A.将数据存储在单个Amazon S3存储桶中。为作业类型和业务部门的每种组合创建一个IAM角色,以允许基于S3存储桶中的对象前缀进行适当的读/写访问。这些角色应具有允许业务部门的AWS账户担任其角色的信任策略。在每个业务部门的AWS账户中,以防止他们担任其他职位类型的角色。用户可以通过其业务部门的AWS账户使用AssumeRole获得凭据来访问数据。然后,用户可以将这些凭据与S3客户端一起使用
B.将数据存储在单个Amazon S3存储桶中。白色存储桶策略,该策略使用条件根据每个用户的业务部门和作业类型在适当的情况下授予读写访问权限。确定具有访问存储段的AWS账户和IAMuser名称中带有前缀的作业类型的业务单位。用户可以通过S3客户端使用其业务部门的AWS账户中的IAM凭据来访问数据
C.将数据存储在一系列Amazon S3存储桶中。创建在Amazon EC2中运行的应用程序,该应用程序与公司的身份提供商(ldP)集成在一起,该身份提供商对用户进行身份验证,并允许他们通过该应用程序下载或上传数据。该应用程序使用ldP中的业务部门和职位类型信息来控制用户可以通过该应用程序上传和下载的内容。用户可以通过应用程序的AP1访问数据
D.将数据存储在一系列Amazon S3存储桶中。创建与公司的身份提供商(ldP)集成的AWS STS令牌自动售货机。当用户登录时,让令牌自动售货机附加一个IAM策略,该策略承担限制用户访问和/或仅上载用户有权访问的数据的角色。用户可以通过对令牌自动售货机的网站或API进行身份验证来获取凭据,然后将这些凭据用于S3客户端
