Amazon web services IAM S3仅将数据复制到作为组织一部分的客户

是否有办法限制S3数据的复制仅限于作为组织一部分的AWS帐户

---

我已经研究了使用IAM策略、Bucket策略和边界，但我看不到如何根据目标AWS帐户信息限制或允许默认情况下Amazon S3对象是私有的。除非授予权限，否则AWS帐户内外的任何人都不能访问数据

很容易阻止访问外部人员（他们没有AWS帐户的凭据），因为他们访问数据的唯一方式是有允许访问的S3 Bucket策略，或者有允许他们担任的IAM角色

然而，内部的将带来更多的挑战。您说要防止数据复制到用户的个人AWS帐户。这可以通过不授予对源S3 bucket的访问权来轻松实现。但是，一旦他们有了正常业务用途的访问权限，他们就可以随心所欲地下载/复制对象。复制命令只是从一个位置读取数据并复制到其他位置，这与为正常业务目的读取数据是无法区分的

有些公司走极端，例如只有在通过特定IP地址或网络连接访问数据时才授予权限，这些IP地址或网络连接映射到禁用USB端口和软盘驱动器的计算机房间

最好的方法是不授予对生产数据的访问权。仅允许生产应用程序访问生产数据

---

底线：如果你不想让人们访问数据，那么不要授予他们访问权限。但是，如果您授予访问权限，则很难限制他们对数据的操作。

您所说的“S3数据复制”是什么意思？您指的是跨区域复制和同一区域复制吗。此外，您如何定义“组织”？您使用的是AWS组织吗？没错，我们使用的是AWS Organizations@JohnRotenstein我试图阻止的情况是数据被复制/复制/移动到组织外部的S3存储桶，例如用户个人AWS帐户。感谢@JohnRotenstein提供的信息。从S3下载信息表示PC受到限制我试图阻止的具体情况是，S3存储桶中的数据被复制/移动/复制到另一个不属于组织的S3存储桶中。听上去这是不可能的。如果人们没有被授予做事情的权限，他们就不能做事情，所以这取决于他们被授予的权限。您目前如何限制“将信息从S3下载到PC”？这是通过S3策略实现的吗？