本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 向量儲存貯體
向量儲存貯體

向量儲存貯體是一種 Amazon S3 儲存貯體類型，專為儲存和查詢向量資料而設計。向量儲存貯體使用專用 API 來有效管理向量資料，並降低上傳、儲存和查詢向量嵌入的成本。向量儲存貯體提供用於將向量資料組織到索引的基礎，讓您能夠跨大型資料集執行相似性搜尋，同時受益於 Amazon S3 的可用性、耐久性、可擴展性和成本效益。

向量儲存貯體已針對長期向量儲存與不到一秒鐘的搜尋時間來進行最佳化。您可以對向量資料執行相似度查詢，並選擇性地連接中繼資料，以根據日期、類別或使用者偏好設定等特定條件來篩選查詢。

每個向量儲存貯體皆具有唯一的 Amazon Resource Name (ARN)，並且和資源政策連接。向量儲存貯的 ARN 會遵循下列格式：

```
arn:aws:s3vectors:Region:OwnerAccountID:bucket/bucket-name
```

在向量儲存貯體中，您可以建立向量索引來儲存和查詢資料。每個向量儲存貯體都存在於特定 AWS 區域內，您可以在向量儲存貯體內建立多個向量索引。向量儲存貯體支援安全和存取控制機制，包括 IAM 身分型政策和儲存貯體政策。您可以使用儲存貯體政策，授與或限制向量儲存貯體內特定索引的存取權。

向量儲存貯體的關鍵特性：
+ 專用於向量儲存和相似性搜尋作業。
+ 高度一致的寫入，確保向量資料可立即存取。
+ 隨著資料集擴展，向量資料的自動最佳化可提供最佳性價比。

如需有關每個儲存貯體向量索引限制和其他限制的詳細資訊，請參閱 [限制](s3-vectors-limitations.md)。

**Topics**
+ [

# 向量儲存貯體命名規則
](s3-vectors-buckets-naming.md)
+ [

# 建立向量儲存貯體
](s3-vectors-buckets-create.md)
+ [

# 列出向量儲存貯體
](s3-vectors-buckets-list.md)
+ [

# 檢視向量儲存貯體屬性
](s3-vectors-buckets-details.md)
+ [

# 刪除空的向量儲存貯體
](s3-vectors-buckets-delete.md)
+ [

# 管理向量儲存貯體政策
](s3-vectors-bucket-policy.md)
+ [

# 搭配 S3 向量儲存貯體使用標籤
](s3-vectors-tags.md)

# 向量儲存貯體命名規則


向量儲存貯體名稱必須遵循特定的命名慣例，以確保 AWS 區域內的唯一性。Amazon S3 會強制執行下列儲存貯體命名要求，如果未遵循這些規則，您就無法建立向量儲存貯體。此外，有些最佳實務可在以程式設計方式或透過主控台使用向量儲存貯體時，協助防止衝突。

## 向量儲存貯體命名要求


建立向量儲存貯體時，必須遵循下列要求：
+ 每個 AWS 區域的向量儲存貯體名稱在相同 AWS 帳戶中必須是唯一的。
+ 向量儲存貯體名稱長度必須介於 3 到 63 個字元之間。
+ 向量儲存貯體名稱只能由小寫字母 (a-z)、數字 (0-9) 和連字號 (-) 組成。
+ 向量儲存貯體名稱的開頭和結尾必須為字母或數字。

## 命名的最佳實務


建議您在命名向量儲存貯體時，遵循以下最佳實務：
+ 使用描述性名稱來反映向量資料的目的 (例如，產品建議、文件嵌入)。
+ 避免在儲存貯體名稱中使用敏感資訊，因為該資訊可能會出現在日誌和 URL 中。
+ 保持名稱簡潔，但具有意義，以便於管理和識別。

這些命名慣例可確保您的向量儲存貯體可透過 AWS 管理主控台、Amazon S3 REST API、CLI 和 AWS SDKs AWS 可靠地存取。

# 建立向量儲存貯體
建立向量儲存貯體

您可以使用 S3 主控台或 CLI AWS 建立向量儲存貯體。儲存在向量儲存貯體中的所有資料，一律使用靜態加密。根據預設，向量儲存貯體會使用 SSE-S3 加密向量資料。您可以選擇將儲存貯體設定為使用伺服器端加密搭配 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS)。建立向量儲存貯體後，便無法變更儲存貯體加密設定，因此請務必根據您的安全要需求與合規需求來選擇適當的加密方法。如需向量儲存貯體安全性的詳細資訊，請參閱 [S3 Vectors 中的資料保護和加密](s3-vectors-data-encryption.md)。

## 使用 S3 主控台


1. 登入 AWS 管理主控台 ，並在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)：// 開啟 Amazon S3 主控台。

