IAM S3 仅将数据复制到属于组织的账户

Posted 2023-04-12

【中文标题】IAM S3 仅将数据复制到属于组织的账户

【英文标题】：IAM S3 replication of data to only accounts that are part of the Organisation

【发布时间】：2019-11-07 10:13:53

【问题描述】：

有没有办法将 S3 数据的复制限制在仅属于组织一部分的 AWS 账户？

我查看过使用 IAM 策略、存储桶策略和边界，但我看不到如何根据目标 AWS 账户信息进行限制或允许

【问题讨论】：

“S3 数据的复制”是什么意思？您指的是跨区域复制和同区域复制。另外，您如何定义“组织”？您在使用 AWS 组织吗？

没错，我们正在使用 AWS Organizations @JohnRotenstein 我试图阻止的情况是将数据复制/复制/移动到组织外部的 S3 存储桶，例如用户的个人 AWS 账户。

【参考方案1】：

默认情况下，Amazon S3 对象是私有的。除非授予权限，否则 AWS 账户内外的任何人都无法访问数据。

很容易阻止外部人员（他们没有 AWS 账户的凭证）访问，因为他们访问数据的唯一方法是存在允许访问的 S3 存储桶策略，或者如果允许他们承担 IAM 角色。

然而，

内部会带来更多挑战。您说您希望防止将数据复制到用户的个人 AWS 账户。这可以通过不授予对源 S3 存储桶的访问权限轻松实现。但是，只要他们有权访问正常的业务目的，他们就可以根据需要下载/复制对象。复制命令只是从一个位置读取数据并复制到其他位置，这与出于正常业务目的读取数据没有区别。

一些公司不遗余力，例如仅在通过特定 IP 地址或网络连接访问数据时才授予权限，这映射到具有 USB 端口和软盘的计算机房磁盘驱动器已禁用。

最好的方法是不授予对生产数据的访问权限。只允许生产应用访问生产数据。

底线：如果您不希望人们访问数据，那么不要授予他们访问权限。但是，如果您确实授予访问权限，则很难限制他们随后对数据的操作。

【讨论】：

感谢@JohnRotenstein 提供的信息。从 S3 下载信息以说明 PC 受到限制我试图阻止的特定情况是来自 S3 存储桶的数据被复制/移动/复制到不属于组织的另一个 S3 存储桶中。从事物的声音来看，这是不可能的。

人们在没有被授予权限的情况下不能做事，所以这取决于他们被授予的权限。您目前如何限制“将信息从 S3 下载到 PC”？是通过 S3 策略实现的吗？