Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Manajemen Identitas dan Akses di Vektor S3 Manajemen Identitas dan Akses di Vektor S3 Manajemen akses di Vektor S3 mengikuti praktik terbaik AWS keamanan, menyediakan beberapa lapisan kontrol untuk memastikan bahwa hanya pengguna dan aplikasi yang berwenang yang dapat mengakses data vektor Anda. Layanan ini terintegrasi dengan IAM dan mendukung kebijakan berbasis identitas dan sumber daya, memberi Anda fleksibilitas dalam cara Anda menyusun dan mengelola izin di seluruh organisasi Anda. ## Mengautentikasi dan mengotorisasi permintaan Vektor S3 menggunakan mekanisme otentikasi dan otorisasi AWS standar untuk mengamankan akses ke bucket vektor dan isinya. Setiap permintaan ke Vektor S3 harus diautentikasi menggunakan AWS kredensil yang valid, dan layanan mengevaluasi izin berdasarkan kombinasi kebijakan berbasis identitas, kebijakan berbasis sumber daya, dan kebijakan kontrol layanan apa pun yang berlaku. Proses otentikasi dimulai ketika klien membuat permintaan ke Vektor S3 menggunakan AWS kredensil (kunci akses, kredensil sementara dari, atau peran IAM). AWS STS Layanan memvalidasi kredensil ini dan kemudian mengevaluasi izin yang terkait dengan identitas yang diautentikasi terhadap tindakan yang diminta dan sumber daya target. Proses evaluasi ini mempertimbangkan beberapa jenis kebijakan dan menerapkan prinsip hak istimewa terkecil untuk menentukan apakah permintaan harus diizinkan atau ditolak. Otorisasi dalam Vektor S3 beroperasi pada berbagai tingkat granularitas. Anda dapat mengontrol akses pada tingkat bucket vektor, tingkat indeks vektor individual, atau bahkan operasi tertentu dalam indeks. Model izin hierarkis ini memungkinkan Anda menerapkan skema kontrol akses canggih yang selaras dengan struktur organisasi dan persyaratan tata kelola data Anda. ## Jenis sumber daya yang ditentukan untuk ember vektor Vektor S3 mendefinisikan jenis sumber daya tertentu yang dapat direferensikan dalam kebijakan IAM dan kebijakan berbasis sumber daya. Memahami jenis sumber daya ini sangat penting untuk menciptakan kebijakan kontrol akses yang efektif yang memberikan tingkat akses yang tepat ke pengguna dan aplikasi yang tepat. Tabel berikut menjelaskan jenis sumber daya yang tersedia di Vektor S3. **Jenis sumber daya tersedia di Vektor S3** | Tipe sumber daya | Format ARN | Deskripsi | | --- | --- | --- | | VectorBucket | arn:aws:s3vektor: ::ember/region123456789012bucket-name | Merupakan bucket vektor dan digunakan untuk operasi tingkat ember seperti membuat, menghapus, atau mengonfigurasi bucket | | Indeks | arn:aws:s3vektor: ::ember//index/ region 123456789012 bucket-name index-name | Merupakan indeks vektor dalam bucket dan digunakan untuk operasi khusus indeks seperti menanyakan vektor atau mengelola konten indeks | ## Tindakan kebijakan untuk bucket vektor Vektor S3 menyediakan serangkaian tindakan kebijakan komprehensif yang sesuai dengan berbagai operasi yang dapat Anda lakukan pada bucket dan indeks vektor. Tindakan ini dirancang untuk memberikan kontrol halus atas siapa yang dapat melakukan operasi tertentu, memungkinkan Anda untuk menerapkan prinsip hak istimewa paling sedikit secara efektif. Tabel berikut mencantumkan semua tindakan kebijakan yang tersedia untuk sumber daya Vektor S3. **Tindakan kebijakan untuk sumber daya Vektor S3** | Tipe sumber daya | Operasi API | Tindakan kebijakan | Deskripsi tindakan kebijakan | Tingkat akses | Kunci syarat | | --- | --- | --- | --- | --- | --- | | Akun | [ListVectorBuckets](https://docs.aws.amazon.com/AmazonS3/latest/API/API_S3VectorBuckets_ListVectorBuckets.html) | s3vektor: ListVectorBuckets | Memberikan izin untuk mencantumkan semua bucket vektor di akun dan wilayah | Daftar | | | VectorBucket | [CreateVectorBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_S3VectorBuckets_CreateVectorBucket.html) | s3vektor: CreateVectorBucket | Memberikan izin untuk