Amazon web services S3跨账户数据传输_Amazon Web Services_Encryption_Amazon S3

Amazon web services S3跨账户数据传输

amazon-web-services encryption amazon-s3

Amazon web services S3跨账户数据传输,amazon-web-services,encryption,amazon-s3,Amazon Web Services,Encryption,Amazon S3,研究将数据从S3存储桶共享给外部合作伙伴。将在我们的VPC中设置AWS角色，并与外部合作伙伴共享。他们从系统中的访问将承担在我们的帐户中创建的AWS角色，并访问bucket。S3存储桶中的数据在rest中进行了加密假设外部供应商在担任该角色后……将数据从我们的S3存储桶复制到他们的暂存环境……如何确保传输中的数据也将被加密我们的S3数据使用的是defaule SSE-S3 AES256加密。您应该在这里做几件事：用于允许他们获取临时凭据使用S3 bucket策略，使用aws:Secure

研究将数据从S3存储桶共享给外部合作伙伴。将在我们的VPC中设置AWS角色，并与外部合作伙伴共享。他们从系统中的访问将承担在我们的帐户中创建的AWS角色，并访问bucket。S3存储桶中的数据在rest中进行了加密

假设外部供应商在担任该角色后……将数据从我们的S3存储桶复制到他们的暂存环境……如何确保传输中的数据也将被加密

我们的S3数据使用的是defaule SSE-S3 AES256加密。

您应该在这里做几件事：

用于允许他们获取临时凭据使用S3 bucket策略，使用aws:SecureTransport阻止通过不安全通道的访问，请参见下文注意：这不会阻止他们做一些你可能想避免的事情：

从AWS区域外检索数据，会导致您的出口费用下载数据后，以不安全的方式将数据复制到其他地方示例S3存储桶策略：

{
    "Version": "2012-10-17",
    "Id": "id1234",
    "Statement": [
        {
            "Sid": "sid1234",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::mybucket/*",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

我会试试上面的。但是，是否有可以为s3 bucket启用的客户端加密…这将需要在接收端使用主密钥对数据进行解密。通过这种方式，数据也可以通过不安全的通道发送……但是数据在传输过程中会被加密。很明显，在上传到S3之前和从S3下载之后，您可以实现任何您喜欢的加密，但也可以看看@MarkChimail aws:SecureTransport只是指HTTPS。S3只使用HTTP进行通信，这是此策略将阻止的。