AWS har offentliggjort understøttelse af dokumentniveau adgangskontrol for Amazon S3‑vidensbaser i Amazon Quick. Ifølge AWS’ egen blog og Quick‑dokumentationen kan man nu styre adgang både på mappe‑ og dokumentniveau via access control lists. Når en bruger stiller et spørgsmål, vurderer Quick brugerens identitet op mod ACL‑opsætningen og viser kun indhold, brugeren er autoriseret til at se. Kilderne beskriver også, at man kan styre hvilke S3‑buckets der kan vælges til vidensbaser via IAM‑politikker.
Quick‑dokumentationen præciserer to vigtige forhold: ACL‑konfiguration er permanent pr. vidensbase, og for vidensbaser med ACL aktiveret bliver dokumenter uden en tilhørende ACL slet ikke indlæst. Det betyder, at valg af ACL‑model skal træffes ved oprettelse, og at dækning af ACL på tværs af filer er nødvendig for at få materialet indekseret.
Hvad der er bygget ifølge kilderne
AWS’ blog gennemgår to metoder til konfiguration: en global ACL‑fil til central styring (for eksempel på mappeniveau) og metadata pr. dokument til mere finmasket kontrol. Bloggen beskriver også, hvordan man planlægger adgangsstruktur, sætter rettigheder for brugere og grupper samt verificerer, at adgangskontrollen virker gennem chat og såkaldte ACL‑aware Flows.
Quick‑dokumentationen beskriver, at ACL er en valgfri funktion, der aktiveres ved oprettelse af en S3‑vidensbase, og at beslutningen derefter ikke kan ændres for den pågældende vidensbase. Dokumentationen siger desuden, at dokumenter uden en gyldig ACL‑angivelse ikke bliver indlæst. Begge kilder er konsistente om, at kontrol kan ske på dokument- eller mappeniveau, og at håndhævelsen sker ved forespørgselstid.

Hvorfor det er relevant ifølge kilderne
AWS’ blog rammesætter behovet: Grovkornede tilladelser på vidensbase‑niveau kan være tilstrækkelige for nogle teams, men organisationer med følsomme dokumenter har brug for finere kontrol, så specifikke mapper eller dokumenter kun er tilgængelige for bestemte brugere og grupper. Bloggen peger på, at det gør det muligt at bringe hele dokumentbiblioteket ind i Quick og samtidig overholde compliance og datagovernance.

Den mere generelle udfordring med styring af AI‑brug i virksomheder er også beskrevet i en ekstern analyse fra MarkTechPost, der fremhæver, at værktøjsbrug ofte løber foran formelle politikker. Det er en bred kontekstforklaring og bruges her som baggrund, ikke som specifik dokumentation for Quick.
Konfigurationsmetoder og håndhævelse
Ifølge AWS er der to måder at definere ACL på i S3‑vidensbaser: en global konfigurationsfil eller dokumentmetadata. I begge tilfælde håndhæver Quick tilladelser ved forespørgselstid og viser kun indhold, brugeren har adgang til. Bloggen beskriver ALLOW og DENY for brugere og grupper, og at verificering kan ske via chat og workflows, der er ACL‑bevidste.
IAM‑politikker kan bruges til at afgrænse, hvilke S3‑buckets brugere overhovedet kan vælge, når de opretter en vidensbase. Det giver en kontrolmekanisme på infrastruktur‑niveau, suppleret af de finmaskede regler i ACL‑opsætningen.
Permanens og ingest‑adfærd
Quick‑dokumentationen fastslår, at “Document-level ACL configuration is permanent. You cannot enable ACLs on knowledge bases created without ACL support, and you cannot disable ACLs once enabled.” Dokumentationen fastslår også: “For ACL-enabled knowledge bases, documents without an associated ACL entry are not ingested.” Begge forhold har direkte driftsmæssige konsekvenser: valg af model skal ske fra start, og alle relevante dokumenter skal have en eksplicit ACL‑dækning.
Det betyder i praksis, at fravær af ACL på en fil fører til, at filen ikke kommer med i vidensbasen. AWS’ materialer anbefaler i øvrigt at verificere, at adgangskontrollen fungerer, ved at teste via chat og ACL‑aware Flows.

