创建向量存储桶
注意
适用于 Amazon Simple Storage Service 的 Amazon S3 Vectors 为预览版,可能会发生变化。
可以使用 S3 控制台或 AWS CLI 创建向量存储桶。向量存储桶中存储的所有数据始终进行静态加密。默认情况下,向量存储桶使用 SSE-S3 来加密向量数据。可以选择将存储桶配置为改而使用具有 AWS Key Management Service(AWS KMS)密钥的服务器端加密(SSE-KMS)。创建向量存储桶后,无法更改存储桶加密设置,因此,根据安全要求和合规性需要选择适当的加密方法非常重要。有关向量存储桶中安全性的更多信息,请参阅 S3 Vectors 中的数据保护和加密。
登录到 AWS Management Console,然后通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/
。 在导航窗格中,选择向量存储桶。
选择创建向量存储桶。
-
对于向量存储桶名称,请输入存储桶的名称。
存储桶名称必须遵循命名规则:
存储桶名称长度必须介于 3 到 63 个字符之间。
存储桶名称只能包含小写字母、数字和连字符。
存储桶名称在您的 AWS 账户中对于 AWS 区域必须是唯一的。
有关向量存储桶命名规则的更多信息,请参阅向量存储桶命名规则。
重要
创建向量存储桶后,不能更改向量存储桶名称。
-
对于加密,选择下列选项之一:
-
不指定加密类型:Amazon S3 自动应用具有 Amazon S3 托管式密钥的服务器端加密(SSE-S3),作为新向量的基本加密级别。选择此选项可实现最简单的设置,而无需其它配置。
-
指定加密类型:选择特定的加密方法:
具有 Amazon S3 托管式密钥的服务器端加密(SSE-S3):显式选择使用 SSE-S3。Amazon S3 在将向量数据写入存储时会加密这些数据,并在您访问这些数据时进行解密。AWS 自动管理所有加密密钥。
-
具有 AWS Key Management Service 密钥的服务器端加密(SSE-KMS):使用 AWS KMS 中的客户自主管理型密钥(CMK),这使您能够更好地控制加密密钥、密钥轮换和访问策略。
如果选择 SSE-KMS,则有其它选项:
从您的 AWS KMS 密钥中进行选择:从您的账户中选择现有的客户自主管理型密钥。
输入 AWS KMS 密钥 ARN:指定 KMS 密钥的完整 ARN(必需的格式)。
创建 KMS 密钥:打开 AWS KMS 控制台,以创建新的客户自主管理型密钥。
KMS 密钥要求:
KMS 密钥必须与向量存储桶位于同一区域中。
必须指定完整的 KMS 密钥 ARN(不支持密钥 ID 和别名)。
必须向 S3 Vectors 服务主体 (
indexing.s3vectors.amazonaws.com) 授予使用密钥的kms:Decrypt权限。有关示例 AWS KMS 密钥策略的更多信息,请参阅 S3 Vectors 中的数据保护和加密。
有关加密选项和 KMS 密钥设置的详细信息,请参阅使用 SSE-KMS 加密。
重要
创建向量存储桶后,无法更改加密设置。请根据长期安全性和合规性要求谨慎选择。
-
选择创建向量存储桶。
创建后,您将看到一条确认消息。新的向量存储桶将出现在向量存储桶列表中,并已准备好在存储桶中创建向量索引。
可以使用以下命令创建使用 SSE-S3 加密的向量存储桶。要使用此示例,请将用户输入占位符 替换为您自己的信息。
aws s3vectors create-vector-bucket \ --vector-bucket-name "amzn-s3-demo-vector-bucket"
创建使用 SSE-KMS 加密(使用客户自主管理型 KMS 密钥)的向量存储桶:
aws s3vectors create-vector-bucket \ --vector-bucket-name "amzn-s3-demo-vector-bucket" \ --encryption-configuration '{"sseType": "aws:kms", "kmsKeyArn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"}'
