Identity and Access Management dans S3 Vectors
Note
Amazon S3 Vectors est en version préliminaire pour Amazon Simple Storage Service et sujet à modification.
La gestion des accès dans S3 Vectors suit les bonnes pratiques en matière de sécurité AWS, en fournissant plusieurs niveaux de contrôle pour garantir que seuls les utilisateurs et les applications autorisés peuvent accéder à vos données vectorielles. Le service s’intègre à IAM et prend en charge les politiques basées sur les identités et les ressources, ce qui vous donne de la flexibilité dans la manière dont vous structurez et gérez les autorisations au sein de votre organisation.
Authentification et autorisation des demandes
S3 Vectors utilise des mécanismes d’authentification et d’autorisation standard AWS pour sécuriser l’accès aux compartiments de vecteur et à leur contenu. Chaque demande adressée à S3 Vectors doit être authentifiée à l’aide d’informations d’identification AWS valides, et le service évalue les autorisations en fonction de la combinaison de politiques basées sur l’identité, de politiques basées sur les ressources et de toute politique de contrôle de service applicable.
Le processus d’authentification commence lorsqu’un client adresse une demande à S3 Vectors à l’aide d’informations d’identification AWS (clés d’accès, informations d’identification temporaires de AWS STS ou rôles IAM). Le service valide ces informations d’identification, puis évalue les autorisations associées à l’identité authentifiée par rapport à l’action demandée et à la ressource cible. Ce processus d’évaluation prend en compte plusieurs types de politiques et applique le principe du moindre privilège pour déterminer si la demande doit être autorisée ou refusée.
L’autorisation dans S3 Vectors fonctionne à plusieurs niveaux de granularité. Vous pouvez contrôler l’accès au niveau du compartiment de vecteur, au niveau de l’index vectoriel individuel ou même au niveau d’opérations spécifiques au sein d’un index. Ce modèle d’autorisation hiérarchique vous permet de mettre en œuvre des schémas de contrôle d’accès sophistiqués qui correspondent à votre structure organisationnelle et aux exigences de gouvernance des données.
Types de ressources définis pour les compartiments de vecteur
S3 Vectors définit des types de ressources spécifiques qui peuvent être référencés dans les politiques IAM et les politiques basées sur les ressources. Il est essentiel de comprendre ces types de ressources pour créer des politiques de contrôle d’accès efficaces qui fournissent le niveau d’accès approprié aux utilisateurs et aux applications appropriés.
La table suivante décrit les types de ressources disponibles dans S3 Vectors.
| Type de ressource | Format ARN | Description |
|---|---|---|
| VectorBucket | arn:aws:s3vectors:region:123 456 789 012:bucket/bucket-name |
Représente un compartiment de vecteur et est utilisé pour les opérations au niveau du compartiment telles que la création, la suppression ou la configuration du compartiment |
| Index | arn:aws:s3vectors:region:123 456 789 012:bucket/bucket-name/index/index-name |
Représente un index vectoriel dans un compartiment et est utilisé pour des opérations spécifiques à un index, telles que l’interrogation de vecteurs ou la gestion du contenu de l’index |
Actions de politique pour les compartiments de vecteur
S3 Vectors fournit un ensemble complet d’actions politiques correspondant aux différentes opérations que vous pouvez effectuer sur les compartiments et les index vectoriels. Ces actions sont conçues pour fournir un contrôle précis sur les personnes habilitées à effectuer des opérations spécifiques, vous permettant ainsi de mettre en œuvre efficacement le principe du moindre privilège.
