Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Identity and Access Management in S3 Vectors
La gestione degli accessi in S3 Vectors segue le migliori pratiche di AWS sicurezza, fornendo più livelli di controllo per garantire che solo gli utenti e le applicazioni autorizzati possano accedere ai dati vettoriali. Il servizio si integra con IAM e supporta le policy basate su identità e risorse, fornendo flessibilità nel modo in cui si strutturano e gestiscono le autorizzazioni all’interno dell’organizzazione.
Autenticazione e autorizzazione delle richieste
S3 Vectors utilizza meccanismi di autenticazione e autorizzazione AWS standard per proteggere l'accesso ai bucket vettoriali e ai relativi contenuti. Ogni richiesta a S3 Vectors deve essere autenticata utilizzando AWS credenziali valide e il servizio valuta le autorizzazioni in base alla combinazione di politiche basate sull'identità, politiche basate sulle risorse e qualsiasi politica di controllo del servizio applicabile.
Il processo di autenticazione inizia quando un client effettua una richiesta a S3 Vectors utilizzando AWS credenziali (chiavi di accesso, credenziali temporanee o ruoli IAM). AWS STS Il servizio convalida queste credenziali e quindi valuta le autorizzazioni associate all’identità autenticata in relazione all’azione richiesta e alla risorsa di destinazione. Questo processo di valutazione prende in considerazione diversi tipi di policy e applica il principio del privilegio minimo per determinare se consentire o rifiutare la richiesta.
L’autorizzazione in S3 Vectors funziona a più livelli di granularità. È possibile controllare l’accesso a livello di bucket vettoriale, a livello di indice vettoriale individuale o anche operazioni specifiche all’interno di un indice. Questo modello di autorizzazione gerarchico consente di implementare sofisticati schemi di controllo degli accessi in linea con la struttura organizzativa e i requisiti di governance dei dati.
Tipi di risorsa definiti per i bucket vettoriali
S3 Vectors definisce tipi di risorse specifici a cui è possibile fare riferimento nelle policy IAM e nelle policy basate su risorse. La comprensione di questi tipi di risorse è essenziale per creare policy di controllo degli accessi efficaci che forniscano il livello di accesso appropriato agli utenti e alle applicazioni corretti.
La tabella seguente descrive i tipi di risorsa disponibili in S3 Vectors.
| Tipo di risorsa | Formato ARN | Description |
|---|---|---|
| VectorBucket | region123456789012arn:aws:s3vectors: ::bucket/ bucket-name |
Rappresenta un bucket vettoriale e viene utilizzato per operazioni a livello di bucket come la creazione, l’eliminazione o la configurazione del bucket |
| Indice | arn:aws:s3vectors: ::bucket/ /index/ region 123456789012 bucket-name index-name |
Rappresenta un indice vettoriale all’interno di un bucket e viene utilizzato per operazioni specifiche dell’indice, come l’esecuzione di query sui vettori o la gestione del contenuto dell’indice |
Azioni di policy per bucket vettoriali
S3 Vectors fornisce un set completo di azioni di policy che corrispondono alle varie operazioni che è possibile eseguire su bucket vettoriali e indici vettoriali. Queste azioni sono progettate per fornire un controllo granulare su chi può eseguire operazioni specifiche, consentendo di implementare efficacemente il principio del privilegio minimo.
La tabella seguente elenca tutte le azioni di policy disponibili per le risorse S3 Vectors.
