مستوى غير مسبوق من الأمان والامتثال وإمكانيات التدقيق

خزِّن بياناتك في Amazon S3 وأمِّنها من الوصول غير المصرح به وذلك باستخدام ميزات التشفير وأدوات إدارة إمكانيات الوصول. تشفر S3 كل عمليات تحميل الكائنات إلى كل الحاويات. S3 هي خدمة تخزين الكائنات الوحيدة التي تسمح لك بحظر الوصول العام إلى جميع الكائنات الخاصة بك في الحاوية أو مستوى الحساب باستخدام S3 Block Public Access. تضم خدمة S3 العديد من برامج الامتثال، مثل معايير PCI-DSS، وHIPAA/HITECH، وFedRAMP، وتوجيه الاتحاد الأوروبي بشأن حماية البيانات، وFISMA وذلك لمساعدتك على الوفاء بالمتطلبات التنظيمية. كما تدعم خدمة AWS مجموعةً كبيرةً من إمكانات التدقيق لرصد طلبات الوصول إلى موارد S3 الخاصة بك.

مقدمة حول الأمان وإدارة الوصول في Amazon S3 ‏(3:05)

إدارة الوصول والأمان في Amazon S3

يتمتع المستخدمون فقط بحق الوصول إلى موارد S3 التي يقومون بإنشائها بشكل افتراضي، لحماية بياناتك الموجودة في Amazon S3. يمكنك منح الوصول إلى مستخدمين آخرين باستخدام ميزة واحدة أو مجموعة من ميزات إدارة الوصول التالية: AWS Identity and Access Management (IAM) لإنشاء مستخدمين وإدارة وصولهم المعني؛ و قوائم التحكم بالوصول (ACL) لجعل العناصر الفردية يمكن الوصول إليها من جانب المستخدمين المصرح لهم؛ و سياسات الحاوية لتكوين الأذونات لجميع العناصر داخل حاوية S3 واحدة؛ و مصادقة سلسلة الاستعلام لمنح الوصول محدد الوقت للآخرين باستخدام عناوين URL مؤقتة. كذلك، يدعم Amazon S3 سجلات التدقيق التي تسرد الطلبات التي تمت على موارد S3 للرؤية الكاملة فيما يتعلق بمن يحق له الوصول ونوع البيانات.

حظر وصول عامة المستخدمين

حظر وصول عامة المستخدمين

من خلال بضع نقرات في وحدة إدارة S3، يمكنك تطبيق حظر وصول عامة المستخدمين إلى S3 على كل حاوية بيانات في حسابك - سواءً الحاوية الحالية أو أية حاويات جديدة سيتم إنشاؤها في المستقبل - وتأكد من عدم وجود أي إمكانية لوصول العامة إلى أي عنصر. يكون الإعداد "حظر الوصول العام" مُفعلًا بطريقة افتراضية في جميع الحاويات الجديدة. لتقييد الوصول إلى جميع الحاويات الموجودة في حسابك، يمكنك تمكين حظر الوصول العام على مستوى الحساب. تسري إعدادات حظر وصول عامة المستخدمين إلى S3 محل أذونات S3 الأخرى التي تسمح بوصول عامة المستخدمين، ما ييسر على مسؤول الحساب إعداد تحكم مركزي لمنع الاختلاف في تكوين الأمان بغض النظر عن كيفية إضافة عنصر أو كيفية إنشاء حاوية.

ميزة Object Lock

ميزة Object Lock

إن ميزة Amazon S3 Object Lock تمنع حذف إصدار للعنصر خلال فترة الاحتفاظ به التي يحددها العميل، وبالتالي يمكنك فرض سياسات للاحتفاظ بالعنصر باعتبار ذلك مستوىً إضافيًا من حماية البيانات أو للالتزام باللوائح التنظيمية. ويمكنك ترحيل أعباء الأعمال من الأنظمة التي تتيح الكتابة لمرة واحدة والقراءة لعدة مرات (WORM) والموجودة حاليًا إلى خدمة Amazon S3، وتكوين ميزة S3 Object Lock على مستوى الكائن والحاوية لمنع حذف إصدار الكائن قبل انقضاء فترة الاحتفاظ به المحددة مسبقًا بتواريخ معينة أو قبل حلول تواريخ الحيازة القانونية.