La table suivante répertorie toutes les actions de politique disponibles pour les ressources S3 Vectors.
| Type de ressource | Opérations d’API | Actions de politique | Description des actions de politique | Niveau d’accès | Clés de condition |
|---|---|---|---|---|---|
| Compte | ListVectorBuckets | s3vectors:ListVectorBuckets | Accorde l’autorisation de répertorier tous les compartiments de vecteur dans le compte et la région | Liste | |
| VectorBucket | CreateVectorBucket | s3vectors:CreateVectorBucket | Accorde l’autorisation de créer un nouveau compartiment de vecteur avec une configuration spécifiée | Écrire | s3vectors:sseType, s3vectors:kmsKeyArn |
| VectorBucket | GetVectorBucket | s3vectors:GetVectorBucket | Accorde l’autorisation de récupérer les attributs et la configuration du compartiment de vecteur | Lire | |
| VectorBucket | DeleteVectorBucket | s3vectors:DeleteVectorBucket | Accorde l’autorisation de supprimer un compartiment de vecteur vide | Écrire | |
| VectorBucket | ListIndexes | s3vectors:ListIndexes | Accorde l’autorisation de répertorier tous les index dans un compartiment de vecteur | Liste | |
| VectorBucket | PutVectorBucketPolicy | s3vectors:PutVectorBucketPolicy | Accorde l’autorisation d’appliquer ou de mettre à jour une politique basée sur les ressources sur un compartiment de vecteur | Gestion des autorisations | |
| VectorBucket | GetVectorBucketPolicy | s3vectors:GetVectorBucketPolicy | Accorde l’autorisation de récupérer la politique basée sur les ressources attachée à un compartiment de vecteur | Lire | |
| VectorBucket | DeleteVectorBucketPolicy | s3vectors:DeleteVectorBucketPolicy | Accorde l’autorisation de supprimer la politique basée sur les ressources d’un compartiment de vecteur | Gestion des autorisations | |
| Index | CreateIndex | s3vectors:CreateIndex | Accorde l’autorisation de créer un nouvel index vectoriel avec des dimensions et une configuration de métadonnées spécifiées | Écrire | |
| Index | GetIndex | s3vectors:GetIndex | Accorde l’autorisation de récupérer les attributs et la configuration de l’index vectoriel | Lire | |
| Index | DeleteIndex | s3vectors:DeleteIndex | Accorde l’autorisation de supprimer un index vectoriel et tout son contenu | Écrire | |
| Index | QueryVectors | (Obligatoire) s3vectors:QueryVectors | Accorde l’autorisation d’effectuer des requêtes de similarité par rapport aux vecteurs d’un index. Avec |
Lire | |
| (Obligatoire sous condition) : s3vectors:GetVectors | Obligatoire si vous définissez des filtres de métadonnées, définis Avec |
Lire | |||
| Index | PutVectors | s3vectors:PutVectors | Accorde l’autorisation d’ajouter ou de mettre à jour des vecteurs dans un index | Écrire | |
| Index | GetVectors | s3vectors:GetVectors | Accorde l’autorisation de récupérer des vecteurs spécifiques et de leurs métadonnées par clé vectorielle | Lire | |
| Index | ListVectors | (Obligatoire) s3vectors:ListVectors | Accorde l’autorisation de répertorier les clés vectorielles dans un index. Avec |
Lire | |
| (Obligatoire sous condition) : s3vectors:GetVectors | Obligatoire si vous définissez le paramètre Avec |
Lire | |||
| Index | DeleteVectors | s3vectors:DeleteVectors | Accorde l’autorisation de supprimer des vecteurs spécifiques d’un index | Écrire |
Ces actions peuvent être combinées de différentes manières pour créer des politiques qui répondent à vos besoins d’accès spécifiques. Par exemple, vous pouvez créer une politique en lecture seule qui inclut des actions s3vectors:GetVectorBucket, s3vectors:ListIndexes, s3vectors:QueryVectors et s3vectors:GetVectors ou une politique qui inclut des autorisations de requête et de récupération vectorielle mais exclut les actions administratives telles que la création ou la suppression d’index.
Clés de condition pour compartiments de vecteur
| Clés de condition | Description | Type | |
|---|---|---|---|
| 1 | s3vectors:sseType | Filtre l’accès en fonction du type de chiffrement côté serveur Valeurs valides : AES256 | aws:kms |
Chaîne |
| 2 | s3vectors:kmsKeyArn | Filtre l’accès par l’ARN de clé AWS AWS KMS pour la clé utilisée pour chiffrer un compartiment de vecteur | ARN |
