Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempi di policy basate sulle risorse di S3 Vectors
Nota
Amazon S3 Vectors è in versione di anteprima per Amazon Simple Storage Service ed è soggetto a modifiche.
Le policy basate su risorse sono collegate a una risorsa. Puoi creare politiche basate sulle risorse per i bucket vettoriali. Le politiche basate sulle risorse per S3 Vectors utilizzano il formato di AWS policy standard in JSON che puoi collegare direttamente ai bucket vettoriali per controllare l'accesso al bucket e al suo contenuto.
A differenza delle politiche basate sull'identità associate a utenti, gruppi o ruoli, le politiche basate sulle risorse sono collegate alla risorsa stessa (il bucket vettoriale) e possono concedere autorizzazioni ai principali di altri account. AWS Ciò li rende ideali per gli scenari in cui è necessario condividere dati vettoriali attraverso i confini organizzativi o implementare controlli di accesso dettagliati in base alla risorsa specifica a cui si accede.
Le politiche basate sulle risorse vengono valutate in combinazione con le politiche basate sull'identità e le autorizzazioni effettive sono determinate dall'unione di tutte le politiche applicabili. Ciò significa che un principale necessita dell'autorizzazione sia della politica basata sull'identità (allegata al relativo utente/ruolo) che della politica basata sulle risorse (allegata al bucket) per eseguire un'azione, a meno che la politica basata sulle risorse non conceda esplicitamente l'autorizzazione.
Esempio 1: politica di accesso tra account
Questa politica dimostra come concedere autorizzazioni specifiche agli utenti di account diversi: AWS
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountBucketAccess", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam:123456789012:role/Admin" }, "Action": [ "s3vectors:CreateIndex", "s3vectors:ListIndexes", "s3vectors:QueryVectors", "s3vectors:PutVectors", "s3vectors:DeleteIndex" ], "Resource": [ "arn:aws:s3vectors::aws-region111122223333:bucket/amzn-s3-demo-vector-bucket/*", "arn:aws:s3vectors::aws-region111122223333:bucket/amzn-s3-demo-vector-bucket" ] } ] }
Esempio 2: nega le azioni a livello di indice vettoriale
Questa policy dimostra come negare azioni specifiche a livello di indice vettoriale a un ruolo IAM:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyIndexLevelActions", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam:123456789012:role/External-Role-Name" }, "Action": [ "s3vectors:QueryVectors", "s3vectors:PutVectors", "s3vectors:DeleteIndex", "s3vectors:GetVectors", "s3vectors:GetIndex", "s3vectors:DeleteVectors", "s3vectors:CreateIndex", "s3vectors:ListVectors" ], "Resource": "arn:aws:s3vectors::aws-region111122223333:bucket/amzn-s3-demo-vector-bucket/*" } ] }
Esempio 3: nega le operazioni di modifica sia a livello di indice vettoriale che a livello di bucket
Questa politica dimostra come negare le richieste di modifica sia per l'indice vettoriale che per le azioni a livello di bucket specificando più risorse:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyModificationActionsAtBucketandIndexLevels", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam:123456789012:role/External-Role-Name" }, "Action": [ "s3vectors:CreateVectorBucket", "s3vectors:DeleteVectorBucket", "s3vectors:PutVectorBucketPolicy", "s3vectors:DeleteVectorBucketPolicy", "s3vectors:CreateIndex", "s3vectors:DeleteIndex", "s3vectors:PutVectors", "s3vectors:DeleteVectors" ], "Resource": [ "arn:aws:s3vectors::aws-region111122223333:bucket/amzn-s3-demo-vector-bucket/*", "arn:aws:s3vectors::aws-region111122223333:bucket/amzn-s3-demo-vector-bucket" ] } ] }