Indeksering og tidsforbrug
AWS’ kilder beskriver, at der kan være behov for reindeksering, når adgangsregler ændres, og at reindeksering af store mængder kan tage timer. Kilderne giver ingen benchmarks for varighed eller skala. Det er derfor rimeligt at planlægge ændringer, så de kan gennemføres uden at påvirke brugere unødigt, men uden at antage specifikke tider ud over det, AWS selv skriver.
Hvor meget der skal reindekseres ved en ændring afhænger af den valgte metode og struktur, men kilderne kvantificerer ikke konsekvenserne yderligere. Artiklen lægger sig her til den dokumenterede ramme: ændringer kan kræve reindeksering, og store mængder kan tage tid; konkrete tal er ikke angivet af AWS.

Praktiske implikationer direkte afledt af kilderne
Valget mellem global ACL‑fil og dokumentmetadata er en del af den konfigurationsproces, AWS beskriver. En central fil passer til centraliseret styring, mens per‑dokument metadata retter sig mod mere detaljerede og potentielt hyppigere skift. Det er eksplicit i bloggens gennemgang, at begge metoder understøttes og er tiltænkt forskellige driftsbehov.
Da dokumenter uden ACL ikke indekseres i ACL‑aktiverede vidensbaser, følger heraf et behov for at sikre fuld dækning. AWS beskriver verificering via chat og workflows; det giver en kontrolleret måde at opdage, om noget mangler i indsamlingen. IAM‑kontrol over valg af buckets er også en kildeunderstøttet mekanisme til at minimere fejlkonfiguration ved oprettelse.
Hvad der eksplicit er åbent eller ikke beskrevet
De anvendte AWS‑kilder indeholder ikke ydelsesmålinger for query‑latens ved ACL‑håndhævelse. De indeholder heller ikke benchmarks for reindekseringstider ud over bemærkningen om, at det kan tage timer ved store datamængder. Læseren bør derfor ikke forvente konkrete tal fra dokumentationen.
Kilderne beskriver ikke samspillet mellem S3‑baserede ACL’er i Quick og eventuelle eksterne vektorindeks eller tredjepartslagre. Det ligger uden for det dokumenterede scope. Eventuelle antagelser om konsistens på tværs af sådanne komponenter er ikke dækket af de leverede kilder.

Opsummering af det verificerbare
Både AWS’ blog og Quick‑dokumentationen dokumenterer følgende: dokument- og mappeniveau ACL for S3‑vidensbaser i Quick, vurdering af brugeridentitet ved forespørgselstid, to konfigurationsmetoder (global fil og dokumentmetadata), mulighed for at styre bucket‑valg via IAM, permanent ACL‑status pr. vidensbase, samt at dokumenter uden ACL ikke indlæses i ACL‑aktiverede vidensbaser. Bloggen gennemgår også, hvordan man sætter op og verificerer adgangskontrollen, herunder via chat og ACL‑aware Flows.
AWS anfører, at reindeksering af store datamængder kan tage timer, men giver ingen benchmarks. Kilderne leverer ikke tal for forespørgselslatens under ACL‑håndhævelse. Den overordnede motivation for finere adgangskontrol i enterprise‑sammenhæng er beskrevet i bloggens rammesætning, og en ekstern analyse peger på, at værktøjsbrug ofte overhaler politikker, hvilket sætter behovet i perspektiv.
Bundlinjen
Amazon Quick understøtter nu dokumentniveau adgangskontrol for S3‑vidensbaser med håndhævelse ved forespørgselstid. De to konfigurationsmetoder giver fleksibilitet, men dokumentationen gør det klart, at ACL‑valget er permanent pr. vidensbase, og at filer uden ACL ikke indekseres. AWS beskriver verificering via chat og ACL‑aware Flows samt brug af IAM til at styre bucket‑valg. Hvor lang tid reindeksering tager i praksis, og hvilke ydelsesprofiler der gælder, er ikke benchmarket i kilderne, ud over at store mængder kan tage timer.
Kilder og videre læsning
- AWS Machine Learning Blog, Restrict access to sensitive documents in your Amazon Quick knowledge bases for Amazon S3
- Amazon Quick User Guide, document-level ACLs
- MarkTechPost, Enterprise AI Governance in 2026