Utilisation de balises avec des index vectoriels S3 - Amazon Simple Storage Service
Méthodes courantes d'utilisation de balises avec des index vectoriels

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de balises avec des index vectoriels S3

Une AWS balise est une paire clé-valeur qui contient des métadonnées relatives aux ressources, en l'occurrence les index vectoriels Amazon S3. Vous pouvez baliser les index vectoriels S3 lorsque vous les créez ou gérer les balises sur les index vectoriels existants. Pour plus d’informations sur les balises, consultez Balisage pour la répartition des coûts ou le contrôle d’accès par attributs (ABAC).

Note

L'utilisation de balises sur des index vectoriels est gratuite, au-delà des taux de requêtes standard de l'API S3. Pour plus d’informations, consultez Tarification Amazon S3.

Méthodes courantes d'utilisation de balises avec des index vectoriels

Utilisez des balises sur vos index vectoriels S3 pour :

Note

Vous pouvez utiliser les mêmes balises pour la répartition des coûts et le contrôle d’accès.

ABAC pour les index vectoriels S3

Les index vectoriels Amazon S3 prennent en charge le contrôle d'accès basé sur les attributs (ABAC) à l'aide de balises. Utilisez des clés de condition basées sur des balises dans vos AWS organisations, IAM et les politiques d'index vectoriel S3. Pour les entreprises, ABAC dans Amazon S3 prend en charge l'autorisation sur plusieurs AWS comptes.

Dans vos politiques IAM, vous pouvez contrôler l'accès aux index vectoriels S3 en fonction des balises de l'index vectoriel à l'aide des clés de condition globales suivantes :

aws:ResourceTag/key-name

Utilisez cette clé pour comparer la paire valeur clé d'étiquette que vous spécifiez dans la politique avec la paire valeur clé attachée à la ressource. Par exemple, vous pouvez exiger que l'accès à une ressource soit autorisé uniquement si la clé de balise Dept est attachée à la ressource avec la valeur Marketing. Pour plus d'informations, consultez la section Contrôle de l'accès aux AWS ressources.

aws:RequestTag/key-name

Utilisez cette clé pour comparer la paire clé-valeur de balise qui a été transmise dans la demande avec la paire de balises spécifiée dans la politique. Par exemple, vous pouvez vérifier que la demande comprend la clé de balise Dept et qu'elle a la valeur Accounting. Pour plus d'informations, consultez la section Contrôle de l'accès lors AWS des demandes. Vous pouvez utiliser cette clé de condition pour restreindre les paires clé-valeur de balise pouvant être transmises pendant les opérations d’API TagResource et CreateIndex.

aws:TagKeys

Utilisez cette clé pour comparer les clés de balise d’une demande avec celles spécifiées dans la politique. Nous vous recommandons, lorsque vous utilisez des politiques pour contrôler l'accès à l'aide de balises, d'utiliser la clé de condition aws:TagKeys pour définir quelles clés de balises sont autorisées. Pour des exemples de stratégies et plus d’informations, consultez Contrôle de l’accès en fonction des clés de balise. Vous pouvez créer un index vectoriel S3 avec des balises. Pour autoriser le balisage pendant l’opération d’API CreateVectorBucket, vous devez créer une stratégie qui inclut les actions s3vectors:TagResource et s3vectors:CreateVectorBucket. Vous pouvez ensuite utiliser la clé de condition aws:TagKeys pour imposer l’utilisation de clés de balise spécifiques dans la demande CreateVectorBucket.

Exemples de politiques ABAC pour les index vectoriels

Consultez les exemples de politiques ABAC suivants pour les index vectoriels Amazon S3.

1.1 - Politique IAM pour créer ou modifier des index vectoriels avec des balises spécifiques

Dans cette politique IAM, les utilisateurs ou les rôles soumis à cette politique ne peuvent créer des index vectoriels S3 que s'ils balisent l'index vectoriel avec la clé de balise project et la valeur de balise Trinity dans la demande de création d'index vectoriel. Ils peuvent également ajouter ou modifier des balises sur les index vectoriels S3 existants tant que la TagResource demande inclut la paire clé-valeur de la balise. project:Trinity Cette politique n'accorde aucune autorisation de lecture, d'écriture ou de suppression sur les index vectoriels ou leurs objets.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "CreateVectorIndexWithTags",
      "Effect": "Allow",
      "Action": [
        "s3vectors:CreateIndex",
        "s3vectors:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/project": [
            "Trinity"
          ]
        }
      }
    }
  ]
}

1.2 - Politique IAM visant à modifier les balises sur les ressources existantes tout en maintenant la gouvernance du balisage

Dans cette politique IAM, les principaux IAM (utilisateurs ou rôles) peuvent modifier les balises d'un index vectoriel uniquement si la valeur de la balise de l'index vectoriel correspond à la valeur de la project balise du principal. project Seules les quatre balisesproject, environmentowner, et cost-center spécifiées dans les clés de aws:TagKeys condition sont autorisées pour ces index vectoriels. Cela permet de renforcer la gouvernance des balises, d'empêcher les modifications non autorisées des balises et de garantir la cohérence du schéma de balisage dans tous vos index vectoriels.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "EnforceTaggingRulesOnModification",
      "Effect": "Allow",
      "Action": [
        "s3vectors:TagResource"
      ],
      "Resource": "arn:aws::s3vectors:us-west-2:111122223333:bucket/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": [
            "project",
            "environment",
            "owner",
            "cost-center"
          ]
        }
      }
    }
  ]
}