A.將數(shù)據(jù)存儲在單個Amazon S3存儲桶中。為作業(yè)類型和業(yè)務(wù)部門的每種組合創(chuàng)建一個IAM角色,以允許基于S3存儲桶中的對象前綴進行適當(dāng)?shù)淖x/寫訪問。這些角色應(yīng)具有允許業(yè)務(wù)部門的AWS賬戶擔(dān)任其角色的信任策略。在每個業(yè)務(wù)部門的AWS賬戶中,以防止他們擔(dān)任其他職位類型的角色。用戶可以通過其業(yè)務(wù)部門的AWS賬戶使用AssumeRole獲得憑據(jù)來訪問數(shù)據(jù)。然后,用戶可以將這些憑據(jù)與S3客戶端一起使用
B.將數(shù)據(jù)存儲在單個Amazon S3存儲桶中。白色存儲桶策略,該策略使用條件根據(jù)每個用戶的業(yè)務(wù)部門和作業(yè)類型在適當(dāng)?shù)那闆r下授予讀寫訪問權(quán)限。確定具有訪問存儲段的AWS賬戶和IAMuser名稱中帶有前綴的作業(yè)類型的業(yè)務(wù)單位。用戶可以通過S3客戶端使用其業(yè)務(wù)部門的AWS賬戶中的IAM憑據(jù)來訪問數(shù)據(jù)
C.將數(shù)據(jù)存儲在一系列Amazon S3存儲桶中。創(chuàng)建在Amazon EC2中運行的應(yīng)用程序,該應(yīng)用程序與公司的身份提供商(ldP)集成在一起,該身份提供商對用戶進行身份驗證,并允許他們通過該應(yīng)用程序下載或上傳數(shù)據(jù)。該應(yīng)用程序使用ldP中的業(yè)務(wù)部門和職位類型信息來控制用戶可以通過該應(yīng)用程序上傳和下載的內(nèi)容。用戶可以通過應(yīng)用程序的AP1訪問數(shù)據(jù)
D.將數(shù)據(jù)存儲在一系列Amazon S3存儲桶中。創(chuàng)建與公司的身份提供商(ldP)集成的AWS STS令牌自動售貨機。當(dāng)用戶登錄時,讓令牌自動售貨機附加一個IAM策略,該策略承擔(dān)限制用戶訪問和/或僅上載用戶有權(quán)訪問的數(shù)據(jù)的角色。用戶可以通過對令牌自動售貨機的網(wǎng)站或API進行身份驗證來獲取憑據(jù),然后將這些憑據(jù)用于S3客戶端