1. 在導覽窗格中，選擇**向量儲存貯體**。

1. 選擇**建立向量儲存貯體**。

1. 針對**向量儲存貯體名稱**，請輸入儲存貯體的名稱。

   儲存貯體名稱必須遵循命名規則。
   + 儲存貯體名稱長度必須介於 3 到 63 個字元之間。
   + 儲存貯體名稱只能包含小寫字母、數字和連字號。
   + 儲存貯體名稱在 AWS 區域的 AWS 帳戶中必須是唯一的。

   如需有關向量儲存貯體命名規則的詳細資訊，請參閱 [向量儲存貯體命名規則](s3-vectors-buckets-naming.md)。
**重要**  
建立儲存貯體後，您無法變更向量儲存貯體名稱。

1. 針對**加密**，選擇以下其中一項：
   + **不指定加密類型** – Amazon S3 會自動套用使用 Amazon S3 受管金鑰 (SSE-S3) 的伺服器端加密，做為新向量的基底加密層級。針對沒有其他組態的最簡單設定，選擇此選項。
   + **指定加密類型** – 選擇特定的加密方法：
     + **Server-side encryption 使用 Amazon S3 受管金鑰 (SSE-S3) 進行伺服器端加密** – 明確選擇 SSE-S3。Amazon S3 會在將向量資料寫入儲存體時加密向量資料，並在您存取它時將其解密。 會自動 AWS 管理所有加密金鑰。
     + **使用 AWS Key Management Service 金鑰 (SSE-KMS) 的伺服器端加密** – 在 中使用客戶受管金鑰 (CMKs) AWS KMS，可讓您進一步控制加密金鑰、金鑰輪換和存取政策。

       如果選取 SSE-KMS，您還有其他選項：
       + **從 AWS KMS 金鑰中選擇** – 從您的帳戶中選擇現有的客戶受管金鑰。
       + **輸入 AWS KMS 金鑰 ARN** – 指定 KMS 金鑰的完整 ARN （必要格式）。
       + **建立 KMS 金鑰** – 開啟 AWS KMS 主控台以建立新的客戶受管金鑰。

       KMS 金鑰要求：
       + KMS 金鑰必須位於與向量儲存貯體相同的區域。
       + 您必須指定完整的 KMS 金鑰 ARN (不支援金鑰 ID 和別名)。
       + 您必須授予 S3 Vectors 服務主體 (`indexing.s3vectors.amazonaws.com`) 的 `kms:Decrypt` 許可權，才能使用金鑰。如需範例 AWS KMS 金鑰政策的詳細資訊，請參閱 [S3 Vectors 中的資料保護和加密](s3-vectors-data-encryption.md)。

       如需有關加密選項和 KMS 金鑰設定的詳細資訊，請參閱 [使用 SSE-KMS 加密](s3-vectors-data-encryption.md#s3-vectors-sse-kms-encryption)。
**重要**  
加密設定無法在建立向量儲存貯體後進行變更。請根據您的長期安全與合規要求謹慎選擇。

1. 在**標籤 （選用）** 下，您可以將標籤新增為鍵值對，以協助使用 AWS Billing and Cost Management 追蹤和組織向量索引成本。輸入 **Key (索引鍵)** 和 **Value (數值)**。若要新增其他標籤，選擇 **Add Tag (新增標籤)**。您可以為向量索引輸入最多 50 個標籤。如需詳細資訊，請參閱[搭配 S3 向量儲存貯體使用標籤](s3-vectors-tags.md)。

1. 選擇**建立向量儲存貯體**。

建立後，您會看到確認訊息。新的向量儲存貯體會出現在向量儲存貯體清單中，並準備好在儲存貯體中建立向量索引。

## 使用 AWS CLI


您可以使用下列命令，建立具有 SSE-S3 加密的向量儲存貯體。若要使用此範例，請以您自己的資訊取代*使用者輸入預留位置*。

```
aws s3vectors create-vector-bucket \
   --vector-bucket-name "amzn-s3-demo-vector-bucket"
```

使用客戶自管 KMS 金鑰建立具有 SSE-KMS 加密的向量儲存貯體：

```
aws s3vectors create-vector-bucket \
   --vector-bucket-name "amzn-s3-demo-vector-bucket" \
   --encryption-configuration '{"sseType": "aws:kms", "kmsKeyArn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"}'
```

## 使用 AWS SDKs


------
#### [ SDK for Python ]

```
import boto3

# Create a S3 Vectors client in the AWS Region of your choice. 
s3vectors = boto3.client("s3vectors", region_name="us-west-2")

#Create a vector bucket
s3vectors.create_vector_bucket(vectorBucketName="media-embeddings")
```