membuat bucket vektor baru dengan konfigurasi tertentu | Tulis | S3vektor: SSEtype, s3vektor: kmsKeyArn | | VectorBucket | [GetVectorBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_S3VectorBuckets_GetVectorBucket.html) | s3vektor: GetVectorBucket | Memberikan izin untuk mengambil atribut dan konfigurasi bucket vektor | Baca | | | VectorBucket | [DeleteVectorBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_S3VectorBuckets_DeleteVectorBucket.html) | s3vektor: DeleteVectorBucket | Memberikan izin untuk menghapus bucket vektor kosong | Tulis | | | VectorBucket | [ListIndexes](https://docs.aws.amazon.com/AmazonS3/latest/API/API_S3VectorBuckets_ListIndexes.html) | s3vektor: ListIndexes | Memberikan izin untuk mencantumkan semua indeks dalam bucket vektor | Daftar | | | VectorBucket | [PutVectorBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_S3VectorBuckets_PutVectorBucketPolicy.html) | s3vektor: PutVectorBucketPolicy | Memberikan izin untuk menerapkan atau memperbarui kebijakan berbasis sumber daya pada bucket vektor | Manajemen izin | | | VectorBucket | [GetVectorBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_S3VectorBuckets_GetVectorBucketPolicy.html) | s3vektor: GetVectorBucketPolicy | Memberikan izin untuk mengambil kebijakan berbasis sumber daya yang dilampirkan ke bucket vektor | Baca | | | VectorBucket | [DeleteVectorBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_S3VectorBuckets_DeleteVectorBucketPolicy.html) | s3vektor: DeleteVectorBucketPolicy | Memberikan izin untuk menghapus kebijakan berbasis sumber daya dari bucket vektor | Manajemen izin | | | Indeks | [CreateIndex](https://docs.aws.amazon.com/AmazonS3/latest/API/API_S3VectorBuckets_CreateIndex.html) | s3vektor: CreateIndex | Memberikan izin untuk membuat indeks vektor baru dengan dimensi dan konfigurasi metadata yang ditentukan | Tulis | | | Indeks | [GetIndex](https://docs.aws.amazon.com/AmazonS3/latest/API/API_S3VectorBuckets_GetIndex.html) | s3vektor: GetIndex | Memberikan izin untuk mengambil atribut dan konfigurasi indeks vektor | Baca | | | Indeks | [DeleteIndex](https://docs.aws.amazon.com/AmazonS3/latest/API/API_S3VectorBuckets_DeleteIndex.html) | s3vektor: DeleteIndex | Memberikan izin untuk menghapus indeks vektor dan semua isinya | Tulis | | | Indeks | [QueryVectors](https://docs.aws.amazon.com/AmazonS3/latest/API/API_S3VectorBuckets_QueryVectors.html) | (Diperlukan) s3vektor: QueryVectors | Memberikan izin untuk melakukan kueri kesamaan terhadap vektor dalam indeks. **`s3vectors:QueryVectors`Hanya dengan**, Anda dapat mengambil kunci vektor dari perkiraan tetangga terdekat dan jarak yang dihitung dari vektor kueri. Izin ini cukup hanya jika Anda tidak menyetel filter metadata apa pun dan tidak meminta metadata (dengan menjaga `returnMetadata` parameter disetel ke false atau tidak ditentukan). | Baca | | | | | (Diperlukan secara kondisional): s3vektor: GetVectors | Diperlukan jika Anda menyetel filter metadata, setel `returnMetadata` ke true dalam permintaan Anda. **Dengan keduanya `s3vectors:QueryVectors` dan `s3vectors:GetVectors`**, Anda dapat memfilter hasil dengan menggunakan kriteria metadata dan mengambil kunci vektor bersama dengan data terkait, metadata, dan jarak yang dihitung dari vektor kueri. | Baca | | | Indeks | [PutVectors](https://docs.aws.amazon.com/AmazonS3/latest/API/API_S3VectorBuckets_PutVectors.html) | s3vektor: PutVectors | Memberikan izin untuk menambah atau memperbarui vektor dalam indeks | Tulis | | | Indeks | [GetVectors](https://docs.aws.amazon.com/AmazonS3/latest/API/API_S3VectorBuckets_GetVectors.html) | s3vektor: GetVectors | Memberikan izin untuk mengambil vektor tertentu dan metadatanya dengan kunci vektor | Baca | | | Indeks | [ListVectors](https://docs.aws.amazon.com/AmazonS3/latest/API/API_S3VectorBuckets_ListVectors.html) | (Diperlukan) s3vektor: ListVectors | Memberikan izin untuk mencantumkan kunci vektor dalam