대한 액세스를 제어할 수는 없습니다. 태그 기반 권한 부여를 지원하는 AWS 서비스 목록은 IAM과 함께 작동하는 AWS 서비스를 참조하세요.

해결 방법

AWS 서비스가 태그 기반 권한 부여를 지원하지 않는 경우 서비스에 대한 작업, 리소스 및 조건 키를 확인하여 IAM 정책에서 지원되는 리소스 수준 권한 및 조건 키를 검토합니다. Amazon SQS에서의 액세스 관리 개요AWS Lambda용 자격 증명 기반 IAM 정책과 같은 일부 AWS 서비스에는 예제 IAM 정책이 포함된 설명서가 있습니다.

DeleteFunction 및 PublishVersion과 같은 일부 Lambda 작업은 리소스 수준 권한을 사용하여 특정 Lambda 함수로 제한될 수 있습니다. 이 예제 IAM 정책을 IAM 사용자에게 연결하면 이러한 Lambda 작업이 허용되지만 단일 Lambda 함수에서만 허용됩니다.
참고: IAM 정책을 편집하여 자체Lambda 함수 ARN을 포함하십시오.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowActionsOnSpecificFunction",
      "Effect": "Allow",
      "Action": [
        "lambda:DeleteFunction",
        "lambda:PublishVersion"
      ],
      "Resource": "arn:aws:lambda:us-west-2:123456789012:function:my-function"
    }
  ]
}