------

# 列出向量儲存貯體
列出向量儲存貯體

您可以使用 Amazon S3 主控台 AWS CLI或 AWS SDKs。列表作業支援字首型篩選，可協助您在帳戶中存在許多向量儲存貯體時尋找特定儲存貯體。如需有關 `ListVectorBuckets`、字首限制和回應限制的詳細資訊，請參閱《Amazon S3 API 參考》**中的 [ListVectorBuckets](https://docs.aws.amazon.com/AmazonS3/latest/API/API_S3VectorBuckets_ListVectorBuckets.html)。

## 字首搜尋功能


字首搜尋可讓您列出開頭為特定字首的儲存貯體，以更簡易的方式組織和尋找相關的向量儲存貯體。當您使用將相關儲存貯體分在同一組的命名慣例時，這特別有用：
+ **環境型**：`production-vectors-`、`staging-vectors-`、`dev-vectors-`
+ **使用案例型**：`ml-model-vectors-`、`document-search-`、`image-similarity-`
+ **團隊型**：`data-science-vectors-`、`ml-platform-vectors-`

## 使用 S3 主控台


列出向量儲存貯體

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 開啟 Amazon S3 主控台。

1. 在導覽窗格中，選擇**向量儲存貯體**。

   主控台會顯示所有向量儲存貯體的清單，其中包含下列資訊：
   + **名稱** – 向量儲存貯體的唯一名稱
   + **建立日期** – 建立儲存貯體的時間
   + **Amazon Resource Name (ARN)** – 程式設計存取的完整 ARN

篩選清單：
+ 若要根據儲存貯體名稱的開頭尋找儲存貯體，請在儲存貯體清單上方的搜尋方塊中，輸入向量儲存貯體名稱或字首。
+ 使用字首來尋找相關儲存貯體的群組 (例如，輸入 "prod-" 尋找所有生產儲存貯體)

  清單會在您輸入時即時更新

## 使用 AWS CLI


```
aws s3vectors list-vector-buckets
```

## 使用 AWS SDKs


------
#### [ SDK for Python ]

```
import boto3

# Create a S3 Vectors client in the AWS Region of your choice. 
s3vectors = boto3.client("s3vectors", region_name="us-west-2")

#List vector buckets
response = s3vectors.list_vector_buckets()
buckets = response["vectorBuckets"]
print(buckets)
```

------

# 檢視向量儲存貯體屬性
檢視向量儲存貯體屬性

您可以使用 Amazon S3 REST API、 AWS SDKs、S3 主控台或 AWS 命令列界面 (AWS CLI) 來檢視向量儲存貯體的詳細資訊，包括其屬性、加密設定和建立詳細資訊。如需 的詳細資訊`GetVectorBucket`，請參閱《*Amazon S3 API 參考*》中的 [GetVectorBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_S3VectorBuckets_GetVectorBucket.html)。

## 使用 S3 主控台


1. 登入 主控台，並在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)：// 開啟 Amazon S3 主控台。

1. 在導覽窗格中，選擇**向量儲存貯體**。

1. 主控台會顯示所有向量儲存貯體的清單。根據儲存貯體名稱的開頭尋找儲存貯體，在儲存貯體清單上方的搜尋方塊中輸入向量儲存貯體名稱或字首。找到向量儲存貯體後，您可以在**屬性**索引標籤中檢視其詳細資訊，包括其加密設定、標籤和建立詳細資訊。

## 使用 AWS CLI


```
aws s3vectors get-vector-bucket --vector-bucket-name "amzn-s3-demo-vector-bucket"
```

# 刪除空的向量儲存貯體
刪除向量儲存貯體

當不再需要向量儲存貯體時，您可以將其刪除。若要刪除向量儲存貯體，您必須先刪除儲存貯體中的所有向量索引。當您刪除向量索引時，其中的所有向量資料會一併刪除。使用 Amazon S3 REST API、 AWS SDKs、S3 主控台或 AWS 命令列界面 (AWS CLI) 來刪除向量儲存貯體。

您必須先執行下列動作，才能刪除向量儲存貯體：
+ 刪除儲存貯體中的所有向量索引。
+ 確保儲存貯體或其索引上沒有進行任何操作。

**重要**  
刪除儲存貯體便永久刪除，無法復原。
與儲存貯體相關聯的所有資料和組態，會永久遺失。
刪除後，該儲存貯體名稱就可以重複使用。
任何參考儲存貯體的應用程式或指令碼，都會在刪除後收到錯誤訊息。

## 使用 S3 主控台


1. 登入 主控台，並在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)：// 開啟 Amazon S3 主控台。

1. 在導覽窗格中，選擇**向量儲存貯體**。

1. 主控台會顯示所有向量儲存貯體的清單。根據儲存貯體名稱的開頭尋找儲存貯體，在儲存貯體清單上方的搜尋方塊中輸入向量儲存貯體名稱或字首。找到並選擇向量儲存貯體後，請選取**刪除**選項。

