使用Tag Policies和Service Control Policies控制对包含 PII 数据的 AWS 资源的访问

这种模式提供了一种集中管理的技术，用于限制对标记为 "PII "的 AWS 资源的访问。标记过程由客户在部署资源时完成。此模式适用的资源包括 S3、EKS 和 EC2，但也可轻松扩展到其他资源，如参数存储。

通过使用 AWS Organization，可以定义一套集中管理的策略。这方面的一个例子如下：

• 可以指定要求特定类型的 AWS 资源，在部署时必须使用 "PII "请求标签。

• 如果使用 "PII=True "资源标签定义的 AWS 资源，则除指定的管理员组外，任何用户、组或角色都不能对该资源执行特定操作。

• 可以通过标签筛选拥有PII数据的资源，简单地说，标记为 "PII=True "的资源拥有 PII 数据。标记为 "PII=False "的资源已被证实没有 PII 数据。

先决条件和限制

使用此模式需要以下前提条件：

• 用户必须使用 AWS Organizations创建了Organization，并且 AWS accounts是AWS Organization的成员。可以是使用Control Tower 或者其他集中部署和治理方法。

• 清楚哪些AWS服务涉及存放PII数据，在本内容中，以S3, EKS 和 EC2为例子。