S3跨账户数据传输

Question

正在考虑将数据从我们的S3存储桶共享给我们的外部合作伙伴。将在我们的VPC中设置一个AWS角色，并与我们的外部合作伙伴共享。他们从系统的访问将承担我们帐户中创建的AWS角色并访问存储桶。我们的S3存储桶中的数据已加密@rest ...

假设外部供应商在担任角色之后...将数据从我们的S3存储桶复制到其暂存环境...如何确保Transit中的数据也将被加密？

我们的S3数据使用默认的SSE-S3 AES256加密。

Answer 1

您应该在这里做几件事：

1. 使用cross-account roles允许他们获取临时凭据
2. 使用S3存储桶策略，该策略使用aws：SecureTransport阻止不安全通道的访问（请参见下文）

注意：这不会阻止他们做一些您可能想避免的事情：

1. 从AWS区域之外检索数据，从而为您收取出口费用
2. 以不安全的方式将数据复制到其他地方， 之后，他们下载了数据

S3存储桶策略示例：

{
    "Version": "2012-10-17",
    "Id": "id1234",
    "Statement": [
        {
            "Sid": "sid1234",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::mybucket/*",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}