1. 若要確認此刪除，請輸入 **delete**，然後選取**刪除向量儲存貯**體。

## 使用 AWS CLI


首先，檢查儲存貯體中是否存在向量索引。如需有關如何確認儲存貯體是否空白的詳細資訊，請參閱 [列出向量索引](s3-vectors-index-list.md)。

如果有索引，您必須從每個索引刪除所有向量，然後再刪除索引。如需有關如何確認儲存貯體是否空白的詳細資訊，請參閱 [列示向量](s3-vectors-list.md)、[從向量索引刪除向量](s3-vectors-delete.md) 和 [刪除向量索引](s3-vectors-index-delete.md)。

若要刪除空的向量儲存貯體，請使用以下範例命令，並以您自己的資訊取代*使用者輸入預留位置*。

```
aws s3vectors delete-vector-bucket \
  --vector-bucket-name "amzn-s3-demo-vector-bucket"
```

## 使用 AWS SDKs


------
#### [ SDK for Python ]

```
import boto3

# Create a S3 Vectors client in the AWS Region of your choice. 
s3vectors = boto3.client("s3vectors", region_name="us-west-2")

#Delete a vector bucket
response = s3vectors.delete_vector_bucket(vectorBucketName="media-embeddings")
```

------

# 管理向量儲存貯體政策
管理向量儲存貯體政策

向量儲存貯體政策是資源型政策，您可以直接連接到向量儲存貯體，以控制對儲存貯體及其內容的存取。您可以使用 Amazon S3 REST API、 AWS SDKs、S3 主控台或 AWS 命令列界面 (AWS CLI) 來新增、檢視、編輯、刪除向量儲存貯體政策。向量儲存貯體的儲存貯體政策可以將許可授予其他 AWS 帳戶的主體，使其適用於跨帳戶存取案例。

## 政策管理操作

+ [PutVectorBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_S3VectorBuckets_PutVectorBucketPolicy.html) – 新增或更新儲存貯體政策。
+ [GetVectorBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_S3VectorBuckets_GetVectorBucketPolicy.html) – 擷取目前的儲存貯體政策。
+ [DeleteVectorBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_S3VectorBuckets_DeleteVectorBucketPolicy.html) – 移除儲存貯體政策。

## 新增向量儲存貯體政策


### 使用 S3 主控台


1. 開啟位於 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 的 Amazon S3 主控台。

1. 在左側導覽窗格中，選擇 **Amazon S3**。

1. 選擇**向量儲存貯**體，然後選取您要新增政策的向量儲存貯體名稱。

1. 選擇**許可**索引標籤。

1. 在**向量儲存貯體政策**下，選擇**編輯**。

1. 在政策編輯器中，輸入您的政策 JSON。

1. (選用) 選擇**政策範例**，查看您可以根據需求調整的範例政策。

1. 輸入您的政策後，選擇**儲存變更**。

### 使用 AWS CLI


若要新增或更新儲存貯體政策，請使用下列範例命令，以您自己的資訊取代*使用者輸入預留位置*。

```
aws s3vectors put-vector-bucket-policy \
  --vector-bucket-name "amzn-s3-demo-vector-bucket" \
  --policy '{"Version": "2012-10-17",		 	 	 "Statement":[{"Effect":"Allow","Principal":{"AWS":"arn:aws:iam::111122223333:root"},"Action":"s3vectors:*","Resource":"arn:aws:s3vectors:aws-region:111122223333:bucket/amzn-s3-demo-vector-bucket"}]}'
```

## 檢視向量儲存貯體政策


### 使用 S3 主控台


1. 開啟位於 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 的 Amazon S3 主控台。

1. 在左側導覽窗格中，選擇 **Amazon S3**。

1. 選擇**向量儲存貯**體，然後選取您要檢視政策的向量儲存貯體名稱。

1. 選擇**許可**索引標籤。

### 使用 AWS CLI


若要擷取儲存貯體政策，請以您自己的資訊取代*使用者輸入預留位置*。

```
aws s3vectors get-vector-bucket-policy \
  --vector-bucket-name "amzn-s3-demo-vector-bucket"
```

## 刪除向量儲存貯體政策


### 使用 S3 主控台


1. 開啟位於 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 的 Amazon S3 主控台。

1. 在左側導覽窗格中，選擇 **Amazon S3**。

1. 選擇**向量儲存貯**體，然後選取您要刪除政策的向量儲存貯體名稱。

1. 選擇**許可**索引標籤。

1. 在**向量儲存貯體政策**下，選擇**刪除**。

### 使用 AWS CLI


若要刪除儲存貯體政策，請以您自己的資訊取代*使用者輸入預留位置*。

```
aws s3vectors delete-vector-bucket-policy \
  --vector-bucket-name "amzn-s3-demo-vector-bucket"
```

