Administración de identidades y accesos en S3 Vectors
nota
Amazon S3 Vectors se encuentra en versión preliminar para Amazon Simple Storage Service y está sujeto a cambios.
La administración de accesos en S3 Vectors sigue las prácticas recomendadas de seguridad de AWS y proporciona varias capas de control para garantizar que solo los usuarios y las aplicaciones con autorización puedan acceder a los datos vectoriales. El servicio se integra con IAM y admite políticas basadas en la identidad y en los recursos, lo que le ofrece flexibilidad a la hora de estructurar y administrar los permisos en toda la organización.
Autenticación y autorización de solicitudes
S3 Vectors utiliza mecanismos de autenticación y autorización estándar de AWS para proteger el acceso a los buckets vectoriales y el contenido. Todas las solicitudes a S3 Vectors deben autenticarse mediante credenciales de AWS válidas, y el servicio evalúa los permisos a partir de la combinación de políticas basadas en la identidad, políticas basadas en recursos y cualquier política de control de servicio aplicable.
El proceso de autenticación comienza cuando un cliente realiza una solicitud a S3 Vectors mediante credenciales de AWS (claves de acceso, credenciales temporales de AWS STS o roles de IAM). El servicio valida estas credenciales y, a continuación, evalúa los permisos asociados a la identidad autenticada con respecto a la acción solicitada y al recurso de destino. Este proceso de evaluación tiene en cuenta varios tipos de políticas y aplica el principio del privilegio mínimo para determinar si se debe permitir o denegar la solicitud.
La autorización en S3 Vectors opera en varios niveles de detalle. Puede controlar el acceso en el bucket vectorial, en el índice vectorial individual o incluso en operaciones específicas dentro de un índice. Este modelo de permisos jerárquico le permite implementar esquemas de control de acceso sofisticados que se ajustan a la estructura de la organización y a los requisitos de gobernanza de datos.
Tipos de recursos definidos para buckets vectoriales
S3 Vectors define tipos de recursos específicos a los que se puede hacer referencia en políticas de IAM y en políticas basadas en recursos. Conocer estos tipos de recursos es esencial para crear políticas de control de acceso eficaces que proporcionen el nivel adecuado de acceso a los usuarios y aplicaciones correctos.
En la siguiente tabla se describen los tipos de recursos disponibles en S3 Vectors.
| Tipo de recurso | Formato de ARN | Descripción |
|---|---|---|
| VectorBucket | arn:aws:s3vectors:región:123456789012:bucket/nombre-de-bucket |
Representa un bucket vectorial y se utiliza para operaciones de bucket, como crear, eliminar o configurar el bucket |
| Índice | arn:aws:s3vectors:región:123456789012:bucket/nombre-de-bucket/index/nombre-de-índice |
Representa un índice vectorial en un bucket y se utiliza para operaciones específicas del índice, como consultar vectores o administrar el contenido del índice |
Acciones de política para buckets vectoriales
S3 Vectors proporciona un conjunto completo de acciones de política que se corresponden con las diversas operaciones que puede realizar en buckets e índices vectoriales. Estas acciones están diseñadas para proporcionar un control detallado sobre quién puede realizar operaciones específicas, lo que le permite implementar el principio de privilegio mínimo de forma eficaz.
En la siguiente tabla se enumeran todas las acciones de política disponibles para los recursos de S3 Vectors.
| Tipo de recurso | Operaciones de la API | Acciones de políticas | Descripción de las acciones de política | Nivel de acceso | Claves de condición |
|---|---|---|---|---|---|
| Cuenta | ListVectorBuckets | s3vectors:ListVectorBuckets | Concede permiso para enumerar todos los buckets vectoriales de la cuenta y la región | Enumeración | |
| VectorBucket | CreateVectorBucket | s3vectors:CreateVectorBucket | Concede permiso para crear un nuevo bucket vectorial con la configuración especificada | Escritura | s3vectors:sseType, s3vectors:kmsKeyArn |
| VectorBucket | GetVectorBucket | s3vectors:GetVectorBucket | Concede permiso para recuperar los atributos y la configuración del bucket vectorial | Lectura | |
| VectorBucket | DeleteVectorBucket | s3vectors:DeleteVectorBucket | Concede permiso para eliminar un bucket vectorial vacío | Escritura | |
| VectorBucket | ListIndexes | s3vectors:ListIndexes | Concede permiso para enumerar todos los índices de un bucket vectorial | Enumeración | |
| VectorBucket | PutVectorBucketPolicy | s3vectors:PutVectorBucketPolicy | Concede permiso para aplicar o actualizar una política basada en recursos en un bucket vectorial | Administración de permisos | |
| VectorBucket | GetVectorBucketPolicy | s3vectors:GetVectorBucketPolicy | Concede permiso para recuperar la política basada en recursos asociada a un bucket vectorial | Lectura | |
| VectorBucket | DeleteVectorBucketPolicy | s3vectors:DeleteVectorBucketPolicy | Concede permiso para eliminar la política basada en recursos de un bucket vectorial | Administración de permisos | |
| Índice | CreateIndex | s3vectors:CreateIndex | Concede permiso para crear un nuevo índice vectorial con las dimensiones y la configuración de metadatos especificadas | Escritura | |
| Índice | GetIndex | s3vectors:GetIndex | Concede permiso para recuperar los atributos y la configuración del índice vectorial | Lectura | |
| Índice | DeleteIndex | s3vectors:DeleteIndex | Concede permiso para eliminar un índice vectorial y todo el contenido | Escritura | |
| Índice | QueryVectors | (Obligatorio) s3vectors:QueryVectors | Concede permiso para realizar consultas de similitud en vectores de un índice. Solo con |
Lectura | |
| (Condicionalmente obligatorio): s3vectors:GetVectors | Obligatorio si establece filtros de metadatos, establezca Con |
Lectura | |||
| Índice | PutVectors | s3vectors:PutVectors | Concede permiso para agregar o actualizar vectores en un índice. | Escritura | |
| Índice | GetVectors | s3vectors:GetVectors | Concede permiso para recuperar vectores específicos y los metadatos por clave vectorial. | Lectura | |
| Índice | ListVectors | (Obligatorio) s3vectors:ListVectors | Concede permiso para enumerar claves vectoriales en un índice. Solo con |
Lectura | |
| (Condicionalmente obligatorio): s3vectors:GetVectors | Obligatorio si establece el parámetro Con |
Lectura | |||
| Índice | DeleteVectors | s3vectors:DeleteVectors | Concede permiso para eliminar vectores específicos de un índice. | Escritura |
Estas acciones se pueden combinar de varias formas para crear políticas que coincidan con los requisitos de acceso específicos. Por ejemplo, puede crear una política de solo lectura que incluya las acciones s3vectors:GetVectorBucket, s3vectors:ListIndexes, s3vectors:QueryVectors y s3vectors:GetVectors, o una política que incluya permisos de consulta y recuperación de vectores, pero excluya acciones administrativas como la creación o la eliminación de índices.
Claves de condición para buckets vectoriales
| Claves de condición | Descripción | Tipo | |
|---|---|---|---|
| 1 | s3vectors:sseType | Filtra el acceso por tipo de cifrado del servidor. Valores válidos: AES256 | aws:kms |
Cadena |
| 2 | s3vectors:kmsKeyArn | Filtra el acceso por el ARN de clave de AWS AWS KMS utilizada para cifrar un bucket vectorial | ARN |