ميزة Object Ownership

ميزة Object Ownership

تعمل ميزة Amazon S3 Object Ownership على تعطيل قوائم التحكم بالوصول (ACL) مما يتيح نقل ملكية كل الكائنات إلى مالك الحاوية، وكذلك تبسيط إدارة الوصول بالنسبة للبيانات المخزنة في S3. وعند تكوين إعداد فرض مالك الحاوية في S3 Object Ownership، لن تؤثر قوائم التحكم بالوصول بعد ذلك في الأذونات اللازمة للوصول إلى حاويتك والكائنات المخزنة فيها. سيتم تحديد كل عناصر التحكم بالوصول باستخدام السياسات القائمة على الموارد، أو سياسات المستخدم، أو مزيج منهما. يتم تعطيل قوائم ACL تلقائيًا للحاويات الجديدة. يمكنك استخدام S3 Inventory لمراجعة استخدام قوائم ACL في حاويات البيانات الخاصة بك قبل تمكين ملكية كائن S3 عند الترحيل إلى سياسات الحاويات المستندة إلى IAM. لمزيد من المعلومات، يمكنك الرجوع إلى التحكم في ملكية الكائن.

إدارة الهوية والوصول

إدارة الهوية والوصول

بالوضع الافتراضي، تكون جميع موارد Amazon S3- وهي الحاويات والكائنات والموارد الفرعية ذات الصلة- خاصة: لا يُمكن إلا لمالك الموارد، الذي أنشأ حساب AWS، الوصول إلى المورد. تقدم Amazon S3 خيارات سياسة الوصول على نطاق واسع وتصنف حسب السياسات التي تستند إلى المورد وسياسات المستخدم. قد تختار استخدام سياسات قائمة على الموارد، أو سياسات المستخدم، أو مزيج منهما لإدارة الأذونات اللازمة لموارد Amazon S3 لديك. تعود ملكية كائن S3 افتراضيًا إلى الحساب الذي أنشأ الكائن، بما في ذلك عندما يختلف هذا الحساب عن مالك الحاوية. يمكنك استخدام ميزة S3 Object Ownership في تعطيل قوائم التحكم بالوصول وتغيير هذا السلوك. وفي هذه الحالة، تعود ملكية كل كائن في الحاوية إلى مالك الحاوية. لمزيد من المعلومات، يمكنك الرجوع إلى إدارية الهوية والوصول في Amazon S3.

Amazon Macie

Amazon Macie

اكتشف بياناتك الحساسة واحمِها على نطاق واسع في Amazon S3 مع Amazon Macie. تمدك Macie تلقائيًا بالمحتوى الكامل لحاويات S3 عن طريق مسح الحاويات لتعريف البيانات وتصنيفها. وتحصل على نتائج أمان قابلة للتنفيذ تسرد أي بيانات تلائم أنواع البيانات الحساسة هذه، بما في ذلك معلومات التعريف الشخصي (على سبيل المثال، أسماء العملاء وأرقام بطاقات الائتمان)، والفئات التي تحددها لوائح الخصوصية، مثل النظام الأوروبي العام لحماية البيانات (GDPR) وقانون قابلية الحمل والمساءلة على التأمين الصحي (HIPAA). كذلك، تعمل Macie تلقائيًا على تقييم عناصر التحكم الوقائية على مستوى الحاويات غير مشفرة أو إمكانية الوصول العامة أو المشتركة مع الحسابات خارج مؤسستك، ما يسمح لك بمعالجة الإعدادات غير المقصودة على الحاويات سريعًا.

التشفير

التشفير

تشفر Amazon S3 تلقائيًا كل عمليات تحميل الكائنات إلى كل الحاويات. بالنسبة إلى عمليات تحميل الكائنات، تدعم Amazon S3 التشفير من جانب الخادم بأربعة خيارات إدارة رئيسية: SSE-S3 (المستوى الأساسي للتشفير) وSSE-KMS وDSSE-KMS وSSE-C، بالإضافة إلى التشفير من جانب العميل. تقدم Amazon S3 ميزات أمان مرنة لحظر المستخدمين غير المصرح لهم بالوصول إلى البيانات الخاصة بك. استخدم نقاط نهاية VPC للاتصال بموارد S3 من السحابة الخاصة الافتراضية بـ Amazon (Amazon VPC). استخدم S3 Inventory للتحقق من حالة تشفير عناصر S3 (انظر إدارة التخزين للحصول على المزيد من المعلومات عن مخزون S3).