如需有關建立和管理儲存貯體政策，包括政策範例和最佳實務的詳細資訊，請參閱 [S3 Vectors 資源型政策範例](s3-vectors-resource-based-policies.md)。

# 搭配 S3 向量儲存貯體使用標籤
標記向量儲存貯體

 AWS 標籤是金鑰值對，可保留 資源的中繼資料，在此情況下為 Amazon S3 向量儲存貯體。您可以在建立 S3 向量儲存貯體或管理現有向量儲存貯體上的標籤時標記 S3 向量儲存貯體。如需有關標籤的一般資訊，請參閱 [成本分配或屬性型存取控制 (ABAC) 的標記](tagging.md)。

**注意**  
在超過標準 S3 API 請求率的向量儲存貯體上使用標籤不會產生額外費用。如需詳細資訊，請參閱 [Simple Storage Service (Amazon S3) 定價](https://aws.amazon.com/s3/pricing/)。

## 搭配向量儲存貯體使用標籤的常見方式


在 S3 向量儲存貯體上使用標籤，用於：
+ **屬性型存取控制 (ABAC)** – 擴展存取許可，並根據 S3 向量儲存貯體的標籤授予存取權。如需詳細資訊，請參閱[使用屬性型存取控制 (ABAC) 的標籤](tagging.md#using-tags-for-abac)。

### S3 向量儲存貯體的 ABAC


Amazon S3 向量儲存貯體支援使用標籤的屬性型存取控制 (ABAC)。在您的 AWS 組織、IAM 和 S3 向量儲存貯體政策中使用標籤型條件金鑰。對於企業，ABAC inAmazon S3 支援跨多個 AWS 帳戶進行授權。

在您的 IAM 政策中，您可以使用下列全域條件金鑰，根據向量儲存貯體的標籤來控制對 S3 向量儲存貯體的存取：

`aws:ResourceTag/key-name`  
使用此鍵來將您在政策中所指定的標籤鍵值對與連接到資源的鍵值對進行比較。例如，您可以要求只在資源擁有連接標籤鍵 `Dept` 和值 `Marketing` 時才允許資源的存取。如需詳細資訊，請參閱[控制對 AWS 資源的存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources)。

`aws:RequestTag/key-name`  
使用此鍵來將請求中傳遞的標籤鍵/值對與您在政策中所指定的標籤對進行比較。例如，您可以檢查請求是否包含標籤鍵 `Dept` 並且其具有值 `Accounting`。如需詳細資訊，請參閱在[AWS 請求期間控制存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-requests)。您可以使用此條件索引鍵，限制在 `TagResource` 和 `CreateVectorBucket` API 操作期間可以傳遞哪些標籤鍵值對。

`aws:TagKeys`  
使用此鍵來將請求中的標籤鍵與您在政策中所指定的鍵進行比較。當使用政策來控制使用標籤的存取時，建議您使用 `aws:TagKeys` 條件鍵來定義允許的標籤鍵。如需範例政策和詳細資訊，請參閱[根據標籤金鑰控制存取權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys)。您可以使用標籤建立 S3 向量儲存貯體。若要在 `CreateVectorBucket` API 操作期間允許標記，您必須建立同時包含 `s3vectors:TagResource` 和 `s3vectors:CreateVectorBucket` 動作的政策。然後，您可以使用 `aws:TagKeys` 條件索引鍵，以強制在 `CreateVectorBucket` 請求中使用特定的標籤。

`s3vectors:VectorBucketTag/tag-key`  
使用此條件索引鍵，使用標籤將許可授予向量儲存貯體中的特定資料。此條件索引鍵會針對所有 S3 Vectors 動作，作用於指派給向量儲存貯體的標籤。即使您使用標籤建立索引，此條件索引鍵仍會作用於套用至包含該索引之向量儲存貯體的標籤。例如，您可以要求只有在儲存貯體具有附加標籤索引鍵`Dept`且值為 時，才允許存取儲存貯體`Marketing`。存取索引時，此條件會參考與包含該索引的向量儲存貯體相關聯的標籤，而 `aws:ResourceTag/tag-key`則會參考索引本身的標籤。

