我们的组织正计划使用 Rekognition、Textract 等 AWS 托管服务。因为这些服务使用 S3 存储桶进行人脸比较和分析文档。问题是最终用户不应该能够访问我们组织之外的存储桶,有什么方法可以限制我组织中仅对 S3 存储桶的访问?存储桶可以由用户动态创建,因此访问控制应覆盖账户中的所有存储桶。我们还将 VPC 端点用于这些服务。
问问题
64 次
1 回答
0
无法配置 Rekognition,使其只能使用特定 AWS 账户中的存储桶。
默认情况下,Amazon S3 中的对象是私有的。您组织中的 IAM 用户将只能访问已通过其 IAM 用户的策略或存储桶本身的存储桶策略授予他们访问权限的存储桶。
如果用户在调用 Amazon Rekognition 时引用了 S3 对象,则用户必须有权通过 IAM 策略或存储桶策略访问存储桶。如果他们可以访问该对象,那么他们可以将该对象与 Rekognition 一起使用。
换言之,如果他们对某个对象具有一般访问权限(例如,下载该对象),那么他们可以将 Rekognition 与它一起使用。
于 2021-02-08T09:06:44.877 回答