Atributos do Amazon S3

O Amazon S3 Storage Class Analysis analisa os padrões de acesso ao armazenamento para ajudar você a decidir quando fazer a transição dos dados certos para a classe de armazenamento certa. Esse recurso do Amazon S3 observa os padrões de acesso aos dados para ajudar você a determinar quando fazer a transição do armazenamento menos acessado para uma classe de armazenamento de menor custo. Você pode usar os resultados para ajudar a melhor as políticas do S3 Lifecycle. É possível configurar a análise da classe de armazenamento para analisar todos os objetos em um bucket. Ou você pode configurar filtros para agrupar objetos para a análise por prefixo comum, tags de objeto ou prefixo e tags. Para saber mais, visite a página de analytics e informações do armazenamento.

As Tabelas do Amazon S3 fornecem o primeiro armazenamento de objetos na nuvem com suporte integrado ao formato de tabela aberto, sendo a maneira mais fácil de armazenar dados em formato tabular em grande escala. As Tabelas do S3 são otimizadas especificamente para workloads de analytics, resultando em uma performance de consulta até três vezes mais rápida em comparação com tabelas do Iceberg não gerenciadas e transações até dez vezes maiores por segundo em comparação com tabelas do Iceberg armazenadas em buckets do S3 de uso geral. As Tabelas do S3 são compatíveis com o padrão do Apache Iceberg e podem ser facilmente consultadas por mecanismos de consulta conhecidos da AWS e de entidades externas. Além disso, as Tabelas do S3 foram desenvolvidas para realizar manutenção contínua das tabelas, otimizando automaticamente a eficiência das consultas e os custos de armazenamento ao longo do tempo, mesmo com o crescimento e a evolução do seu data lake.

As Tabelas do S3 usam buckets de tabelas, um tipo de bucket desenvolvido com o propósito específico de armazenar dados em formato tabular. Com os buckets de tabelas, é possível simplificar a criação de tabelas e a configuração das permissões por tabela para gerenciar o acesso ao data lake. Em seguida, você pode carregar e consultar dados nas suas tabelas usando SQL padrão e aproveitar as funcionalidades avançadas de analytics do Apache Iceberg, como transações em nível de linha, snapshots consultáveis, evolução de esquema e muito mais. Os buckets de tabela também fornecem manutenção de tabela orientada por políticas, ajudando a automatizar tarefas operacionais, como compactação, gerenciamento de snapshots e remoção de arquivos não referenciados.

O Amazon S3 oferece suporte a casos de uso de residência e isolamento de dados quando você precisa armazená-los em um perímetro de dados específico. Caso tenha requisitos de residência de dados que não podem ser atendidos por uma região da AWS existente, use as classes de armazenamento do S3 em zonas locais dedicadas da AWS ou o S3 em racks do Outposts para armazenar seus dados em um perímetro de dados específico. Isso amplia o Compromisso de soberania digital da AWS, nosso compromisso de oferecer o conjunto mais avançado de controles e atributos de soberania na nuvem.

Por padrão, para proteger os dados no Amazon S3, os usuários só têm acesso aos recursos do S3 que criam. Você pode conceder acesso a outros usuários usando um ou uma combinação dos seguintes atributos de gerenciamento de acesso: AWS Identity and Access Management (IAM) para criar usuários e gerenciar seus respectivos acessos; Listas de controle de acesso (ACLs) para tornar objetos individuais acessíveis a usuários autorizados; políticas de bucket para configurar permissões para todos os objetos dentro de um único bucket do S3; Pontos de acesso do S3 para simplificar o gerenciamento do acesso a dados em conjuntos de dados compartilhados, criando pontos de acesso com nomes e permissões específicos para cada aplicação ou conjunto de aplicações; Concessões de acesso do S3 para gerenciar permissões de dados em grande escala, concedendo automaticamente acesso para o S3 aos usuários finais com base em sua identidade corporativa; e Autenticação de sequência de consulta para conceder acesso por tempo limitado a outros com URLs temporários. O Amazon S3 também oferece suporte a logs de auditoria que listam as solicitações feitas em seus recursos do S3 para oferecer visibilidade total sobre quem está acessando quais dados.