### 向量儲存貯體的範例 ABAC 政策


請參閱下列適用於 Amazon S3 向量儲存貯體的範例 ABAC 政策。

#### 1.1 - 建立或修改具有特定標籤之向量儲存貯體的 IAM 政策


在此 IAM 政策中，具有此政策的使用者或角色只能在向量儲存貯體建立請求`Trinity`中使用標籤索引鍵`project`和標籤值標記向量儲存貯體時，才能建立 S3 向量儲存貯體。只要`TagResource`請求包含標籤鍵/值對 ，他們也可以在現有的 S3 向量儲存貯體上新增或修改標籤`project:Trinity`。此政策不會授予向量儲存貯體或其物件的讀取、寫入或刪除許可。

```
{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Sid": "CreateVectorBucketWithTags",
      "Effect": "Allow",
      "Action": [
        "s3vectors:CreateVectorBucket",
        "s3vectors:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/project": [
            "Trinity"
          ]
        }
      }
    }
  ]
}
```

#### 1.2 - 使用標籤限制向量儲存貯體操作的向量儲存貯體政策


在此向量儲存貯體政策中，只有在向量儲存貯體標籤的值`project`符合主體`project`標籤的值時，IAM 主體 （使用者和角色） 才能在向量儲存貯體上使用 `PutVectorBucketPolicy`動作來執行操作。

```
{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Sid": "AllowObjectOperations",
      "Effect": "Allow",
      "Principal": {
        "AWS": "111122223333"
      },
      "Action": "s3vectors:PutVectorBucketPolicy",
      "Resource": "arn:aws::s3vectors:us-west-2:111122223333:bucket/amzn-s3-demo-vector-bucket",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        }
      }
    }
  ]
}
```

#### 1.3 - 修改現有資源上的標籤以維護標記控管的 IAM 政策


在此 IAM 政策中，只有在向量儲存貯體標籤的值符合主體`project`標籤的值時，IAM 主體 （使用者或角色） 才能修改向量儲存貯體上的`project`標籤。這些向量儲存貯體僅允許`aws:TagKeys`條件索引鍵中`cost-center`指定的四個標籤 `project` `environment``owner`、、 和 。這有助於強制執行標籤控管、防止未經授權的標籤修改，並使標記結構描述在向量儲存貯體之間保持一致。

```
{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Sid": "EnforceTaggingRulesOnModification",
      "Effect": "Allow",
      "Action": [
        "s3vectors:TagResource"
      ],
      "Resource": "arn:aws::s3vectors:us-west-2:111122223333:bucket/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": [
            "project",
            "environment",
            "owner",
            "cost-center"
          ]
        }
      }
    }
  ]
}
```

#### 1.4 - 使用 `s3vectors:VectorBucketTag` 條件金鑰


在此 IAM 政策中，只有在向量儲存貯體具有標籤索引鍵和標籤值 時，條件陳述式才允許存取向量儲存貯體`Environment`和向量索引的操作`Production`。

```
{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccessToTaggedBucket",
      "Effect": "Allow",
      "Action": "*",
      "Resource": "arn:aws::s3vectors:us-west-2:111122223333:bucket/*",
      "Condition": {
        "StringEquals": {
          "s3vectors:VectorBucketTag/Environment": "Production"
        }
      }
    }
  ]
}
```

# 管理向量儲存貯體的標籤


您可以使用 Amazon S3 主控台、 AWS Command Line Interface (AWS CLI)、 AWS SDKs 或使用 S3 APIs：[TagResource](https://docs.aws.amazon.com/)、[UntagResource](https://docs.aws.amazon.com/) 和 [ListTagsForResource](https://docs.aws.amazon.com/) 來新增或管理 S3 向量儲存貯體的標籤。如需詳細資訊，請參閱：

**Topics**

# 使用標籤建立向量儲存貯體


您可以在建立 Amazon S3 向量儲存貯體時為其加上標籤。在超過標準 S3 API 請求率的向量儲存貯體上使用標籤不會產生額外費用。如需詳細資訊，請參閱 [Simple Storage Service (Amazon S3) 定價](https://docs.aws.amazon.com/s3/pricing/)。如需標記向量儲存貯體的詳細資訊，請參閱 [搭配 S3 向量儲存貯體使用標籤](s3-vectors-tags.md)。

## 許可


若要建立具有標籤的向量儲存貯體，您必須具有下列許可：
+ `s3vectors:CreateVectorBucket`
+ `s3vectors:TagResource`

## 故障診斷錯誤


如果您在嘗試建立具有標籤的向量儲存貯體時遇到錯誤，您可以執行下列動作：
+ 確認您具有建立向量儲存貯體並為其新增標籤所需的[許可](#bucket-tags-permissions)。
+ 檢查您的 IAM 使用者政策是否具備任何屬性型存取控制 (ABAC) 條件。您可能需要使用特定的標籤索引鍵和值來標記向量儲存貯體。如需詳細資訊，請參閱[使用屬性型存取控制 (ABAC) 的標籤](tagging.md#using-tags-for-abac)。

