本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 搭配 S3 向量索引使用標籤
AWS 標籤是金鑰值對,可保留資源的中繼資料,在此情況下為 Amazon S3 向量索引。您可以在建立 S3 向量索引或管理現有向量索引上的標籤時標記 S3 向量索引。如需有關標籤的一般資訊,請參閱 [成本分配或屬性型存取控制 (ABAC) 的標記](tagging.md)。
**注意**
在超過標準 S3 API 請求率的向量索引上使用標籤不會產生額外費用。如需詳細資訊,請參閱 [Simple Storage Service (Amazon S3) 定價](https://aws.amazon.com/s3/pricing/)。
## 搭配向量索引使用標籤的常見方法
在 S3 向量索引上使用標籤:
+ **成本分配** – 依 AWS Billing and Cost Management 中的向量索引標籤追蹤儲存成本。如需詳細資訊,請參閱[使用成本分配標籤](tagging.md#using-tags-for-cost-allocation)。
+ **屬性型存取控制 (ABAC)** – 擴展存取許可,並根據其標籤授予對 S3 向量索引的存取。如需詳細資訊,請參閱[使用屬性型存取控制 (ABAC) 的標籤](tagging.md#using-tags-for-abac)。
**注意**
您可以將相同的標籤同時用於成本分配和存取控制。
### 適用於 S3 向量索引的 ABAC
Amazon S3 向量索引支援使用標籤的屬性型存取控制 (ABAC)。在您的 AWS 組織、IAM 和 S3 向量索引政策中使用標籤型條件索引鍵。對於企業,ABAC inAmazon S3 支援跨多個 AWS 帳戶進行授權。
在 IAM 政策中,您可以使用下列全域條件索引鍵,根據向量索引的標籤來控制對 S3 向量索引的存取:
`aws:ResourceTag/key-name`
使用此鍵來將您在政策中所指定的標籤鍵值對與連接到資源的鍵值對進行比較。例如,您可以要求只在資源擁有連接標籤鍵 `Dept` 和值 `Marketing` 時才允許資源的存取。如需詳細資訊,請參閱[控制對 AWS 資源的存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources)。
`aws:RequestTag/key-name`
使用此鍵來將請求中傳遞的標籤鍵/值對與您在政策中所指定的標籤對進行比較。例如,您可以檢查請求是否包含標籤鍵 `Dept` 並且其具有值 `Accounting`。如需詳細資訊,請參閱在[AWS 請求期間控制存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-requests)。您可以使用此條件索引鍵,限制在 `TagResource` 和 `CreateIndex` API 操作期間可以傳遞哪些標籤鍵值對。
`aws:TagKeys`
使用此鍵來將請求中的標籤鍵與您在政策中所指定的鍵進行比較。當使用政策來控制使用標籤的存取時,建議您使用 `aws:TagKeys` 條件鍵來定義允許的標籤鍵。如需範例政策和詳細資訊,請參閱[根據標籤金鑰控制存取權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys)。您可以使用標籤建立 S3 向量索引。若要在 `CreateVectorBucket` API 操作期間允許標記,您必須建立同時包含 `s3vectors:TagResource` 和 `s3vectors:CreateVectorBucket` 動作的政策。然後,您可以使用 `aws:TagKeys` 條件索引鍵,以強制在 `CreateVectorBucket` 請求中使用特定的標籤。
### 向量索引的 ABAC 政策範例
請參閱下列 Amazon S3 向量索引的 ABAC 政策範例。
#### 1.1 - 使用特定標籤建立或修改向量索引的 IAM 政策
在此 IAM 政策中,具有此政策的使用者或角色只能在向量索引建立請求`Trinity`中使用標籤索引鍵`project`和標籤值標記向量索引時,才能建立 S3 向量索引。只要`TagResource`請求包含標籤鍵/值對 ,他們也可以在現有的 S3 向量索引上新增或修改標籤`project:Trinity`。此政策不會授予向量索引或其物件的讀取、寫入或刪除許可。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateVectorIndexWithTags",
"Effect": "Allow",
"Action": [
"s3vectors:CreateIndex",
"s3vectors:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/{{project}}": [
"{{Trinity}}"
]
}
}
}
]
}
```
#### 1.2 - 修改現有資源上的標籤以維護標記控管的 IAM 政策
在此 IAM 政策中,只有在向量索引標籤的值符合主體`project`標籤的值時,IAM 主體 (使用者或角色) 才能修改向量索引上的`project`標籤。這些向量索引只允許`aws:TagKeys`條件索引鍵中`cost-center`指定的四個標籤 `project` `environment``owner`、、 和 。這有助於強制執行標籤控管、防止未經授權的標籤修改,並使標記結構描述在向量索引之間保持一致。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EnforceTaggingRulesOnModification",
"Effect": "Allow",
"Action": [
"s3vectors:TagResource"
],
"Resource": "arn:aws::s3vectors:{{us-west-2}}:{{111122223333}}:bucket/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/{{project}}": "${aws:PrincipalTag/{{project}}}"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"{{project}}",
"{{environment}}",
"{{owner}}",
"{{cost-center}}"
]
}
}
}
]
}
```