除 root 登录名外，默认情况下，Amazon S3中的所有内容均为私有。除非通过IAM或存储桶策略授予权限，否则没有用户可以访问它。

因此，简单的答案是仅授予对应具有访问权限的特定实体的访问权限。如果组织希望授予“管理员”访问权限，并且该策略可能授予对所有Amazon S3存储桶的访问权限，则这将变得稍微复杂一些。可以通过应用覆盖了“允许”策略的拒绝策略来更正此问题。例如，管理员可能具有“允许访问所有S3存储桶”的权限，但是“拒绝”策略随后可能会删除他们对特定存储桶的访问权限。

在Amazon S3中保​​存超敏感信息的地方，通常的做法是将敏感数据放在不同 AWS账户的Amazon S3存储桶中。这样，即使是管理员和 root 登录名也无法访问存储桶。只有其他帐户的root登录才能获得访问权限。

另一种常见做法是使用多重身份验证（MFA）（例如physical device）保护根登录名，然后将该物理设备锁定在安全的位置。或者，将密码分为两半，每个人各占一半。这样可以防止使用root登录，但可以在紧急情况下使用它。

加密信息很好，但是，如果应用程序能够对其进行解密，那么有权访问应用程序源代码的人也可以弄清楚如何对其进行解密。即使加密密钥保存在AWS Secrets Manager中，root登录名也可以访问这些秘密。

底线：：使用已锁定的物理MFA保护root登录，然后根据需要使用IAM策略授予访问权限。

此外，请注意如何授予应用程序访问权限。如果是通过IAM角色完成的，则请确保其他人不能承担该角色并自己获得相同的访问权限。