Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Identity and Access Management dans S3 Vectors
La gestion des accès dans S3 Vectors suit les meilleures pratiques en matière de AWS sécurité, en fournissant plusieurs niveaux de contrôle pour garantir que seuls les utilisateurs et les applications autorisés peuvent accéder à vos données vectorielles. Le service s’intègre à IAM et prend en charge les politiques basées sur les identités et les ressources, ce qui vous donne de la flexibilité dans la manière dont vous structurez et gérez les autorisations au sein de votre organisation.
Authentification et autorisation des demandes
S3 Vectors utilise des mécanismes d'authentification et d'autorisation AWS standard pour sécuriser l'accès aux compartiments vectoriels et à leur contenu. Chaque demande adressée à S3 Vectors doit être authentifiée à l'aide AWS d'informations d'identification valides, et le service évalue les autorisations en fonction de la combinaison de politiques basées sur l'identité, de politiques basées sur les ressources et de toute politique de contrôle de service applicable.
Le processus d'authentification commence lorsqu'un client adresse une demande à S3 Vectors à l'aide AWS d'informations d'identification (clés d'accès, informations d' AWS STS identification temporaires ou rôles IAM). Le service valide ces informations d’identification, puis évalue les autorisations associées à l’identité authentifiée par rapport à l’action demandée et à la ressource cible. Ce processus d’évaluation prend en compte plusieurs types de politiques et applique le principe du moindre privilège pour déterminer si la demande doit être autorisée ou refusée.
L’autorisation dans S3 Vectors fonctionne à plusieurs niveaux de granularité. Vous pouvez contrôler l’accès au niveau du compartiment de vecteur, au niveau de l’index vectoriel individuel ou même au niveau d’opérations spécifiques au sein d’un index. Ce modèle d’autorisation hiérarchique vous permet de mettre en œuvre des schémas de contrôle d’accès sophistiqués qui correspondent à votre structure organisationnelle et aux exigences de gouvernance des données.
Types de ressources définis pour les compartiments de vecteur
S3 Vectors définit des types de ressources spécifiques qui peuvent être référencés dans les politiques IAM et les politiques basées sur les ressources. Il est essentiel de comprendre ces types de ressources pour créer des politiques de contrôle d’accès efficaces qui fournissent le niveau d’accès approprié aux utilisateurs et aux applications appropriés.
La table suivante décrit les types de ressources disponibles dans S3 Vectors.
| Type de ressource | Format ARN | Description |
|---|---|---|
| VectorBucket | arn:aws:s3vector : ::bucket/ region 123456789012 bucket-name |
Représente un compartiment de vecteur et est utilisé pour les opérations au niveau du compartiment telles que la création, la suppression ou la configuration du compartiment |
| Index | arn:aws:s3vector : ::bucket/ /index/ region 123456789012 bucket-name index-name |
Représente un index vectoriel dans un compartiment et est utilisé pour des opérations spécifiques à un index, telles que l’interrogation de vecteurs ou la gestion du contenu de l’index |
Actions de politique pour les compartiments de vecteur
S3 Vectors fournit un ensemble complet d’actions politiques correspondant aux différentes opérations que vous pouvez effectuer sur les compartiments et les index vectoriels. Ces actions sont conçues pour fournir un contrôle précis sur les personnes habilitées à effectuer des opérations spécifiques, vous permettant ainsi de mettre en œuvre efficacement le principe du moindre privilège.
La table suivante répertorie toutes les actions de politique disponibles pour les ressources S3 Vectors.
