AWS: Amazon Quick — document-level access control za S3 knowledge bases s deny-by-default i ALLOW/DENY pravilima

AWS je 15. svibnja 2026. objavio detaljnu implementaciju document-level access control-a za Amazon Quick S3 knowledge bases. Najava adresira jedan od najvećih enterprise RAG problema: kako osigurati da različiti korisnici dobiju različite knowledge base odgovore na temelju njihovih pristupnih prava, bez razdvajanja knowledge base na više različitih index-a.

Koja je razlika između global ACL i document-level metadata pristupa?

AWS nudi dvije konfiguracijske metode:

• Global ACL fajl — centralizirani JSON dokument koji specificira folder-level dozvole za cijeli knowledge base. Idealan je za stabilne organizacijske strukture gdje su access pravila uglavnom konstantna (npr. “HR folder je dostupan HR group-i”). Promjena pravila zahtijeva jedan update.
• Document-level metadata fajlovi — pojedinačni .metadata.json fajlovi uz svaki dokument. Idealni su za često mijenjajuće dozvole (npr. project documents gdje se access lista mijenja per project). Promjena pravila zahtijeva update specifičnog metadata file-a.

Korisnici mogu kombinirati oba pristupa u istom knowledge base-u — global ACL za baseline i document-level overrides za izuzetke.

Kako deny-by-default model radi?

Sistem koristi deny-by-default ponašanje koje sprječava accidental exposure: dokument je blokiran osim ako postoji eksplicitno ALLOW pravilo koje korisnika autorizira. Pristup je sigurniji od optimistic models gdje su dokumenti default otvoreni i konkretno se blokiraju.

Sustav podržava i ALLOW i DENY policy na user i group razini. Kad postoje konflikti — npr. user je u grupi koja ima ALLOW ali user-level DENY postoji — DENY uvijek pobjeđuje. To omogućuje fine-grained kontrolu gdje admin može blokirati pojedinog korisnika unutar inače dozvoljene grupe bez restrukturiranja cijele permission shemi.

Što IAM integracija dodaje?

Pored document-level ACL-ova, AWS dokumentacija pokriva korištenje IAM policy assignmenta za ograničavanje koje S3 bucket-e korisnici mogu koristiti za knowledge base creation. Pristup sprječava unauthorized bypass ACL kontrola — bez IAM gate-a, korisnik bi mogao stvoriti vlastiti knowledge base nad bucket-om kojem nema pristup i preskočiti document ACL pravila.

Koje verification metode AWS preporučuje?

Dva načina za potvrdu da access kontrole rade:

• Chat-based testing — korisnik s različitim identity-jem postavi pitanja koja zahtijevaju zaštićene dokumente i provjeri da li odgovor uključuje blokirani sadržaj
• Flow-aware automation — automatizirani workflow koji respektira document-level pristupna prava tijekom svake faze, ne samo pri finalnom retrieve-u

Položaj u širem enterprise RAG security stack-u

Najava je dio AWS tjedan dnevnih enterprise RAG sigurnosnih objava: AWS+Cisco MCP/A2A AI Registry (14.5., agent scanning), AWS EU AI Act FLOPs Meter (13.5., compliance), AWS Pulse AI financijska dokumentacija (14.5., domain-specific). Amazon Quick ACL upravlja read-side problemom — koji korisnici vide koje sadržaje u RAG odgovorima. To je komplement Bedrock Guardrails koji upravlja generation-side problemom — koje teme AI uopće smije obrađivati.