O Amazon S3 oferece atributos de segurança flexíveis para impedir que usuários não autorizados acessem seus dados. Use endpoints da VPC para conectar aos recursos do S3 a partir do Amazon Virtual Private Cloud (Amazon VPC) e de on-premises. O Amazon S3 criptografa todos os novos dados carregados em qualquer bucket (a partir de 5 de janeiro de 2023). O Amazon S3 oferece suporte à criptografia do lado do servidor (com quatro opções de gerenciamento de chaves) e à criptografia do lado do cliente para uploads de dados (consulte o Guia do usuário do Amazon S3 para obter mais informações sobre criptografia de dados com o S3). Use o S3 Inventory para verificar o status de criptografia dos objetos do S3 (consulte gerenciamento de armazenamento para obter mais informações sobre o S3 Inventory).

O S3 Block Public Access é um conjunto de controles de segurança que garantem que buckets e objetos do S3 não tenham acesso público. A opção de bloquear acesso público é ativada por padrão para todos os novos buckets. Com alguns cliques no console do Amazon S3, você pode aplicar as configurações do S3 Block Public Access a todos os buckets em sua conta da AWS ou a buckets do S3 específicos. Depois das configurações serem aplicadas a uma conta da AWS, elas são propagadas aos buckets e objetos novos ou existentes associados à essa conta e o acesso público a eles fica bloqueado. As configurações do S3 Block Public Access substituem outras permissões de acesso do S3. Assim, fica mais fácil para o administrador da conta impor uma política que bloqueie o acesso público, independentemente de como um objeto é adicionado, de como um bucket é criado ou da existência de permissões de acesso. Os controles do S3 Block Public Access são auditáveis, fornecem uma camada adicional de controle e usam as verificações de permissão de bucket do AWS Trusted Advisor, os logs do AWS CloudTrail e os alarmes do Amazon CloudWatch. Você deve habilitar a opção de bloquear acesso público para todas as contas e buckets que não deseja tornar publicamente acessíveis.

O S3 Object Ownership é um atributo que desabilita as listas de controle de acesso (ACLs), alterando a propriedade de todos os objetos para o proprietário do bucket e simplificando o gerenciamento de acesso aos dados armazenados no S3. Quando você define a configuração Proprietário do bucket aplicado do S3 Object Ownership, as ACLs deixam de afetar as permissões do seu bucket e dos objetos nele. Todo o controle de acesso será definido por meio de políticas baseadas em recursos, políticas de usuário ou uma combinação delas. Antes de desativar as ACLs, revise suas ACLs de bucket e objeto. Para identificar solicitações do Amazon S3 que exigiam ACLs para autorização, você pode usar o campo aclRequired nos logs de acesso ao servidor do Amazon S3 ou AWS CloudTrail.

Usando os Pontos de Acesso do S3 que estão restritos a uma nuvem privada virtual (VPC), você pode proteger facilmente os dados do S3 dentro da sua rede privada. Além disso, você pode usar Políticas de controle de serviço da AWS para exigir que qualquer novo Ponto de Acesso do S3 em sua organização seja restrito ao acesso somente à VPC.

O IAM Access Analyzer para S3 é um atributo que ajuda a simplificar o gerenciamento de permissões conforme você define, verifica e refina políticas para seus buckets e pontos de acesso do S3. O Access Analyzer for S3 monitora suas políticas de acesso ao bucket para verificar se elas fornecem apenas o acesso necessário aos seus recursos S3. O Access Analyzer for S3 avalia suas políticas de acesso ao bucket para que você possa remediar rapidamente qualquer bucket com acesso desnecessário. Ao analisar resultados que mostram acesso potencialmente compartilhado a um bucket, você pode bloquear o acesso público ao bucket com um único clique no console do S3. Para fins de auditoria, é possível baixar as descobertas do Access Analyzer for S3 com um relatório CSV. Além disso, o console do S3 reporta avisos de segurança, erros e sugestões do IAM Access Analyzer à medida que você cria suas políticas do S3. O console executa automaticamente mais de 100 verificações de política para validar suas políticas. Essas verificações economizam tempo, orientam você para resolver erros e ajudam a aplicar práticas recomendadas de segurança.

O IAM facilita a análise de acesso e a redução de permissões para obter o menor privilégio fornecendo o carimbo de data/hora de quando um usuário ou função usou o S3 pela última vez e as ações associadas. Use essas informações de “último acesso” para analisar o acesso do S3, identificar permissões não usadas e removê-las com confiança. Para saber mais, consulte Refinar permissões usando dados acessados mais recentemente.