فيديو: نظرة عامة على تشفير البيانات في Amazon S3 »

AWS Trusted Advisor

AWS Trusted Advisor

تفحص خدمة Trusted Advisor بيئة AWS لديك، ثم تطرح توصيات عند إتاحة الفرص اللازمة للمساعدة في سد الثغرات الأمنية. 

وتتضمن خدمة Trusted Advisor عمليات التحقق المتعلقة بخدمة Amazon S3 وهي: تكوين تسجيل حاويات Amazon S3، وعمليات التحقق من الأمان في حاويات Amazon S3 التي تحتوي على أذونات وصول مفتوحة، وعمليات التحقق الخاصة بمعالجة الخلل في حاويات Amazon S3 التي لا يمكن تعيين الإصدار بها أو يكون تعيين الإصدار بها متوقفًا مؤقتًا.

AWS PrivateLink لأجل S3

الوصول إلى Amazon S3 مباشرةً كنقطة نهاية خاصة داخل شبكتك الافتراضية الآمنة مع AWS PrivateLink for S3. يمكن تبسيط بنية الشبكة عن طريق الاتصال مع S3 من موقع العمل أو في السحابة باستخدام عناوين IP الخاصة من سحابة خاصة افتراضية (VPC). لم تعد بحاجة إلى استخدام عناوين IP العامة أو تكوين قواعد جدار الحماية أو تكوين بوابة إنترنت للوصول إلى S3 من الموقع.

التحقق من سلامة البيانات

التحقق من سلامة البيانات

اختر من بين أربعة خوارزميات مدعومة من خوارزميات المجموع الاختباري (SHA-1، أوSHA-256، أوCRC32، أوCRC32C) للتحقق من سلامة البيانات في طلبات التحميل والتنزيل. يمكنك تلقائيًا حساب المجاميع الاختبارية والتحقق منها عندما تخزن البيانات أو تستردها من Amazon S3، ويمكنك الوصول إلى معلومات المجموع الاختباري في أي وقت باستخدام واجهة برمجة تطبيقات GetObjectAttributes S3 أو تقرير S3 Inventory.

حديث تقني: ابدأ استخدام المجموعات الاختبارية في Amazon S3 للتحقق من سلامة البيانات » المدونة: إنشاء مجموعات اختبارية قابلة للتوسع » المدونة: تمكين المجموعات الاختبارية الإضافية للكائنات الموجودة في Amazon S3 والتحقق من صحتها »

طريقة العمل

  • AWS PrivateLink for Amazon S3
  • إنشاء اتصال خاص مباشر من مواقع العمل المحلية إلى Amazon S3. للبدء، يُرجى قراءة وثائق AWS PrivateLink for S3

    الأمان مع AWS PrivateLink for S3
  • Amazon Macie
  • اكتشف بياناتك الحساسة وقم بحمايتها على نطاق واسع. للبدء مع Amazon Macie، قم بزيارة الموقع الإلكتروني.

    الأمان مع Amazon Macie
  • S3 Block Public Access
  • قم بحظر وصول عامة المستخدمين لبيانات Amazon S3 الخاصة بك، الآن وفي المستقبل. لمعرفة مزيد من المعلومات حول S3 Block Public Access، قم بزيارة صفحة الويب.

    الأمان مع S3 Block Public Access
  • Amazon GuardDuty لأجل S3
  • حماية بيانات Amazon S3 مع الكشف الذكي عن التهديدات والمراقبة المستمرة. لمزيد من المعلومات حول Amazon GuardDuty for Amazon S3، تفضل بزيارة صفحة الويب.

    الأمان مع Amazon GuardDuty for S3

موارد الأمان وإدارة الوصول والتشفير وحماية البيانات في Amazon S3

اقرأ الأمان وحماية البيانات في Amazon S3 للتعرُّف على الأدوات وأفضل الممارسات لإدارة الوصول والتدقيق والمراقبة وحماية البيانات.

