Identity and Access Management in Amazon S3 Vectors
Anmerkung
Amazon S3 Vectors befindet sich in der Vorabversion für Amazon Simple Storage Service und unterliegt noch Änderungen.
Die Zugriffsverwaltung in S3 Vectors folgt bewährten AWS Sicherheitsmethoden und bietet mehrere Kontrollebenen, um sicherzustellen, dass nur autorisierte Benutzer und Anwendungen auf Ihre Vektordaten zugreifen können. Der Service ist in IAM integriert und unterstützt sowohl identitäts- als auch ressourcenbasierte Richtlinien, sodass Sie Ihre Berechtigungen in Ihrem Unternehmen flexibel strukturieren und verwalten können.
Authentifizieren und Autorisieren von Anforderungen
S3 Vectors verwendet AWS standardmäßige Authentifizierungs- und Autorisierungsmechanismen, um den Zugriff auf Vektor-Buckets und deren Inhalt zu sichern. Jede Anfrage an S3 Vectors muss mit gültigen AWS Anmeldeinformationen authentifiziert werden, und der Service bewertet Berechtigungen auf der Grundlage der Kombination aus identitätsbasierten Richtlinien, ressourcenbasierten Richtlinien und allen geltenden Service-Kontrollrichtlinien.
Der Authentifizierungsprozess beginnt, wenn ein Client mithilfe von AWS Anmeldeinformationen (Zugriffsschlüssel, temporäre Anmeldeinformationen von AWS STS oder IAM-Rollen) eine Anfrage an S3 Vectors stellt. Der Dienst validiert diese Anmeldeinformationen und bewertet dann die mit der authentifizierten Identität verknüpften Berechtigungen anhand der angeforderten Aktion und Zielressource. Bei diesem Bewertungsprozess werden mehrere Richtlinienaktionen berücksichtigt und bei der Entscheidung, ob die Anfrage zugelassen oder abgelehnt wird, das Prinzip der geringsten Berechtigung angewendet.
Die Autorisierung in S3 Vectors erfolgt auf mehreren Granularitätsebenen. Sie können den Zugriff auf Vektor-Bucket-Ebene, auf Ebene einzelner Vektorindizes oder sogar auf bestimmten Operationen innerhalb eines Indexes steuern. Dieses hierarchische Berechtigungsmodell ermöglicht es Ihnen, ausgefeilte Zugriffskontrollschemata zu implementieren, die auf Ihre Organisationsstruktur und die Anforderungen an die Daten-Governance abgestimmt sind.
Für Vektor-Buckets definierte Ressourcentypen
S3 Vectors definiert spezifische Ressourcentypen, auf die in IAM-Richtlinien und ressourcenbasierten Richtlinien verwiesen werden kann. Das Verständnis dieser Ressourcentypen ist für die Erstellung effektiver Zugriffskontrollrichtlinien, die den richtigen Benutzern und Anwendungen die richtige Zugriffsebene bieten, unerlässlich.
In der folgenden Tabelle werden die in S3 Vectors verfügbaren Ressourcentypen beschrieben.
| Ressourcentyp | ARN-Format | Beschreibung |
|---|---|---|
| VectorBucket | arn:aws:s3vectors:region:123456789012:bucket/bucket-name |
Stellt einen Vektor-Bucket dar und wird für Operationen auf Bucket-Ebene wie das Erstellen, Löschen oder Konfigurieren des Buckets verwendet |
| Index | arn:aws:s3vectors:region:123456789012:bucket/bucket-name/index/index-name |
Stellt einen Vektorindex innerhalb eines Buckets dar und wird für indexspezifische Operationen wie das Abfragen von Vektoren oder das Verwalten von Indexinhalten verwendet |
Richtlinienaktionen für Vektor-Buckets
S3 Vectors bietet eine umfassende Reihe von Richtlinienaktionen, die den verschiedenen Vorgängen entsprechen, die Sie mit Vektor-Buckets und Indizes ausführen können. Diese Aktionen sind so konzipiert, dass sie eine genaue Kontrolle darüber bieten, wer bestimmte Operationen ausführen kann, sodass Sie das Prinzip der geringsten Berechtigung effektiv umsetzen können.