| Tipo di risorsa | operazioni API | Azioni di policy | Descrizione delle azioni delle policy | Livello di accesso | Chiavi di condizione |
|---|---|---|---|---|---|
| Account | ListVectorBuckets | vettori s3: ListVectorBuckets | Fornisce l’autorizzazione per elencare tutti i bucket vettoriali nell’account e nella Regione | List | |
| VectorBucket | CreateVectorBucket | vettori s3: CreateVectorBucket | Fornisce l’autorizzazione per creare un nuovo bucket vettoriale con la configurazione specificata | Scrittura | Vettori S3: tipo SSE, vettori s3: kmsKeyArn |
| VectorBucket | GetVectorBucket | vettori s3: GetVectorBucket | Fornisce l’autorizzazione per recuperare gli attributi e la configurazione del bucket vettoriale | Lettura | |
| VectorBucket | DeleteVectorBucket | vettori s3: DeleteVectorBucket | Fornisce l’autorizzazione per eliminare un bucket vettoriale vuoto | Scrittura | |
| VectorBucket | ListIndexes | vettori s3: ListIndexes | Fornisce l’autorizzazione per elencare tutti gli indici all’interno di un bucket vettoriale | List | |
| VectorBucket | PutVectorBucketPolicy | vettori s3: PutVectorBucketPolicy | Fornisce l’autorizzazione per applicare o aggiornare una policy basata su risorse di un bucket vettoriale | Gestione delle autorizzazioni | |
| VectorBucket | GetVectorBucketPolicy | vettori s3: GetVectorBucketPolicy | Fornisce l’autorizzazione per recuperare una policy basata su risorse collegata a un bucket vettoriale | Lettura | |
| VectorBucket | DeleteVectorBucketPolicy | vettori s3: DeleteVectorBucketPolicy | Fornisce l’autorizzazione per rimuovere la policy basata su risorse da un bucket vettoriale | Gestione delle autorizzazioni | |
| Indice | CreateIndex | vettori s3: CreateIndex | Fornisce l’autorizzazione per creare un nuovo indice vettoriale con dimensioni e configurazione dei metadati specificate | Scrittura | |
| Indice | GetIndex | vettori s3: GetIndex | Fornisce l’autorizzazione per recuperare gli attributi e la configurazione dell’indice vettoriale | Lettura | |
| Indice | DeleteIndex | vettori s3: DeleteIndex | Fornisce l’autorizzazione per eliminare un indice vettoriale e tutto il relativo contenuto | Scrittura | |
| Indice | QueryVectors | (Obbligatori) s3vectors: QueryVectors | Fornisce l’autorizzazione a eseguire query di somiglianza sui vettori di un indice. Solo con |
Lettura | |
| (Condizionalmente richiesto): s3vectors: GetVectors | Obbligatorio se si impostano i filtri per i metadati, si imposta Con |
Lettura | |||
| Indice | PutVectors | vettori s3: PutVectors | Fornisce l’autorizzazione per aggiungere o aggiornare vettori in un indice | Scrittura | |
| Indice | GetVectors | vettori s3: GetVectors | Fornisce l’autorizzazione per recuperare vettori specifici e i relativi metadati tramite la chiave di vettore | Lettura | |
| Indice | ListVectors | (Obbligatori) s3vectors: ListVectors | Fornisce l’autorizzazione a elencare le chiavi di vettore in un indice. Solo con |
Lettura | |
| (Condizionalmente richiesto): s3vectors: GetVectors | Obbligatorio se nella richiesta è impostato su true uno dei due parametri Con |
Lettura | |||
| Indice | DeleteVectors | vettori s3: DeleteVectors | Fornisce l’autorizzazione a eliminare vettori specifici da un indice | Scrittura |
Queste azioni possono essere combinate in vari modi per creare policy che soddisfino i requisiti di accesso specifici. Ad esempio, è possibile creare una policy di sola lettura che includa le azioni s3vectors:GetVectorBucket, s3vectors:ListIndexes, s3vectors:QueryVectors e s3vectors:GetVectors oppure una policy che includa le autorizzazioni di query e recupero di vettori ma escluda le azioni amministrative come la creazione o l’eliminazione di indici.
Chiavi di condizione per bucket vettoriali
| Chiavi di condizione | Descrizione | Tipo | |
|---|---|---|---|
| 1 | s3vectors:sseType | Filtra l’accesso tramite il tipo di crittografia lato server. Valori validi: AES256 | aws:kms |
Stringa |
| 2 | vettori s3: kmsKeyArn | Filtra l'accesso tramite la AWS AWS KMS chiave ARN per la chiave utilizzata per crittografare un bucket vettoriale | ARN |
