기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Step Functions에서 관리자가 아닌 사용자에 대해 세부 권한 생성
<a name="concept-create-iam-advanced"></a>

와 같은 IAM의 기본 관리형 정책은 모든 유형의 AWS Step Functions 권한을 완전히 다루`ReadOnly`지는 않습니다. 이 단원에서는 이들 다른 유형의 권한을 설명하고 몇 가지 예제 구성을 제공합니다.

Step Functions에는 4가지 권한 범주가 있습니다. 사용자에게 제공하려는 액세스에 따라 이 범주의 권한을 사용하여 액세스를 제어할 수 있습니다.

[서비스 수준 권한](#concept-create-iam-advanced-service)  
특정 리소스에 작용하지 **않는** API 구성 요소에 적용됩니다.

[상태 머신 수준 권한](#concept-create-iam-advanced-state)  
특정 리소스에 작용하는 모든 API 구성 요소에 적용됩니다.

[실행 수준 권한](#concept-create-iam-advanced-execution)  
특정 실행에 작용하는 모든 API 구성 요소에 적용됩니다.

[작업 수준 권한](#concept-create-iam-advanced-activity)  
특정 작업에 작용하거나, 작업의 특정 인스턴스에 작용하는 모든 API 구성 요소에 적용됩니다.

## 서비스 수준 권한
<a name="concept-create-iam-advanced-service"></a>

이 권한 수준은 특정 리소스에 작용하지 **않는** 모든 API 작업에 적용됩니다. 여기에는 `[CreateStateMachine](https://docs.aws.amazon.com/step-functions/latest/apireference/API_CreateStateMachine.html)`, `[CreateActivity](https://docs.aws.amazon.com/step-functions/latest/apireference/API_CreateActivity.html)`, `[ListStateMachines](https://docs.aws.amazon.com/step-functions/latest/apireference/API_ListStateMachines.html)`, `[ListActivities](https://docs.aws.amazon.com/step-functions/latest/apireference/API_ListActivities.html)`, `[ValidateStateMachineDefinition](https://docs.aws.amazon.com/step-functions/latest/apireference/API_ValidateStateMachineDefinition.html)`가 포함됩니다.

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "states:ListStateMachines",
                "states:ListActivities",
                "states:CreateStateMachine",
                "states:CreateActivity",
                "states:ValidateStateMachineDefinition"
            ],
            "Resource": [
                "arn:aws:states:*:*:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::123456789012:role/my-execution-role"
            ]
        }
    ]
}
```

## 상태 머신 수준 권한
<a name="concept-create-iam-advanced-state"></a>

이 권한 수준은 특정 상태 머신에 작용하지 않는 모든 API 작업에 적용됩니다. 이러한 API 작업에는 요청의 일부로 상태 머신의 Amazon 리소스 이름(ARN)이 필요합니다(예: `[DeleteStateMachine](https://docs.aws.amazon.com/step-functions/latest/apireference/API_DeleteStateMachine.html)`, `[DescribeStateMachine](https://docs.aws.amazon.com/step-functions/latest/apireference/API_DescribeStateMachine.html)`, `[StartExecution](https://docs.aws.amazon.com/step-functions/latest/apireference/API_StartExecution.html)` 및 `[ListExecutions](https://docs.aws.amazon.com/step-functions/latest/apireference/API_ListExecutions.html)`).

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeStateMachine",
        "states:StartExecution",
        "states:DeleteStateMachine",
        "states:ListExecutions",
        "states:UpdateStateMachine",
        "states:TestState",
        "states:RevealSecrets"
      ],
      "Resource": [ 
        "arn:aws:states:*:*:stateMachine:StateMachinePrefix*" 
      ]
    }
  ]
}
```

## 실행 수준 권한
<a name="concept-create-iam-advanced-execution"></a>

이 권한 수준은 특정 실행에 작용하지 않는 모든 API 작업에 적용됩니다. 이러한 API 작업은 요청의 일부로 실행의 ARN을 요구합니다(예: `[DescribeExecution](https://docs.aws.amazon.com/step-functions/latest/apireference/API_DescribeExecution.html)`, `[GetExecutionHistory](https://docs.aws.amazon.com/step-functions/latest/apireference/API_GetExecutionHistory.html)`, `[StopExecution](https://docs.aws.amazon.com/step-functions/latest/apireference/API_StopExecution.html)`).

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeExecution",
        "states:DescribeStateMachineForExecution",
        "states:GetExecutionHistory",
        "states:StopExecution"
      ],
      "Resource": [ 
        "arn:aws:states:*:*:execution:*:ExecutionPrefix*"
      ]
    }
  ]
}
```

## 작업 수준 권한
<a name="concept-create-iam-advanced-activity"></a>

이 권한 수준은 특정 작업에 작용하거나 해당 작업의 특정 인스턴스에 작용하는 모든 API 작업에 적용됩니다. 이러한 API 작업에는 요청의 일부로 작업의 ARN 또는 인스턴스 토큰이 필요합니다(예: `[DeleteActivity](https://docs.aws.amazon.com/step-functions/latest/apireference/API_DeleteActivity.html)`, `[DescribeActivity](https://docs.aws.amazon.com/step-functions/latest/apireference/API_DescribeActivity.html)`, `[GetActivityTask](https://docs.aws.amazon.com/step-functions/latest/apireference/API_GetActivityTask.html)` 및 `[SendTaskHeartbeat](https://docs.aws.amazon.com/step-functions/latest/apireference/API_SendTaskHeartbeat.html)`).

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "states:DescribeActivity",
        "states:DeleteActivity",
        "states:GetActivityTask",
        "states:SendTaskHeartbeat"
      ],
      "Resource": [
        "arn:aws:states:*:*:activity:ActivityPrefix*"
      ]
    }
  ]
}
```