| Type de ressource | opérations d’API | Actions de politique | Description des actions de politique | Niveau d’accès | Clés de condition |
|---|---|---|---|---|---|
| Compte | ListVectorBuckets | vecteurs S3 : ListVectorBuckets | Accorde l’autorisation de répertorier tous les compartiments de vecteur dans le compte et la région | List | |
| VectorBucket | CreateVectorBucket | vecteurs S3 : CreateVectorBucket | Accorde l’autorisation de créer un nouveau compartiment de vecteur avec une configuration spécifiée | Écrire | Vecteurs S3 : SSEType, vecteurs S3 : kmsKeyArn |
| VectorBucket | GetVectorBucket | vecteurs S3 : GetVectorBucket | Accorde l’autorisation de récupérer les attributs et la configuration du compartiment de vecteur | Lecture | |
| VectorBucket | DeleteVectorBucket | vecteurs S3 : DeleteVectorBucket | Accorde l’autorisation de supprimer un compartiment de vecteur vide | Écrire | |
| VectorBucket | ListIndexes | vecteurs S3 : ListIndexes | Accorde l’autorisation de répertorier tous les index dans un compartiment de vecteur | List | |
| VectorBucket | PutVectorBucketPolicy | vecteurs S3 : PutVectorBucketPolicy | Accorde l’autorisation d’appliquer ou de mettre à jour une politique basée sur les ressources sur un compartiment de vecteur | Gestion des autorisations | |
| VectorBucket | GetVectorBucketPolicy | vecteurs S3 : GetVectorBucketPolicy | Accorde l’autorisation de récupérer la politique basée sur les ressources attachée à un compartiment de vecteur | Lecture | |
| VectorBucket | DeleteVectorBucketPolicy | vecteurs S3 : DeleteVectorBucketPolicy | Accorde l’autorisation de supprimer la politique basée sur les ressources d’un compartiment de vecteur | Gestion des autorisations | |
| Index | CreateIndex | vecteurs S3 : CreateIndex | Accorde l’autorisation de créer un nouvel index vectoriel avec des dimensions et une configuration de métadonnées spécifiées | Écrire | |
| Index | GetIndex | vecteurs S3 : GetIndex | Accorde l’autorisation de récupérer les attributs et la configuration de l’index vectoriel | Lecture | |
| Index | DeleteIndex | vecteurs S3 : DeleteIndex | Accorde l’autorisation de supprimer un index vectoriel et tout son contenu | Écrire | |
| Index | QueryVectors | Vecteurs S3 (obligatoires) : QueryVectors | Accorde l’autorisation d’effectuer des requêtes de similarité par rapport aux vecteurs d’un index. Avec |
Lecture | |
| (Conditionnellement requis) : s3vector : GetVectors | Obligatoire si vous définissez des filtres de métadonnées, définis Avec |
Lecture | |||
| Index | PutVectors | vecteurs S3 : PutVectors | Accorde l’autorisation d’ajouter ou de mettre à jour des vecteurs dans un index | Écrire | |
| Index | GetVectors | vecteurs S3 : GetVectors | Accorde l’autorisation de récupérer des vecteurs spécifiques et de leurs métadonnées par clé vectorielle | Lecture | |
| Index | ListVectors | Vecteurs S3 (obligatoires) : ListVectors | Accorde l’autorisation de répertorier les clés vectorielles dans un index. Avec |
Lecture | |
| (Conditionnellement requis) : s3vector : GetVectors | Obligatoire si vous définissez le paramètre Avec |
Lecture | |||
| Index | DeleteVectors | vecteurs S3 : DeleteVectors | Accorde l’autorisation de supprimer des vecteurs spécifiques d’un index | Écrire |
Ces actions peuvent être combinées de différentes manières pour créer des politiques qui répondent à vos besoins d’accès spécifiques. Par exemple, vous pouvez créer une politique en lecture seule qui inclut des actions s3vectors:GetVectorBucket, s3vectors:ListIndexes, s3vectors:QueryVectors et s3vectors:GetVectors ou une politique qui inclut des autorisations de requête et de récupération vectorielle mais exclut les actions administratives telles que la création ou la suppression d’index.
Clés de condition pour compartiments de vecteur
| Clés de condition | Description | Type | |
|---|---|---|---|
| 1 | s3vectors:sseType | Filtre l’accès en fonction du type de chiffrement côté serveur Valeurs valides : AES256 | aws:kms |
String |
| 2 | vecteurs S3 : kmsKeyArn | Filtre l'accès par l' AWS AWS KMS ARN de la clé utilisée pour chiffrer un bucket vectoriel | ARN |
