Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

Step Functions 中的标记

Amazon Step Functions 支持标记状态机（标准和快速）和活动。这可帮助您跟踪和管理与资源关联的成本，并增强 Amazon Identity and Access Management (IAM) 策略中的安全性。标记 Step Functions 资源后，可以使用 Amazon Resource Groups 对其进行管理。有关资源组更多信息，请参阅 Amazon Resource Groups 用户指南。

对于基于标签的授权，状态机执行资源（如下例所示）会继承与状态机关联的标签。

arn:<partition>:states:<Region>:<account-id>:execution:<StateMachineName>:<ExecutionId>

当调用 DescribeExecution 或其他指定执行资源 ARN 的 API 时，Step Functions 会使用与状态机相关的标记来接受或拒绝请求，同时执行基于标记的授权。这有助于在状态机级别允许或拒绝对状态机执行的访问。

要查看与资源标记相关的限制，请参阅与标记相关的限制。

成本分配的标记

要组织并标识您的 Step Functions 资源以进行成本分配，您可以添加用于确定状态机或活动的用途的元数据标签。这在您拥有许多资源时尤其有用。您可以使用成本分配标签组织 Amazon 账单，以反映您自己的成本结构。要执行此操作，请注册以获取 Amazon 账户账单来包含标签键和值。有关更多信息，请参阅《Amazon Billing用户指南》中的设置月度成本分配报告。

例如，您可以添加表示 Step Functions 资源的成本中心和用途的标签，如下所示。

此标记方案可让您将执行相关任务的两个状态机分组到同一成本中心，并使用不同的成本分配标签来标记不相关的活动。

标记以提高安全性

IAM 支持基于标签控制对资源的访问。要基于标签控制访问，请在 IAM 策略的条件元素中提供有关您的资源标签的信息。

例如，您可能会限制对下面这样的所有 Step Functions 资源的访问：在这些资源包含的标签中，具有键 environment 和值 production。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "states:TagResource",
                "states:DeleteActivity",
                "states:DeleteStateMachine",
                "states:StopExecution"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/environment": "production"}
            }
        }
    ]
}

有关更多信息，请参阅《IAM 用户指南》中的使用标签控制访问。

在 Step Functions 控制台中查看和管理标签

Step Functions 可让您在 Step Functions 控制台中查看和管理状态机的标签。在状态机的 Details (详细信息) 页面中，选择 Tags (标签)。在这里，您可以查看与状态机关联的现有标签。

要添加或删除与状态机关联的标签，请选择 Manage Tags (管理标签) 按钮。

使用 Step Functions API 操作管理标签

要使用 Step Functions API 管理标签，请使用以下 API 操作：