Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiele für ressourcenbasierte Richtlinien von S3 Vectors
Anmerkung
Amazon S3 Vectors befindet sich in der Vorschauversion für Amazon Simple Storage Service und kann sich ändern.
Ressourcenbasierten Richtlinien sind an eine Ressource angefügt. Sie können ressourcenbasierte Richtlinien für Vektor-Buckets erstellen. Ressourcenbasierte Richtlinien für S3 Vectors verwenden das AWS Standardrichtlinienformat in JSON, das Sie direkt an Vektor-Buckets anhängen, um den Zugriff auf den Bucket und seinen Inhalt zu kontrollieren.
Im Gegensatz zu identitätsbasierten Richtlinien, die Benutzern, Gruppen oder Rollen zugeordnet sind, sind ressourcenbasierte Richtlinien an die Ressource selbst (den Vektor-Bucket) angehängt und können Prinzipalen von anderen Konten Berechtigungen gewähren. AWS Dies macht sie ideal für Szenarien, in denen Sie Vektordaten über Unternehmensgrenzen hinweg gemeinsam nutzen oder detaillierte Zugriffskontrollen implementieren müssen, die auf der spezifischen Ressource basieren, auf die zugegriffen wird.
Ressourcenbasierte Richtlinien werden in Kombination mit identitätsbasierten Richtlinien bewertet, und die effektiven Berechtigungen werden durch die Vereinigung aller geltenden Richtlinien bestimmt. Das bedeutet, dass ein Principal die Erlaubnis sowohl der identitätsbasierten Richtlinie (die seinem Benutzer/seiner Rolle zugeordnet ist) als auch der ressourcenbasierten Richtlinie (dem Bucket zugeordnet) benötigt, um eine Aktion auszuführen, es sei denn, die ressourcenbasierte Richtlinie erteilt die Erlaubnis ausdrücklich.
Beispiel 1: Richtlinie für kontoübergreifenden Zugriff
Diese Richtlinie zeigt, wie Benutzern mit unterschiedlichen AWS Konten bestimmte Berechtigungen gewährt werden können:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountBucketAccess", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam:123456789012:role/Admin" }, "Action": [ "s3vectors:CreateIndex", "s3vectors:ListIndexes", "s3vectors:QueryVectors", "s3vectors:PutVectors", "s3vectors:DeleteIndex" ], "Resource": [ "arn:aws:s3vectors::aws-region111122223333:bucket/amzn-s3-demo-vector-bucket/*", "arn:aws:s3vectors::aws-region111122223333:bucket/amzn-s3-demo-vector-bucket" ] } ] }
Beispiel 2: Aktionen auf Vektorindexebene ablehnen
Diese Richtlinie zeigt, wie einer IAM-Rolle bestimmte Aktionen auf Vektorindex-Ebene verweigert werden können:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyIndexLevelActions", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam:123456789012:role/External-Role-Name" }, "Action": [ "s3vectors:QueryVectors", "s3vectors:PutVectors", "s3vectors:DeleteIndex", "s3vectors:GetVectors", "s3vectors:GetIndex", "s3vectors:DeleteVectors", "s3vectors:CreateIndex", "s3vectors:ListVectors" ], "Resource": "arn:aws:s3vectors::aws-region111122223333:bucket/amzn-s3-demo-vector-bucket/*" } ] }
Beispiel 3: Verweigern Sie Änderungsvorgänge sowohl auf Vektorindex- als auch auf Bucket-Ebene
Diese Richtlinie zeigt, wie Änderungsanforderungen sowohl für Aktionen auf Vektorindex- als auch auf Bucket-Ebene abgelehnt werden können, indem mehrere Ressourcen angegeben werden:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModificationActionsAtBucketandIndexLevels", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam:123456789012:role/External-Role-Name" }, "Action": [ "s3vectors:CreateVectorBucket", "s3vectors:DeleteVectorBucket", "s3vectors:PutVectorBucketPolicy", "s3vectors:DeleteVectorBucketPolicy", "s3vectors:CreateIndex", "s3vectors:DeleteIndex", "s3vectors:PutVectors", "s3vectors:DeleteVectors" ], "Resource": [ "arn:aws:s3vectors::aws-region111122223333:bucket/amzn-s3-demo-vector-bucket/*", "arn:aws:s3vectors::aws-region111122223333:bucket/amzn-s3-demo-vector-bucket" ] } ] }
