是否有办法将S3数据的复制限制为仅属于组织的AWS帐户?
我已经考虑过使用IAM政策、Bucket政策和边界,但我看不出如何根据目的地AWS账户信息限制或允许
AmazonS3对象默认情况下是私有的。除非获得许可,否则AWS帐户内外的任何人都不能访问数据。
很容易阻止访问外部人员(他们没有AWS帐户的凭据(,因为他们访问数据的唯一方式是有允许访问的S3 Bucket策略,或者有允许他们承担的IAM角色。
然而,内部将带来更多挑战。你说你想防止数据被复制到用户的个人AWS帐户。这可以通过不授予对源S3存储桶的访问权限轻松实现。然而,一旦他们出于正常的业务目的有了访问权限,他们就可以随心所欲地下载/复制对象。复制命令只是从一个位置读取数据并复制到其他位置,这与出于正常业务目的读取数据是无法区分的。
一些公司会竭尽全力,例如只有在通过特定的IP地址或网络连接访问数据时才授予权限,该地址或网络链接映射到禁用USB端口和软盘驱动器的计算机室。
最好的方法是而不是授予对生产数据的访问权限。仅允许生产应用程序访问生产数据。
底线:如果您不希望人们访问数据,则不要授予他们访问权限。但是,如果授予访问权限,则很难限制他们对数据的处理。