기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 리소스: 작업 정의 및 작업 대기열의 리소스 태그로 작업 제출 제한
<a name="iam-example-restrict-job-submission-by-tags"></a>

작업 대기열에 태그가 `Environment=dev` 있고 작업 정의에 태그가 있는 경우에만 다음 정책을 사용하여 작업을 제출합니다`Project=calc`. 이 정책은 작업 제출 중에 리소스 태그를 사용하여 AWS Batch 리소스에 대한 액세스를 제어하는 방법을 보여줍니다.

**중요**  
작업 정의 리소스 태그를 평가하는 정책이 있는 작업을 제출할 때는 작업 정의 개정 형식()을 사용하여 작업을 제출해야 합니다`job-definition:revision`. 개정을 지정하지 않고 작업을 제출하면 작업 정의 태그가 평가되지 않으므로 의도한 액세스 제어를 우회할 수 있습니다. 리소스 ARN의 `*:*` 패턴은 제출에 개정이 포함되어야 함을 적용하여 태그 정책이 항상 효과적으로 적용되도록 합니다.

이 정책은 서로 다른 리소스 유형에 서로 다른 태그 조건을 적용하기 때문에 두 개의 개별 문을 사용합니다. 작업 제출을 위한 리소스 수준 액세스의 범위를 지정할 때 작업 대기열 및 작업 정의 리소스 유형을 모두 제공해야 합니다.

```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "batch:SubmitJob",
      "Resource": "arn:aws:batch:*:*:job-queue/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Environment": "dev"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "batch:SubmitJob",
      "Resource": "arn:aws:batch:*:*:job-definition/*:*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Project": "calc"
        }
      }
    }
  ]
}
```