S3 벡터 인덱스에서 태그 사용 - Amazon Simple Storage Service
벡터 인덱스와 함께 태그를 사용하는 일반적인 방법벡터 인덱스에 대한 태그 관리

S3 벡터 인덱스에서 태그 사용

AWS 태그는 리소스, 이 경우 Amazon S3 벡터 인덱스를 포함하는 키-값 페어입니다. S3 벡터 인덱스를 생성할 때 태그를 지정하거나 기존 벡터 인덱스에서 태그를 관리할 수 있습니다. 태그에 대한 일반적인 정보는 비용 할당 또는 속성 기반 액세스 제어(ABAC)를 위한 태그 지정 섹션을 참조하세요.

참고

벡터 인덱스에서 태그를 사용하는 데는 표준 S3 API 요청 요금 외에는 추가 요금이 부과되지 않습니다. 자세한 내용은 Amazon S3 요금을 참조하세요.

벡터 인덱스와 함께 태그를 사용하는 일반적인 방법

다음의 경우 S3 벡터 인덱스에 태그를 사용합니다.

  • 비용 할당 - AWS Billing and Cost Management에서 벡터 인덱스 태그별로 스토리지 비용을 추적합니다. 자세한 내용은 비용 할당에 태그 사용 섹션을 참조하세요.

  • 속성 기반 액세스 제어(ABAC) - 액세스 권한의 규모를 조정하고 태그를 기반으로 S3 벡터 인덱스에 대한 액세스 권한을 부여합니다. 자세한 내용은 속성 기반 액세스 제어(ABAC)에 태그 사용 섹션을 참조하세요.

참고

비용 할당과 액세스 제어에 동일한 태그를 사용할 수 있습니다.

S3 벡터 인덱스에 대한 ABAC

Amazon S3 벡터 인덱스는 태그를 사용한 속성 기반 액세스 제어(ABAC)를 지원합니다. AWS 조직, IAM 및 S3 벡터 인덱스 정책에서 태그 기반 조건 키를 사용합니다. 엔터프라이즈의 경우 Amazon S3의 ABAC는 여러 AWS 계정에 대한 권한 부여를 지원합니다.

IAM 정책에서 다음 전역 조건 키를 사용하여 벡터 인덱스의 태그를 기반으로 S3 벡터 인덱스에 대한 액세스를 제어할 수 있습니다.

aws:ResourceTag/key-name

이 키를 사용하여 정책에서 지정한 태그 키-값 쌍을 리소스에 연결된 키-값 쌍과 비교합니다. 예를 들어 리소스에 값이 Dept인 태그 키 Marketing와 연결된 경우에만 리소스에 대한 액세스가 필요할 수 있습니다. 자세한 내용은 AWS 리소스에 대한 액세스 제어를 참조하십시오.

aws:RequestTag/key-name

이 키를 사용하여 요청에서 전달된 태그 키 값 페어를 정책에서 지정한 태그 페어와 비교합니다. 예를 들어, 요청에 태그 키 Dept가 포함되어 있으며 값이 Accounting인지 확인할 수 있습니다. 자세한 내용은 AWS 요청 중 액세스 제어를 참조하세요. 이 조건 키를 사용하여 TagResourceCreateIndex API 작업 중에 전달할 수 있는 태그 키-값 페어를 제한할 수 있습니다.

aws:TagKeys

이 키를 사용하여 요청의 태그 키를 정책에서 지정한 키와 비교합니다. 정책을 사용하여 태그를 통해 액세스를 제어할 때 aws:TagKeys 조건 키를 사용하여 어떤 태그 키가 허용되는지 정의하는 것이 좋습니다. 예시 정책과 자세한 내용은 태그 키를 기반으로 액세스 제어를 참조하세요. 태그를 사용하여 S3 벡터 인덱스를 생성할 수 있습니다. CreateVectorBucket API 작업 중에 태그 지정을 허용하려면 s3vectors:TagResources3vectors:CreateVectorBucket 작업을 모두 포함하는 정책을 생성해야 합니다. 그런 다음 aws:TagKeys 조건 키를 사용하여 CreateVectorBucket 요청 내 특정 태그 사용을 강제 적용할 수 있습니다.

벡터 인덱스에 대한 ABAC 정책 예제

Amazon S3 벡터 인덱스에 대한 다음 예제 ABAC 정책을 확인하세요.

1.1 - 특정 태그가 있는 벡터 인덱스를 만들거나 수정하는 IAM 정책

이 IAM 정책에서 이 정책을 사용하는 사용자 또는 역할은 벡터 인덱스 생성 요청의 태그 키 project 및 태그 값 Trinity로 벡터 인덱스에 태그를 지정하는 경우에만 S3 벡터 인덱스를 생성할 수 있습니다. TagResource 요청에 태그 키-값 페어 project:Trinity가 포함되어 있는 한 기존 S3 벡터 인덱스에 태그를 추가하거나 수정할 수도 있습니다. 이 정책은 벡터 인덱스 또는 해당 객체에 대한 읽기, 쓰기 또는 삭제 권한을 부여하지 않습니다.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "CreateVectorIndexWithTags",
      "Effect": "Allow",
      "Action": [
        "s3vectors:CreateIndex",
        "s3vectors:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/project": [
            "Trinity"
          ]
        }
      }
    }
  ]
}

1.2 - 태그 지정 거버넌스를 유지 관리하는 기존 리소스의 태그를 수정하는 IAM 정책

이 IAM 정책에서 IAM 위탁자(사용자 또는 역할)는 벡터 인덱스의 project 태그 값이 위탁자의 project 태그 값과 일치하는 경우에만 벡터 인덱스의 태그를 수정할 수 있습니다. 이러한 벡터 인덱스에는 aws:TagKeys 조건 키에 지정된 태그 네 개, 즉 project, environment, ownercost-center만 허용됩니다. 이렇게 하면 태그 거버넌스를 강제 적용하고, 무단 태그 수정을 방지하고, 벡터 인덱스 간에 태그 지정 스키마를 일관되게 유지할 수 있습니다.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "EnforceTaggingRulesOnModification",
      "Effect": "Allow",
      "Action": [
        "s3vectors:TagResource"
      ],
      "Resource": "arn:aws::s3vectors:us-west-2:111122223333:bucket/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": [
            "project",
            "environment",
            "owner",
            "cost-center"
          ]
        }
      }
    }
  ]
}

벡터 인덱스에 대한 태그 관리

Amazon S3 콘솔, AWS Command Line Interface(AWS CLI), AWS SDK를 사용하거나 S3 API TagResource, UntagResourceListTagsForResource를 사용하여 S3 벡터 인덱스에 대한 태그를 추가하거나 관리할 수 있습니다. 자세한 내용은 다음을 참조하세요.

주제