في هذا الفيديو الذي يتناول نظرة عامة حول حماية البيانات في Amazon S3، ستتعرَّف على ميزات حماية البيانات الأصلية في Amazon S3 بما يشمل S3 Versioning وS3 Object Lock وS3 Replication. أيضًا ستحصل على نظرة عامة موجزة عن كل ميزة من ميزات حماية بيانات S3 هذه، وستتعرَّف على كيفية مساعدتك لهذه الميزات في تحقيق أهداف حماية البيانات لديك، وستحصل على نصائح مفيدة حول كيفية حماية بياناتك باستخدام Amazon S3.

نظرة عامة على حماية البيانات في Amazon S3 - الإصدارات، قفل العناصر (Object Lock) والنسخ المتماثل (7:41)

تطلع المؤسسات باستمرار بعملية إنشاء الأصول الرقمية المهمة للأعمال وترحيلها إلى Amazon S3. نظرًا لترحيل الأصول واستخدامها عبر مهام سير العمل، فيلزم ضمان بقاء الملفات دون تغيير بسبب تلف الشبكة أو عطل محرك الأقراص الثابتة أو مشكلات أخرى طارئة. تُستخدم الخوارزميات لمسح الملفات بكل بايت لإنشاء بصمات أصابع مختلفة لها، تُعرف باسم المجموعات الاختبارية. في هذا الحديث التقني، تعرَّف على طريقة استخدام المجموعات الاختبارية للتحقق من عدم تغيير الأصول عند نسخها. تعرَّف على خيارات المجموعات الاختبارية المتعددة لخدمة Amazon S3 لتسريع عملية التحقق من سلامة البيانات، واكتشف كيف يمكنك تأكيد نقل كل بايت دون تغيير، ما يسمح لك بالحفاظ على سلامة البيانات الشاملة.

ابدأ استخدام المجموعات الاختبارية في Amazon S3 للتحقق من سلامة البيانات (30:14)

الالتزام الصارم بأفضل ممارسات التصميم والضوابط الاستباقية هو أساس أمان التخزين وضوابط الوصول. في هذا الفيديو، ستتعرّف على أفضل الممارسات المتعلقة بأمان البيانات في Amazon S3. راجع أساسيات تصميم أمان Amazon S3 وتعمّق في أحدث التحسينات في قابلية الاستخدام والوظائف. خذ بعين الاعتبار خيارات التشفير والتحكم في الوصول والمراقبة الأمنية والتدقيق والمعالجة.

أفضل الممارسات الخاصة بالتحكم في الأمان والوصول في Amazon S3 ‏(45:47)

تشفر Amazon S3 تلقائيًا كل عمليات تحميل الكائنات إلى كل الحاويات. بالنسبة إلى عمليات تحميل الكائنات، تدعم Amazon S3 التشفير من جانب الخادم بأربعة خيارات إدارة رئيسية: SSE-S3 (المستوى الأساسي للتشفير) وSSE-KMS وDSSE-KMS وSSE-C، بالإضافة إلى التشفير من جانب العميل. توفر Amazon S3 ضوابط وصول دقيقة لتناسب أي عبء عمل. في هذا الفيديو، تعرف على أفضل ممارسات تشفير Amazon S3 والتحكم في الوصول. 

أفضل ممارسات التشفير في Amazon S3 والتحكم في الوصول إليها (44:50)

عند الإنشاء وبشكل افتراضي، تكون جميع موارد S3 خاصة، ولا يمكن الوصول إليها إلا من قِبل مالك المورد أو مسؤول الحساب. يتيح لك تصميم الأمان هذا تكوين سياسات وصول مضبوطة بدقة تتماشى مع متطلبات التنظيم والحوكمة والأمان والامتثال. في هذا الفيديو، تعرف على الطرق المختلفة التي يمكنك من خلالها إدارة الوصول إلى بياناتك باستخدام إدارة الهوية والوصول في AWS‏ (AWS IAM) وسياسات حاويات S3.

