亚马逊云科技云上的数据边界

数据边界是亚马逊云科技环境中的一组预防性防护机制，用来确保只有您的可信身份才能访问来自预期网络的可信资源。数据边界防护机制旨在充当始终在线的边界，来帮助保护您在各种亚马逊云科技账户和资源中的数据。这些组织范围的防护机制并不能取代您现有的细粒度访问控制。相反，这些防护机制通过确保所有 Amazon Identity and Access Management（IAM）用户、角色和资源都遵守一组定义的安全标准来帮助改进安全策略。

可信身份：您的亚马逊云科技账户中的主体（IAM 角色或用户），或代表您行事的亚马逊云科技服务。

可信资源：您的亚马逊云科技账户或代表您行事的亚马逊云科技服务所拥有的资源。

预期网络：您的本地数据中心和虚拟私有云（VPC），或代表您行事的亚马逊云科技服务网络。
 

您可以使用权限防护机制来建立数据边界，限制组织边界之外的访问（通常是使用 Amazon Organizations 创建的组织）。以下是用于在亚马逊云科技云上建立数据边界的三种主要亚马逊网络服务功能：

• 基于资源的策略：附加到资源的策略。例如，您可以将基于资源的策略附加到 Amazon Simple Storage Service（Amazon S3）存储桶、Amazon Simple Queue Service（Amazon SQS）队列和 Amazon Key Management Service（KMS）加密密钥。有关支持基于资源的策略的服务列表，请参阅与 IAM 搭配使用的亚马逊云科技服务。基于资源的策略根据调用主体和主体从中调用的网络来筛选访问权限。
• 服务控制策略（SCP）：组织策略，可用于为组织内的主体（IAM 角色或用户）设定最大可用权限。SCP 将限制您的身份访问超出控制范围的资源或网络外部的资源。 
• VPC 端点策略：附加到 VPC 端点的策略，用于控制使用 VPC 端点可以访问哪些主体、操作和资源。有关支持 VPC 端点和 VPC 端点策略的服务列表，请参阅与 Amazon PrivateLink 集成的亚马逊云科技服务。VPC 端点策略可以无缝检查进行 API 调用的主体和主体尝试访问的资源。