## 步驟


您可以使用 Amazon S3 主控台、 AWS Command Line Interface (AWS CLI)、Amazon S3 REST API 和 AWS SDKs。

### 使用 S3 主控台


**使用 Amazon S3 主控台建立具有標籤的向量儲存貯體**

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 開啟 Amazon S3 主控台。

1. 在左側導覽窗格中，選擇**向量儲存貯**體。

1. 選擇**建立向量儲存貯**體以建立新的向量儲存貯體。

1. 像平常一樣建立向量儲存貯體；請參閱[建立向量儲存貯體](s3-vectors-buckets-create.md)。

1. 在**建立向量儲存貯**體頁面上，**標籤**是建立新向量儲存貯體時的選項。

1. 輸入向量儲存貯體的名稱。

1. 選擇**新增標籤**以開啟標籤編輯器，然後輸入標籤鍵值對。標籤鍵為必要項，但標籤是選用的。

1. 若要新增另一個標籤，請再次選擇**新增標籤**。您最多能輸入 50 個鍵值對。

1. 完成指定新向量儲存貯體的選項後，請選擇**建立向量儲存貯**體。

### 使用 REST API


如需使用標籤建立向量儲存貯體的 Amazon S3 REST API 支援相關資訊，請參閱 *Amazon S3 Vectors API 參考*中的下列章節：

[CreateVectorBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_S3VectorBuckets_CreateVectorBucket.html)

### 使用 AWS CLI


若要安裝 AWS CLI，請參閱*AWS Command Line Interface 《 使用者指南*[》中的安裝 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) 。

下列 CLI 範例說明如何使用 建立具有標籤的向量儲存貯體 AWS CLI。若要使用此命令，請以您自己的資訊取代*使用者輸入預留位置*。

建立向量儲存貯體時，您必須提供組態詳細資訊，並使用下列命名慣例： `example-vector-bucket`

```
aws s3vector create-vector-bucket --vector-bucket-name acc-bucket \
  --tags Department=Accounting,Stage=Prod
```

# 將標籤新增至向量儲存貯體


您可以將標籤新增至 Amazon S3 向量儲存貯體，並修改這些標籤。在超過標準 S3 API 請求率的向量儲存貯體上使用標籤不會產生額外費用。如需詳細資訊，請參閱 [Simple Storage Service (Amazon S3) 定價](https://docs.aws.amazon.com/s3/pricing/)。如需標記向量儲存貯體的詳細資訊，請參閱 [搭配 S3 向量儲存貯體使用標籤](s3-vectors-tags.md)。

## 許可


若要將標籤新增至向量儲存貯體，您必須具有下列許可：
+ `s3vectors:TagResource`

## 故障診斷錯誤


如果您在嘗試將標籤新增至向量儲存貯體時發生錯誤，您可以執行下列動作：
+ 確認您擁有將標籤新增至向量儲存貯體所需的[許可](#add-bucket-tag-permissions)。
+ 如果您嘗試新增以 AWS 預留字首 開頭的標籤金鑰`aws:`，請變更標籤金鑰，然後再試一次。

## 步驟


您可以使用 Amazon S3 主控台、 AWS Command Line Interface (AWS CLI)、Amazon S3 REST API 和 AWS SDKs。

### 使用 S3 主控台


**使用 Amazon S3 主控台將標籤新增至向量儲存貯體**

1. 登入 AWS 管理主控台 ，並在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)：// 開啟 Amazon S3 主控台。

1. 在左側導覽窗格中，選擇**向量儲存貯**體。

1. 選擇向量儲存貯體名稱。

1. 選擇**屬性**索引標籤。

1. 捲動至**標籤**區段，選擇**新增標籤**。

1. **新增標籤**頁面隨即開啟。您最多可以輸入 50 個鍵值對。

1. 若您使用與現有標籤相同的標籤鍵名稱來新增標籤，新標籤值會覆寫現有標籤值。

1. 在此頁面上，您也可以編輯現有標籤的值。

1. 新增標籤後，選擇**儲存變更**。

### 使用 REST API


如需將標籤新增至向量儲存貯體的 Amazon S3 REST API 支援相關資訊，請參閱《*Amazon S3 向量 API 參考*》中的下列章節：

[TagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_S3VectorBuckets_TagResource.html)

### 使用 AWS CLI


若要安裝 AWS CLI，請參閱*AWS Command Line Interface 《 使用者指南*[》中的安裝 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) 。

下列 CLI 範例說明如何使用 將標籤新增至向量儲存貯體 AWS CLI。若要使用此命令，請以您自己的資訊取代*使用者輸入預留位置*。

```
aws s3vectors tag-resource \
--resource-arn arn:aws:s3vectors:us-east-1:012345678900:bucket/acc-bucket \
--tags Stage=Prod,CostCenter=Marketing
```