In der folgenden Tabelle sind alle verfügbaren Richtlinienaktionen für S3 Vectors-Ressourcen aufgeführt.
| Ressourcentyp | API-Operationen | Richtlinienaktionen | Beschreibung der Richtlinienaktionen | Zugriffsebene | Bedingungsschlüssel |
|---|---|---|---|---|---|
| Account | ListVectorBuckets | s3vectors:ListVectorBuckets | Gewährt die Berechtigung zum Auflisten aller Vektor-Buckets im Konto und in der Region | Auflisten | |
| VectorBucket | CreateVectorBucket | s3vectors:CreateVectorBucket | Gewährt die Berechtigung zum Erstellen eines neuen Vektor-Buckets mit der angegebenen Konfiguration | Schreiben | s3vectors:sseType, s3vectors:kmsKeyArn |
| VectorBucket | GetVectorBucket | s3vectors:GetVectorBucket | Gewährt die Berechtigung zum Abrufen von Vektor-Bucket-Attributen und Konfigurationen | Lesen | |
| VectorBucket | DeleteVectorBucket | s3vectors:DeleteVectorBucket | Erteilt die Berechtigung zum Löschen eines leeren Vektor-Bucket | Schreiben | |
| VectorBucket | listIndexes | s3vectors:ListIndexes | Gewährt die Berechtigung zum Auflisten aller Indizes innerhalb eines Vektor-Buckets | Auflisten | |
| VectorBucket | PutVectorBucketPolicy | s3vectors:PutVectorBucketPolicy | Gewährt die Berechtigung zum Anwenden oder Aktualisieren einer ressourcenbasierten Richtlinie auf einen Vektor-Bucket | Berechtigungsverwaltung | |
| VectorBucket | GetVectorBucketPolicy | s3vectors:GetVectorBucketPolicy | Erteilt die Berechtigung zum Abrufen der ressourcenbasierten Richtlinie, die einem Vektor-Bucket zugeordnet ist | Lesen | |
| VectorBucket | DeleteVectorBucketPolicy | s3vectors:DeleteVectorBucketPolicy | Gewährt die Berechtigung zum Entfernen der ressourcenbasierten Richtlinie aus einem Vektor-Bucket | Berechtigungsverwaltung | |
| Index | CreateIndex | s3vectors:CreateIndex | Gewährt die Berechtigung zum Erstellen eines neuen Vektorindex mit angegebenen Dimensionen und Metadata-Konfiguration | Schreiben | |
| Index | GetIndex | s3vectors:GetIndex | Gewährt die Berechtigung zum Abrufen von Vektorindexattributen und -konfigurationen | Lesen | |
| Index | DeleteIndex | s3vectors:DeleteIndex | Gewährt die Berechtigung zum Löschen eines Vektorindex und seines gesamten Inhalts | Schreiben | |
| Index | Vektoren abfragen | (Erforderlich) s3vectors:QueryVectors | Erteilt die Berechtigung, Ähnlichkeitsabfragen für Vektoren in einem Index durchzuführen. Mit |
Lesen | |
| (Bedingt erforderlich): s3Vectors:GetVectors | Erforderlich, wenn Sie Metadatenfilter einrichten, die |
Lesen | |||
| Index | PutVectors | s3vectors:PutVectors | Gewährt die Berechtigung zum Hinzufügen oder Aktualisieren von Vektoren in einem Index | Schreiben | |
| Index | GetVectors | s3vectors:GetVectors | Erteilt die Berechtigung, bestimmte Vektoren und ihre Metadaten anhand eines Vektorschlüssels abzurufen | Lesen | |
| Index | Vektoren auflisten | (Erforderlich) s3vectors:ListVectors | Erteilt die Berechtigung, Vektorschlüssel in einem Index aufzulisten. Mit |
Lesen | |
| (Bedingt erforderlich): s3Vectors:GetVectors | Erforderlich, wenn Sie in Ihrer Anfrage einen der Parameter |
Lesen | |||
| Index | Vektoren löschen | s3vectors:DeleteVectors | Gewährt die Berechtigung zum Löschen bestimmter Vektoren aus einem Index | Schreiben |
Diese Aktionen können auf verschiedene Weise kombiniert werden, um Richtlinien zu erstellen, die Ihren spezifischen Zugriffsanforderungen entsprechen. Beispielsweise könnten Sie eine schreibgeschützte Richtlinie erstellen, die die Aktionen s3vectors:GetVectorBucket, s3vectors:ListIndexes, s3vectors:QueryVectors und s3vectors:GetVectors umfasst, oder eine Richtlinie, die Abfrage- und Vektorabrufberechtigungen enthält, jedoch Verwaltungsaktionen wie das Erstellen oder Löschen von Indizes ausschließt.
Bedingungsschlüssel für Vektor-Buckets
| Bedingungsschlüssel | Beschreibung | Typ | |
|---|---|---|---|
| 1 | s3vectors:sseType | Filtert den Zugriff nach serverseitigem Verschlüsselungstyp. Gültige Werte: AES256 | aws:kms |
Zeichenfolge |
| 2 | s3vectors:kmsKeyArn | Filtert den Zugriff nach dem AWS AWS KMS Schlüssel ARN für den Schlüssel, der zur Verschlüsselung eines Vektor-Buckets verwendet wird | ARN |
