Amazon S3对象默认为私有。除非获得许可，否则AWS账户内外的任何人都无法访问数据。

很容易防止访问外部人员（他们没有AWS账户的凭据），因为他们访问数据的唯一方法是是否有允许访问的S3存储桶策略，或者是否允许他们承担IAM角色。

内部会带来更多挑战。您说要防止将数据复制到用户的个人AWS账户。通过不授予对源S3存储桶的访问权限，可以轻松完成此操作。但是，一旦他们可以出于正常商业目的进行访问，就可以按自己的意愿下载/复制对象。复制命令只是从一个位置读取数据并将其复制到其他位置，这与出于正常业务目的读取数据是没有区别的。

一些公司竭尽全力，例如仅当通过特定IP地址或网络连接访问数据时才授予许可，这些IP地址或网络连接映射到具有USB端口和软盘的计算机房磁盘驱动器已禁用。

最好的方法是不授予对生产数据的访问权限。仅允许生产应用访问生产数据。

底线：：如果您不希望人们访问数据，请不授予他们访问权限。但是，如果您做授予访问权限，则很难限制他们对数据的处理方式。