S3 кросс-счет передачи данных

Question

Рассмотрение возможности обмена данными из нашего сегмента S3 с нашим внешним партнером.Собираемся настроить роль AWS в нашем VPC и поделиться ею с нашим внешним партнером.Их доступ из их системы будет выполнять роль AWS, созданную в нашей учетной записи, и получать доступ к корзине.Данные в нашей корзине S3 зашифрованы @rest ...

Скажите, если внешний поставщик после вступления в должность ... копирует данные из нашей корзины S3 в свою промежуточную среду ... как убедиться, чтоданные в Транзите также будут зашифрованы?

Наши данные S3 используют дефолтное шифрование SSE-S3 AES256.

Answer 1

Вы должны сделать пару вещей здесь:

1. используйте роли кросс-аккаунта , чтобы позволить им получить временные учетные данные
2. использовать политику сегмента S3, которая блокирует доступ по незащищенным каналам с помощью aws: SecureTransport (см. Ниже)

Примечание: это не помешает им сделать пару вещей, которых вы, вероятно, хотите избежать:

1. получение ваших данных из-за пределов региона AWS, что приводит к выходным сборам для вас
2. небезопасное копирование данных в другое место, после загрузки их

Пример политики S3 Bucket:

{
    "Version": "2012-10-17",
    "Id": "id1234",
    "Statement": [
        {
            "Sid": "sid1234",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::mybucket/*",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}