# 檢視向量儲存貯體標籤


您可以檢視或列出套用至 Amazon S3 向量儲存貯體的標籤。如需標記向量儲存貯體的詳細資訊，請參閱 [搭配 S3 向量儲存貯體使用標籤](s3-vectors-tags.md)。

## 許可


若要檢視套用至向量儲存貯體的標籤，您必須具有下列許可：
+ `s3vectors:ListTagsForResource`

## 故障診斷錯誤


如果您在嘗試列出或檢視向量儲存貯體的標籤時遇到錯誤，您可以執行下列動作：
+ 確認您具有檢視或列出向量儲存貯體標籤所需的[許可](#view-bucket-tag-permissions)。

## 步驟


您可以使用 Amazon S3 主控台、 AWS Command Line Interface (AWS CLI)、Amazon S3 REST API 和 AWS SDKs標籤。

### 使用 S3 主控台


**使用 Amazon S3 主控台檢視套用至向量儲存貯體的標籤**

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 開啟 Amazon S3 主控台。

1. 在左側導覽窗格中，選擇**向量儲存貯**體。

1. 選擇向量儲存貯體名稱。

1. 選擇**屬性**索引標籤。

1. 捲動至**標籤**區段，以檢視套用至向量儲存貯體的所有標籤。

1. **標籤**區段預設會顯示使用者定義的標籤。您可以選取 AWS產生的標籤標籤，以檢視服務套用至向量儲存貯體的標籤 AWS 。

### 使用 REST API


如需檢視套用至向量儲存貯體之標籤的 Amazon S3 REST API 支援相關資訊，請參閱 Amazon Simple Vectors API 參考中的下列章節：

[ListTagsForResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_S3VectorBuckets_ListTagsForResource.html)

### 使用 AWS CLI


若要安裝 AWS CLI，請參閱*AWS Command Line Interface 《 使用者指南*[》中的安裝 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) 。

下列 CLI 範例說明如何檢視套用至向量儲存貯體的標籤。若要使用此命令，請以您自己的資訊取代*使用者輸入預留位置*。

```
aws s3vectors list-tags-for-resource \ 
--resource-arn arn:aws:s3vectors:us-east-1:012345678900:bucket/acc-bucket
```

# 從向量儲存貯體刪除標籤


您可以從 S3 向量儲存貯體移除標籤。 AWS 標籤是金鑰值對，可保留 資源的中繼資料，在此情況下為 Amazon S3 向量儲存貯體。如需標記向量儲存貯體的詳細資訊，請參閱 [搭配 S3 向量儲存貯體使用標籤](s3-vectors-tags.md)。

**注意**  
如果您刪除標籤，但稍後發現標籤用於追蹤成本或存取控制，您可以將該標籤新增回向量儲存貯體。

## 許可


若要從向量儲存貯體刪除標籤，您必須具有下列許可：
+ `s3vectors:UntagResource`

## 故障診斷錯誤


如果您在嘗試從向量儲存貯體刪除標籤時遇到錯誤，您可以執行下列動作：
+ 確認您具有從向量儲存貯體刪除標籤所需的[許可](#delete-bucket-tag-permissions)。

## 步驟


您可以使用 Amazon S3 主控台、 AWS Command Line Interface (AWS CLI)、Amazon S3 REST API 和 AWS SDKs，從向量儲存貯體刪除標籤。

### 使用 S3 主控台


**使用 Amazon S3 主控台從向量儲存貯體刪除標籤**

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 的 Amazon S3 主控台。

1. 在左側導覽窗格中，選擇**向量儲存貯**體。

1. 選擇向量儲存貯體名稱。

1. 選擇**屬性**索引標籤。

1. 捲動至**標籤**區段，然後選取您要刪除的標籤旁的核取方塊。

1. 選擇 **刪除**。

1. **刪除使用者定義的標籤**快顯視窗隨即出現，並且要求您確認是否刪除您選取的標籤。

1. 選擇**刪除**以確認刪除。

### 使用 REST API


如需從向量儲存貯體刪除標籤的 Amazon S3 REST API 支援相關資訊，請參閱 *Amazon S3 Vectors API 參考*中的下列章節：

[UntagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_S3VectorBuckets_UntagResource.html)

### 使用 AWS CLI


若要安裝 AWS CLI，請參閱*AWS Command Line Interface 《 使用者指南*[》中的安裝 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) 。

下列 CLI 範例說明如何使用 從向量儲存貯體刪除標籤 AWS CLI。若要使用此命令，請以您自己的資訊取代 *使用者輸入預留位置*。

```
aws s3vectors untag-resource \
--resource-arn arn:aws:s3vectors:us-east-1:012345678900:bucket/acc-bucket \
--tag-keys CostCenter Department
```