我们的组织计划使用 Rekognition、Textract 等 AWS 托管服务。由于这些服务使用 S3 存储桶进行人脸比较和分析文档。问题是最终用户不应该能够访问我们组织之外的存储桶,有什么方法可以限制我组织中仅 S3 存储桶的访问权限?用户可以动态创建存储桶,因此访问控制应涵盖帐户中的所有存储桶。 我们还将 VPC 端点用于这些服务。
答案 0 :(得分:0)
无法将 Rekognition 配置为只能使用特定 AWS 账户内的存储桶。
Amazon S3 中的对象默认是私有的。您组织中的 IAM 用户只能访问已通过其 IAM 用户策略或通过存储桶本身的存储桶策略授予他们访问权限的存储桶。
如果用户在调用 Amazon Rekognition 时引用了 S3 对象,则该用户必须有权通过 IAM 策略或存储桶策略访问存储桶。如果他们可以访问该对象,则他们可以通过 Rekognition 使用该对象。
换句话说,如果他们拥有对对象的一般访问权限(例如下载对象),那么他们可以将 Rekognition 与它一起使用。