Usar tags com índices de vetores do S3
Uma tag da AWS é um par de chave-valor que contém metadados sobre recursos; neste caso, índices de vetores do Amazon S3. É possível marcar índices de vetores do S3 ao criá-los ou gerenciar tags em índices de vetores existentes. Para ter informações gerais sobre tags, consulte Atribuir tags para alocação de custos ou controle de acesso por atributo (ABAC).
nota
Não há cobrança adicional para usar tags em índices de vetores além das taxas de solicitação padrão da API do S3. Para obter mais informações, consulte Preço do Amazon S3
Maneiras comuns de usar tags com índices de vetores
Use tags em índices de vetores do S3 para:
-
Alocação de custos: acompanhe os custos de armazenamento por tag de índice de vetores no Gerenciamento de Faturamento e Custos da AWS. Para obter mais informações, consulte Usar tags para alocação de custos.
-
Controle de acesso por atributo (ABAC): amplie as permissões de acesso e conceda acesso aos índices de vetores do S3 com base nas respectivas tags. Para obter mais informações, consulte Usar tags para controle de acesso por atributo (ABAC).
nota
Você pode usar as mesmas tags para alocação de custos e controle de acesso.
ABAC para índices de vetores do S3
Os índices de vetores do Amazon S3 permitem utilizar o controle de acesso por atributo (ABAC) usando tags. Use chaves de condição baseadas em tags em políticas de índice de vetores do S3, de suas organizações na AWS e do IAM. Para empresas, o ABAC no Amazon S3 permite a autorização em várias contas da AWS.
Nas suas políticas do IAM, você pode controlar o acesso aos índices de vetores do S3 com base nas tags do índice de vetores usando as seguintes chaves de condição globais:
aws:ResourceTag/key-name-
Use essa chave para comparar o par chave-valor da etiqueta especificado na política com o par chave-valor anexado ao recurso. Por exemplo, é possível exigir que o acesso a um recurso seja permitido somente se o recurso tiver a chave de tag
Deptanexada com o valorMarketing. Para obter mais informações, consulte Controle de acesso aos recursos do AWS. aws:RequestTag/key-name-
Use essa chave para comparar o par de chave/valor da tag que foi passado na solicitação com o par de tags especificado na política. Por exemplo, é possível verificar se a solicitação inclui a chave de tag
Depte se ela tem o valorAccounting. Para ter mais informações, consulte Controlar o acesso durante solicitações da AWS. Você pode usar essa chave de condição para restringir quais pares de chave-valor de tag podem ser transmitidos durante as operações de APITagResourceeCreateIndex. aws:TagKeys-
Use essa chave para comparar as chaves de tag em uma solicitação com as chaves especificadas na política. Ao usar políticas para controlar o acesso usando etiquetas, recomendamos o uso da chave de condição
aws:TagKeyspara definir quais chaves de etiquetas serão permitidas. Para ver exemplos de política e ter mais informações, consulte Controlar o acesso com base em chaves de tag. É possível criar um índice de vetores do S3 com tags. Para permitir a marcação durante a operação de APICreateVectorBucket, você deve criar uma política que inclua as açõess3vectors:TagResourcees3vectors:CreateVectorBucket. Em seguida, você pode usar a chave de condiçãoaws:TagKeyspara impor o uso de tags específicas na solicitaçãoCreateVectorBucket.
Exemplos de política de ABAC para índices de vetores
Veja a seguir exemplos de política de ABAC para índices de vetores do Amazon S3.
1.1 Política do IAM para criar ou modificar índices de vetores com tags específicas
Nessa política do IAM, usuários ou perfis com essa política só podem criar índices de vetores do S3 se marcarem o índice de vetores com a chave de tag project e o valor de tag Trinity na solicitação de criação do índice de vetores. Eles também podem adicionar ou modificar tags em índices de vetores existentes do S3, desde que a solicitação TagResource inclua o par de chave-valor de tag project:Trinity. Essa política não concede permissões de leitura, gravação ou exclusão nos índices de vetores ou nos respectivos objetos.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateVectorIndexWithTags", "Effect": "Allow", "Action": [ "s3vectors:CreateIndex", "s3vectors:TagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/project": [ "Trinity" ] } } } ] }
1.2 Política do IAM para modificar tags em recursos existentes, mantendo a governança de marcação
Nessa política do IAM, as entidades principais do IAM (usuários e perfis) poderão modificar tags em um índice de vetores somente se o valor da tag project do índice de vetores corresponder ao valor da tag project da entidade principal. Somente as quatro tags (project, environment, owner e cost-center) especificadas nas chaves de condição aws:TagKeys são permitidas para esses índices de vetores. Isso ajuda a impor a governança de tags, evita modificações não autorizadas nas tags e mantém o esquema de marcação consistente em todos os índices de vetores.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnforceTaggingRulesOnModification", "Effect": "Allow", "Action": [ "s3vectors:TagResource" ], "Resource": "arn:aws::s3vectors:us-west-2:111122223333:bucket/*", "Condition": { "StringEquals": { "aws:ResourceTag/project": "${aws:PrincipalTag/project}" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "project", "environment", "owner", "cost-center" ] } } } ] }
Gerenciar tags para índices de vetores
É possível adicionar ou gerenciar tags para índices de vetores do S3 usando o console do Amazon S3, a AWS Command Line Interface (AWS CLI), os SDKs da AWS ou as APIs TagResource, UntagResource e ListTagsForResource do S3. Para obter mais informações, consulte:
Tópicos