 

 

Amazon S3: تكوين سياسات الوصول (10:36)

تم تصميم S3 بنسبة مئوية تصل إلى مئة بالمئة تقريبًا من قوة التحمل والمرونة والتوافر العالي. ومع ذلك، حتى أكثر وحدات التخزين حفاظًا على البيانات لا يمكنها الحماية من عمليات الحذف غير المقصودة أو العرضية. إضافة إلى ذلك، فإن أحداث برامج الفدية تمثل سببًا رئيسيًا لتقييم الحماية الإضافية لبياناتك المهمة. تعرَّف على ميزات S3 التي توفر طبقات حماية إضافية، تشمل إصدارات S3، وإصدارات S3 المتماثلة بين المناطق (CRR)، وS3 Object Lock.

أكثر من نسبة مئة بالمئة تقريبًا من الحفاظ على البيانات: حماية البيانات باستخدام Amazon S3‏ (54:59)

مدونات أمان S3

مدونة أخبار AWS


تعمل خدمة Amazon S3 على تشفير العناصر الجديدة افتراضيًا

تعمل خدمة Amazon S3 على تشفير العناصر الجديدة افتراضيًا. بدءًا من 5 يناير 2023، تطبق S3 تلقائيًا التشفير من جانب الخادم (SSE-S3) لكل عنصر جديد، ما لم تحدد خيار تشفير مختلفًا. يطبق هذا التغيير أفضل ممارسات الأمان الأخرى تلقائيًا، دون أي تأثير على الأداء ولا يلزم اتخاذ أي إجراء من جانبك.

اقرأ المدونة »

مدونة أخبار AWS


تنبيه: تغييرات أمان Amazon S3 قادمة في أبريل 2023

بدءًا من أبريل 2023، سنجري تغييرين في Amazon S3 لتطبيق أحدث ممارساتنا لأمان الحاوية تلقائيًا. بعد أن تصبح التغييرات سارية على منطقة مستهدفة، سيتم تمكين S3 Block Public Access افتراضيًا في جميع الحاويات المنشأة حديثًا في المنطقة وتعطيل قوائم التحكم في الوصول (ACL). 

اقرأ المدونة »

مدونة أخبار AWS


تسهيل إدارة الوصول للبيانات المخزنة في Amazon S3

يتيح لك إعداد ميزة Object Ownership الجديدة في Amazon S3، الذي فرضه مالك الحاوية، تعطيل جميع قوائم التحكم في الوصول (ACLs) المرتبطة بالحاوية والعناصر الموجودة فيها. عند تطبيق هذا الإعداد على مستوى الحاوية، تصبح جميع العناصر الموجودة في الحاوية مملوكة لحساب AWS التي أنشأت الحاوية، ولن تُستخدم قوائم التحكم في الوصول (ACLs) لمنح الوصول. 

اقرأ المدونة »

مدونة أخبار AWS


جديد - تشفير Amazon S3 ثنائي الطبقة من جانب الخادم مع المفاتيح المخزنة في خدمة إدارة مفاتيح AWS‏ (DSSE-KMS)

يمكن للعملاء الآن تطبيق طبقتين مستقلتين من التشفير من جانب الخادم على الكائنات في Amazon S3. تم تصميم التشفير ثنائي الطبقة من جانب الخادم مع المفاتيح المخزنة في خدمة إدارة مفاتيح AWS‏ (DSSE-KMS) لتلبية إرشادات CNSSP 15 لوكالة الأمن القومي للامتثال لـ FIPS وإرشادات الإصدار 5.0 من حزمة قدرة البيانات في حالة الثبات (DAR CP) لطبقتين من تشفير CNSA. Amazon S3 هي خدمة تخزين الكائنات السحابية الوحيدة حيث يمكن للعملاء تطبيق طبقتين من التشفير على مستوى الكائن والتحكم في مفاتيح البيانات المستخدمة لكلتا الطبقتين.

اقرأ المدونة »
معرفة المزيد حول Amazon S3

تعرف على ميزات Amazon S3.

تعرّف على المزيد 
تسجيل الاشتراك للحصول على حساب مجاني

تمتع بالوصول الفوري إلى الطبقة المجانية من AWS. 

تسجيل الاشتراك 
ابدأ في إنشاء وحدة التحكم

ابدأ الإنشاء باستخدام Amazon S3 بوحدة إدارة تحكم AWS.

تسجيل الدخول