S3 Vectors 리소스 기반 정책 예시 - Amazon Simple Storage Service
예제 1: 교차 계정 액세스 정책예제 2: 벡터 인덱스 수준 작업 거부예제 3: 벡터 인덱스 및 버킷 수준 모두에서 수정 작업 거부

S3 Vectors 리소스 기반 정책 예시

참고

Amazon S3 Vectors는 Amazon Simple Storage Service의 미리 보기 릴리스이며 변경될 수 있습니다.

리소스 기반 정책은 리소스에 연결됩니다. 벡터 버킷에 대한 리소스 기반 정책을 만들 수 있습니다. S3 Vectors에 대한 리소스 기반 정책은 벡터 버킷에 직접 연결하는 JSON의 표준 AWS 정책 형식을 사용하여 버킷 및 해당 콘텐츠에 대한 액세스를 제어합니다.

사용자, 그룹 또는 역할에 연결된 ID 기반 정책과 달리 리소스 기반 정책은 리소스 자체(벡터 버킷)에 연결되며 다른 AWS 계정의 위탁자에게 권한을 부여할 수 있습니다. 따라서 조직 경계를 넘어 벡터 데이터를 공유하거나 액세스 중인 특정 리소스를 기반으로 세분화된 액세스 제어를 구현해야 하는 시나리오에 적합합니다.

리소스 기반 정책은 ID 기반 정책과 함께 평가되며 유효 권한은 모든 해당 정책의 조합에 의해 결정됩니다. 즉, 리소스 기반 정책이 명시적으로 권한을 부여하지 않는 한 작업을 수행하려면 위탁자에게 ID 기반 정책(사용자/역할에 연결됨)과 리소스 기반 정책(버킷에 연결됨) 모두의 권한이 필요합니다.

예제 1: 교차 계정 액세스 정책

이 정책은 다른 AWS 계정의 사용자에게 특정 권한을 부여하는 방법을 보여줍니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CrossAccountBucketAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam:123456789012:role/Admin"
            },
            "Action": [
                "s3vectors:CreateIndex",
                "s3vectors:ListIndexes",
                "s3vectors:QueryVectors",
                "s3vectors:PutVectors",
                "s3vectors:DeleteIndex"
            ],
            "Resource": [
                "arn:aws:s3vectors:aws-region:111122223333:bucket/amzn-s3-demo-vector-bucket/*",
                "arn:aws:s3vectors:aws-region:111122223333:bucket/amzn-s3-demo-vector-bucket"
            ]
        }
    ]
}

예제 2: 벡터 인덱스 수준 작업 거부

이 정책은 IAM 역할에 대한 특정 벡터 인덱스 수준 작업을 거부하는 방법을 보여줍니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyIndexLevelActions",
            "Effect": "Deny",
            "Principal": {
                "AWS": "arn:aws:iam:123456789012:role/External-Role-Name"
            },
            "Action": [
                "s3vectors:QueryVectors",
                "s3vectors:PutVectors",
                "s3vectors:DeleteIndex",
                "s3vectors:GetVectors",
                "s3vectors:GetIndex",
                "s3vectors:DeleteVectors",
                "s3vectors:CreateIndex",
                "s3vectors:ListVectors"
            ],
            "Resource": "arn:aws:s3vectors:aws-region:111122223333:bucket/amzn-s3-demo-vector-bucket/*"
        }
    ]
}

예제 3: 벡터 인덱스 및 버킷 수준 모두에서 수정 작업 거부

이 정책은 여러 리소스를 지정하여 벡터 인덱스 및 버킷 수준 작업 모두에 대한 수정 요청을 거부하는 방법을 보여줍니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyModificationActionsAtBucketandIndexLevels",
            "Effect": "Deny",
            "Principal": {
                "AWS": "arn:aws:iam:123456789012:role/External-Role-Name"
            },
            "Action": [
                "s3vectors:CreateVectorBucket",
                "s3vectors:DeleteVectorBucket",
                "s3vectors:PutVectorBucketPolicy",
                "s3vectors:DeleteVectorBucketPolicy",                
                "s3vectors:CreateIndex",
                "s3vectors:DeleteIndex",
                "s3vectors:PutVectors",
                "s3vectors:DeleteVectors"
            ],
            "Resource": [
                "arn:aws:s3vectors:aws-region:111122223333:bucket/amzn-s3-demo-vector-bucket/*",
                "arn:aws:s3vectors:aws-region:111122223333:bucket/amzn-s3-demo-vector-bucket"
            ]
        }
    ]
}