As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Criar políticas do IAM baseadas em tags no Step Functions
O Step Functions oferece suporte a políticas baseadas em tags. Por exemplo, é possível restringir o acesso a todos os recursos do Step Functions que incluam uma tag com a chave `environment` e o valor `production`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"states:TagResource",
"states:UntagResource",
"states:DeleteActivity",
"states:DeleteStateMachine",
"states:StopExecution"
],
"Resource": "*",
"Condition": {
"StringEquals": {"aws:ResourceTag/environment": "production"}
}
}
]
}
```
Esta política aplica `Deny` à capacidade de excluir máquinas de estado ou atividades, interromper execuções e adicionar ou excluir novas tags para todos os recursos que foram marcados como `environment/production`.
Para autorização baseada em tags, os recursos de execução da máquina de estado, conforme mostrado no exemplo a seguir, herdam as tags associadas a uma máquina de estado.
```
arn:partition:states:region:account-id:execution::
```
Quando você chama [DescribeExecution](https://docs.aws.amazon.com/step-functions/latest/apireference/API_DescribeExecution.html)ou outra APIs na qual você especifica o ARN do recurso de execução, o Step Functions usa tags associadas à máquina de estado para aceitar ou negar a solicitação enquanto executa a autorização baseada em tags. Isso ajuda você a permitir ou negar acesso às execuções no nível da máquina de estado.
Para obter mais informações sobre a marcação, consulte o seguinte:
+ [Marcar máquinas de estado e atividades no Step Functions](sfn-best-practices.md#concepts-tagging)
+ [Controlar o acesso com tags do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html)