indeks. **Dengan `s3vectors:ListVectors` hanya**, Anda dapat membuat daftar kunci vektor ketika keduanya `returnData` dan `returnMetadata` parameter salah atau tidak ditentukan. | Baca | | | | | (Diperlukan secara kondisional): s3vektor: GetVectors | Diperlukan jika Anda menyetel salah satu `returnData` atau `returnMetadata` parameter ke true dalam permintaan Anda. **Dengan keduanya `s3vectors:ListVectors` dan `s3vectors:GetVectors`**, Anda dapat mengambil kunci vektor bersama dengan data dan metadata terkait dengan pengaturan `returnData` dan `returnMetadata` ke true. | Baca | | | Indeks | [DeleteVectors](https://docs.aws.amazon.com/AmazonS3/latest/API/API_S3VectorBuckets_DeleteVectors.html) | s3vektor: DeleteVectors | Memberikan izin untuk menghapus vektor tertentu dari indeks | Tulis | | Tindakan ini dapat digabungkan dengan berbagai cara untuk membuat kebijakan yang sesuai dengan persyaratan akses spesifik Anda. Misalnya, Anda dapat membuat kebijakan hanya-baca yang mencakup`s3vectors:GetVectorBucket`,, dan `s3vectors:GetVectors` tindakan `s3vectors:ListIndexes``s3vectors:QueryVectors`, atau kebijakan yang menyertakan izin kueri dan pengambilan vektor tetapi mengecualikan tindakan administratif seperti membuat atau menghapus indeks. ## Kunci kondisi untuk ember vektor **Kunci kondisi untuk ember vektor** | | Kunci syarat | Deskripsi | Jenis | | --- | --- | --- | --- | | 1 | S3vektor: SSETYPE | Memfilter akses berdasarkan jenis enkripsi sisi server Nilai yang valid: AES256 \$1 aws:kms | String | | 2 | s3vektor: kmsKeyArn | Memfilter akses dengan AWS AWS KMS kunci ARN untuk kunci yang digunakan untuk mengenkripsi bucket vektor | ARN | # Contoh kebijakan berbasis identitas Vektor S3 Contoh kebijakan berbasis identitas Vektor S3 Kebijakan berbasis identitas IAM adalah dokumen JSON yang Anda lampirkan ke pengguna, grup, atau peran IAM untuk menentukan tindakan apa yang dapat mereka lakukan pada sumber daya Vektor S3. Kebijakan ini dievaluasi dalam konteks identitas yang membuat permintaan dan menyediakan cara terpusat untuk mengelola izin di seluruh lingkungan Anda. AWS Kebijakan berbasis identitas memberikan jejak audit yang jelas tentang siapa yang memiliki izin apa dan dapat dengan mudah dimodifikasi saat persyaratan akses Anda berkembang. Saat merancang kebijakan berbasis identitas untuk Vektor S3, pertimbangkan berbagai jenis pengguna dan aplikasi yang akan berinteraksi dengan data vektor Anda. Pola umum termasuk ilmuwan data yang perlu menanyakan vektor, insinyur data yang perlu memuat dan mengelola data vektor, administrator yang membutuhkan kontrol penuh atas konfigurasi bucket, dan aplikasi yang membutuhkan akses baca atau tulis khusus ke indeks vektor tertentu. ## Contoh kebijakan ### Kebijakan akses administratif Kebijakan ini menyediakan akses administratif penuh ke sumber daya Vektor S3, cocok untuk administrator platform atau tim: DevOps ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAdministrativeAccess", "Effect": "Allow", "Action": [ "s3vectors:CreateVectorBucket", "s3vectors:PutVectorBucketPolicy", "s3vectors:DeleteVectorBucket", "s3vectors:DeleteVectorBucketPolicy", "s3vectors:GetVectorBucket", "s3vectors:GetVectorBucketPolicy", "s3vectors:ListVectorBuckets", "s3vectors:CreateIndex", "s3vectors:DeleteIndex", "s3vectors:GetIndex", "s3vectors:ListIndexes", "s3vectors:DeleteVectors", "s3vectors:GetVectors", "s3vectors:ListVectors", "s3vectors:PutVectors", "s3vectors:QueryVectors" ], "Resource": "*" } ] } ``` ### Kebijakan akses khusus aplikasi Kebijakan ini dirancang untuk aplikasi yang perlu melakukan operasi spesifik pada indeks vektor yang ditunjuk: ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowApplicationVectorAccess", "Effect": "Allow", "Action": [ "s3vectors:QueryVectors", "s3vectors:GetVectors", "s3vectors:PutVectors", "s3vectors:ListVectors" ], "Resource": [ "arn:aws:s3vectors:aws-region:123456789012:bucket/amzn-s3-demo-vector-bucket/index/product-recommendations", "arn:aws:s3vectors:aws-region:123456789012:bucket/amzn-s3-demo-vector-bucket/index/content-similarity" ] }, { "Sid": "AllowGetIndex", "Effect": "Allow", "Action": "s3vectors:GetIndex", "Resource": "arn:aws:s3vectors:aws-region:123456789012:bucket/amzn-s3-demo-vector-bucket/index/*" }, { "Sid": "AllowIndexInspection", "Effect": "Allow", "Action": "s3vectors:ListIndexes", "Resource": "arn:aws:s3vectors:aws-region:123456789012:bucket/amzn-s3-demo-vector-bucket" } ] } ``` # Contoh kebijakan berbasis sumber daya Vektor S3 Contoh kebijakan berbasis sumber daya Vektor S3 **Kebijakan berbasis sumber daya** dilampirkan pada sumber daya. Anda dapat membuat kebijakan berbasis sumber daya untuk bucket vektor. Kebijakan berbasis sumber daya untuk Vektor S3 menggunakan format AWS kebijakan standar di JSON yang Anda lampirkan langsung ke bucket vektor untuk mengontrol akses ke bucket dan isinya. Tidak seperti kebijakan berbasis identitas yang dilampirkan ke pengguna, grup, atau peran, kebijakan berbasis sumber daya dilampirkan ke sumber daya itu sendiri (bucket vektor) dan dapat memberikan izin kepada prinsipal dari akun lain. AWS Ini membuatnya ideal untuk skenario di mana Anda perlu berbagi data vektor melintasi batas-batas organisasi atau menerapkan kontrol akses berbutir halus berdasarkan sumber daya tertentu yang diakses. Kebijakan berbasis sumber daya dievaluasi dalam kombinasi dengan kebijakan berbasis identitas, dan izin efektif ditentukan oleh gabungan semua kebijakan yang berlaku. Ini berarti bahwa prinsipal memerlukan izin dari kebijakan berbasis identitas (dilampirkan pada pengguna/peran mereka) dan kebijakan berbasis sumber daya (terlampir pada bucket) untuk melakukan tindakan, kecuali kebijakan berbasis sumber daya secara eksplisit memberikan izin. ## Contoh 1: Kebijakan akses lintas akun Kebijakan ini menunjukkan cara memberikan izin khusus kepada pengguna dari akun yang berbeda AWS : ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountBucketAccess", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam:123456789012:role/Admin" }, "Action": [ "s3vectors:CreateIndex", "s3vectors:ListIndexes", "s3vectors:QueryVectors", "s3vectors:PutVectors", "s3vectors:DeleteIndex" ], "Resource": [ "arn:aws:s3vectors:aws-region:111122223333:bucket/amzn-s3-demo-vector-bucket/*", "arn:aws:s3vectors:aws-region:111122223333:bucket/amzn-s3-demo-vector-bucket" ] } ] } ``` ## Contoh 2: Tolak tindakan tingkat indeks vektor Kebijakan ini menunjukkan cara menolak tindakan tingkat indeks vektor tertentu ke peran IAM: ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "DenyIndexLevelActions", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam:123456789012:role/External-Role-Name" }, "Action": [ "s3vectors:QueryVectors", "s3vectors:PutVectors", "s3vectors:DeleteIndex", "s3vectors:GetVectors", "s3vectors:GetIndex", "s3vectors:DeleteVectors", "s3vectors:CreateIndex", "s3vectors:ListVectors" ], "Resource": "arn:aws:s3vectors:aws-region:111122223333:bucket/amzn-s3-demo-vector-bucket/*" } ] } ``` ## Contoh 3: Tolak operasi modifikasi pada indeks vektor dan tingkat bucket Kebijakan ini menunjukkan cara menolak permintaan modifikasi untuk indeks vektor dan tindakan tingkat ember dengan menentukan beberapa sumber daya: ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModificationActionsAtBucketandIndexLevels", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam:123456789012:role/External-Role-Name" }, "Action": [ "s3vectors:CreateVectorBucket", "s3vectors:DeleteVectorBucket", "s3vectors:PutVectorBucketPolicy", "s3vectors:DeleteVectorBucketPolicy", "s3vectors:CreateIndex", "s3vectors:DeleteIndex", "s3vectors:PutVectors", "s3vectors:DeleteVectors" ], "Resource": [ "arn:aws:s3vectors:aws-region:111122223333:bucket/amzn-s3-demo-vector-bucket/*", "arn:aws:s3vectors:aws-region:111122223333:bucket/amzn-s3-demo-vector-bucket" ] } ] } ```