Объекты Amazon S3 по умолчанию являются закрытыми. Никто внутри или вне учетной записи AWS не может получить доступ к данным, если не предоставлены разрешения.
Легко запретить доступ к внешним пользователям (у которых нет учетных данных для учетной записи AWS), посколькуЕдинственный способ, которым они могут получить доступ к данным, - это если есть политики S3 Bucket, которые разрешают доступ, или если есть роли IAM, которые им разрешено принимать.
Внутренний , однако, создаст больше проблем,Вы говорите, что хотите предотвратить копирование данных в личную учетную запись AWS пользователя. Это может быть легко достигнуто , если не предоставить доступ к исходной корзине S3. Однако, как только они получат доступ для обычных деловых целей, они смогут загружать / копировать объекты по своему усмотрению. Команда копирования просто считывает данные из одного местоположения и копирует в другое место, что неотличимо от чтения данных в обычных деловых целях.
Некоторые компании идут на все, например, предоставляют разрешение только тогда, когда данныедоступ через определенный IP-адрес или сетевое соединение, которое сопоставляется с комнатой компьютеров с отключенными USB-портами и дисководами гибких дисков.
Наилучшим способом является , а не предоставить доступ к производственным данным. Разрешить только производственным приложениям доступ к производственным данным.
Итог: Если вы не хотите, чтобы люди имели доступ к данным, не предоставляют им доступ . Однако, если вы делаете предоставите доступ, будет трудно ограничить то, что они затем делают с данными.