Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von Tags mit S3-Vektorindizes
Ein AWS Tag ist ein Schlüssel-Wert-Paar, das Metadaten zu Ressourcen enthält, in diesem Fall Amazon S3 S3-Vektorindizes. Sie können S3-Vektorindizes kennzeichnen, wenn Sie sie erstellen, oder Tags für bestehende Vektorindizes verwalten. Allgemeine Informationen zur Verwendung von Tags finden Sie unter Kennzeichnung für die Kostenzuweisung oder attributbasierte Zugriffskontrolle (ABAC).
Anmerkung
Für die Verwendung von Tags in Vektorindizes fallen keine zusätzlichen Gebühren an, die über die standardmäßigen S3-API-Anforderungsraten hinausgehen. Weitere Informationen finden Sie unter Amazon S3 – Preise
Gängige Methoden zur Verwendung von Tags mit Vektorindizes
Verwenden Sie Tags in Ihren S3-Vektorindizes für:
-
Kostenzuweisung — Verfolgen Sie die Lagerkosten anhand eines Vektor-Index-Tags in AWS Billing and Cost Management. Weitere Informationen finden Sie unter Verwendung von Tags für die Kostenzuweisung.
-
Attributbasierte Zugriffskontrolle (ABAC) — Skalieren Sie Zugriffsberechtigungen und gewähren Sie Zugriff auf S3-Vektorindizes auf der Grundlage ihrer Tags. Weitere Informationen finden Sie unter Verwendung von Tags für attributbasierte Zugriffskontrolle (ABAC).
Anmerkung
Sie können dieselben Tags sowohl für die Kostenzuweisung als auch für die Zugriffskontrolle verwenden.
ABAC für S3-Vektorindizes
Amazon S3 S3-Vektorindizes unterstützen die attributebasierte Zugriffskontrolle (ABAC) mithilfe von Tags. Verwenden Sie tagbasierte Bedingungsschlüssel in Ihren AWS Organisations-, IAM- und S3-Vektorindex-Richtlinien. Für Unternehmen unterstützt ABAC in Amazon S3 die Autorisierung über mehrere Konten hinweg. AWS
In Ihren IAM-Richtlinien können Sie den Zugriff auf S3-Vektorindizes auf der Grundlage der Tags des Vektorindexes mithilfe der folgenden globalen Bedingungsschlüssel steuern:
aws:ResourceTag/key-name-
Verwenden Sie diesen Schlüssel, um das Tag-Schlüssel-Wert-Paar, das Sie in der Richtlinie angeben, mit dem Schlüssel-Wert-Paar zu vergleichen, das der Ressource zugeordnet ist. Beispiel: Sie können verlangen, dass der Zugriff auf eine Ressource nur gewährt wird, wenn die Ressource über den angefügten Tag-Schlüssel
Deptmit dem WertMarketingverfügt. Weitere Informationen finden Sie unter Steuern des Zugriffs auf AWS Ressourcen. aws:RequestTag/key-name-
Verwenden Sie diesen Schlüssel, um das Tag-Schlüssel-Wert-Paar, das in der Anforderung übergeben wurde, mit dem Tag-Paar zu vergleichen, das Sie in der Richtlinie angeben. Sie können beispielsweise prüfen, ob die Anforderung den Tag-Schlüssel
Deptenthält und dieser den WertAccountinghat. Weitere Informationen finden Sie unter Steuern des Zugriffs bei AWS Anfragen. Sie können diesen Bedingungsschlüssel verwenden, um einzuschränken, welche Tag-Schlüsselwert-Paare während derTagResourceundCreateIndexAPI-Operationen weitergeleitet werden können. aws:TagKeys-
Verwenden Sie diesen Schlüssel, um die Tag-Schlüssel in einer Anforderung mit den Schlüsseln zu vergleichen, die Sie in der Richtlinie angeben. Wir empfehlen, dass Sie bei der Verwendung von Richtlinien zur Zugriffskontrolle mithilfe von Tags den
aws:TagKeys-Bedingungsschlüssel verwenden, um festzulegen, welche Tag-Schlüssel zulässig sind. Beispiele für Richtlinien und weitere Informationen finden Sie unter Zugriffssteuerung basierend auf Tag-Schlüsseln. Sie können einen S3-Vektorindex mit Tags erstellen. Um das Markieren während desCreateVectorBucketAPI-Vorgangs zu erlauben, müssen Sie eine Richtlinie erstellen, die dies3vectors:TagResource- unds3vectors:CreateVectorBucket-Aktionen enthält. Anschließend können Sie denaws:TagKeys-Bedingungsschlüssel zum Erzwingen mit spezifischen Tags in derCreateVectorBucket-Anforderung verwenden.
Beispiel für ABAC-Richtlinien für Vektorindizes
Sehen Sie sich das folgende Beispiel für ABAC-Richtlinien für Amazon S3 S3-Vektorindizes an.
1.1 — IAM-Richtlinie zum Erstellen oder Ändern von Vektorindizes mit bestimmten Tags
In dieser IAM-Richtlinie können Benutzer oder Rollen mit dieser Richtlinie nur S3-Vektorindizes erstellen, wenn sie den Vektorindex mit dem Tag-Schlüssel project und dem Tag-Wert Trinity in der Anfrage zur Vektorindex-Erstellung kennzeichnen. Sie können auch Tags zu vorhandenen S3-Vektorindizes hinzufügen oder ändern, sofern die TagResource Anfrage das Tag-Schlüssel-Wert-Paar enthält. project:Trinity Diese Richtlinie gewährt keine Lese-, Schreib- oder Löschberechtigungen für die Vektorindizes oder ihre Objekte.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateVectorIndexWithTags", "Effect": "Allow", "Action": [ "s3vectors:CreateIndex", "s3vectors:TagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/project": [ "Trinity" ] } } } ] }
1.2 — IAM-Richtlinie zur Änderung von Tags auf vorhandenen Ressourcen unter Beibehaltung der Tagging-Governance
Gemäß dieser IAM-Richtlinie können IAM-Prinzipale (Benutzer oder Rollen) Tags in einem Vektorindex nur ändern, wenn der Wert des Tags des Vektorindexes dem Wert des project Prinzipal-Tags entspricht. project Nur die vier in den aws:TagKeys Bedingungsschlüsseln cost-center angegebenen Tags project environmentowner,, und sind für diese Vektorindizes zulässig. Dies hilft, die Tag-Governance durchzusetzen, verhindert unbefugte Tag-Änderungen und sorgt dafür, dass das Tagging-Schema in Ihren Vektorindizes einheitlich bleibt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnforceTaggingRulesOnModification", "Effect": "Allow", "Action": [ "s3vectors:TagResource" ], "Resource": "arn:aws::s3vectors:us-west-2:111122223333:bucket/*", "Condition": { "StringEquals": { "aws:ResourceTag/project": "${aws:PrincipalTag/project}" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "project", "environment", "owner", "cost-center" ] } } } ] }