Você pode usar o Amazon Macie para descobrir e proteger dados sensíveis armazenados no Amazon S3. O Macie reúne automaticamente um inventário completo do S3 e avalia continuamente cada bucket para alertar sobre quaisquer buckets com acesso público, buckets não criptografados ou buckets compartilhados ou replicados com contas da AWS fora da sua organização. Em seguida, o Macie aplica técnicas de machine learning e de correspondência de padrões aos buckets selecionados para identificar e alertar sobre dados confidenciais, tais como informações de identificação pessoal (PII). À medida que descobertas de segurança são geradas, elas são enviadas para o Amazon CloudWatch Events, facilitando a integração com sistemas de fluxo de trabalho existentes e para acionar correções automatizadas com serviços como o AWS Step Functions para ações como fechar um bucket público ou adicionar tags de recursos.

O AWS PrivateLink para S3 oferece conectividade privada entre o Amazon S3 e o ambiente on-premises. Você pode provisionar endpoints da VPC para S3 em sua VPC para conectar suas aplicações on-premises diretamente ao S3 via AWS Direct Connect ou AWS VPN. As solicitações para fazer interface de VPC endpoints para o S3 são roteadas para o S3 pela rede da Amazon. Você pode definir grupos de segurança e configurar políticas de endpoint da VPC para os endpoints da VPC de sua interface para obter mais controles de acesso.

Saiba mais acessando Gerenciamento e segurança de acesso do S3, o e-book sobre segurança e proteção de dados do S3 e proteção de dados no Amazon S3.

O AWS Data Exchange para Amazon S3 acelera o tempo de obtenção de informações com acesso direto aos dados do Amazon S3 dos provedores de dados. O AWS Data Exchange para Amazon S3 ajuda você a encontrar, assinar e usar facilmente arquivos de dados de terceiros para otimização de custos de armazenamento, gerenciamento simplificado de licenciamento de dados e muito mais. Destina-se a assinantes que desejam usar facilmente arquivos de dados de terceiros para análise de dados com serviços da AWS sem precisar criar ou gerenciar cópias de dados. Também é útil para provedores de dados que desejam oferecer acesso in-loco aos dados hospedados em seus buckets do Amazon S3.

Uma vez autorizados a acessar um conjunto de dados do AWS Data Exchange para Amazon S3, os assinantes de dados podem executar análises de dados sem precisar configurar seus próprios buckets do S3, copiar arquivos de dados para esses buckets do S3 ou pagar as taxas de armazenamento associadas. As análises de dados podem ser realizadas com serviços da AWS, como Amazon Athena, Amazon SageMaker Feature Store ou Amazon EMR. Como os assinantes acessam os mesmos objetos do S3 mantidos pelo provedor de dados, usam sempre os dados mais atualizados disponíveis, sem necessidade de trabalho adicional de engenharia ou operações. Os provedores de dados podem configurar facilmente o AWS Data Exchange para Amazon S3 com base em buckets do S3 existentes para compartilhar o acesso direto a um bucket do S3 inteiro ou prefixos e objetos específicos do S3. Após a configuração, o AWS Data Exchange gerencia automaticamente assinaturas, autorizações, faturamento e pagamentos.

O Amazon S3 fornece a melhor performance do setor para o armazenamento de objetos na nuvem. O Amazon S3 suporta solicitações paralelas, ou seja, você pode escalar a performance do S3 pelo fator do cluster de computação sem fazer nenhuma personalização na aplicação. A performance é escalada por prefixo, para que você possa usar quantos prefixos forem necessários em paralelo para atingir a taxa de transferência necessária. Não há limites quanto ao número de prefixos. A performance do Amazon S3 suporta, pelo menos, 3.500 solicitações por segundo para adicionar dados e 5.500 solicitações por segundo para recuperar dados. Cada prefixo do S3 pode dar suporte a essas taxas de solicitação, simplificando muito o aumento da performance.

Para conseguir essa performance da taxa de solicitação do S3, pode ser necessário randomizar os prefixos do objeto para conseguir uma performance mais rápida. Isso significa que você pode usar padrões de nomenclatura lógicos ou sequenciais nos objetos do S3 sem nenhuma implicação na performance. Consulte as Diretrizes de performance do Amazon S3 e os Padrões de design da performance do Amazon S3 para ter as informações mais atuais sobre a otimização da performance do Amazon S3.