Amazon S3 安全与访问管理

为了保护您在 Amazon S3 中的数据，默认情况下用户只对自己所创建 S3 资源拥有访问权限。您可以使用以下访问管理功能之一或者功能组合来向其他用户授予访问权限：AWS Identity and Access Management（IAM）（创建用户并管理其相应的访问权限）；访问控制列表（ACL）（使单独的对象可供授权用户访问）；存储桶策略（配置单个 S3 存储桶中所有对象的访问权限）；以及查询字符串身份验证（通过临时 URL 向其他用户授予限时访问权限）。Amazon S3 还支持审核日志，其中列出对您 S3 资源发出的请求，从而清楚地了解谁访问了哪些数据。

只需在 S3 管理控制台中点击几下，您就可以将 S3 屏蔽公共访问权限应用到账户中的每一个存储桶（包括现有以及未来创建的任何新的存储桶），确保屏蔽对任何对象的公共访问权限。默认情况下，所有新存储桶都启用了“屏蔽公共访问权限”。要限制对账户中所有现有存储桶的访问权限，可以在账户级别启用阻止公共访问。S3 屏蔽公共访问权限设置优先于允许公共访问的 S3 权限，从而让账户管理员可以轻松设置集中控制，以防止安全性配置的变动，而不考虑对象的添加方式或存储桶的创建方式。

Amazon S3 对象锁定功能可以在客户定义的保留期内阻止删除对象版本，让您能够通过实施保留策略来进一步保护数据或满足监管要求。您可将工作负载从现有的一次写入多次读取（WORM）系统迁移到 Amazon S3，并在对象级别或存储桶级别配置 S3 对象锁定，防止在预定义的保留到期日期或依法保留日期之前删除对象版本。

Amazon S3 对象所有权禁用了访问控制列表 (ACL)，将所有对象的所有权更改为存储桶拥有者，并简化了对存储在 S3 中的数据的访问管理。 当您配置 S3 对象所有权存储桶拥有者强制设置时，ACL 将不再影响您的存储桶及其中对象的权限。所有访问控制都将使用基于资源的策略、用户策略或这些策略的某种组合来定义。自动禁用新存储桶的 ACL。在迁移到基于 IAM 的存储桶策略时，您可以在启用 S3 对象所有权之前使用 S3 清单来查看存储桶中的 ACL 使用情况。有关更多信息，请参阅控制对象所有权。

默认情况下，所有 Amazon S3 资源（存储桶、对象和相关的子资源）都是私有的：只有资源拥有者、创建资源的 AWS 账户才能访问资源。Amazon S3 提供广泛分类为基于资源的策略和用户策略的访问策略选项。您可以选择使用基于资源的策略、用户策略或这些策略的组合来管理对 Amazon S3 资源的权限。 默认情况下，S3 对象归创建该对象的账户所有，包括该账户与存储桶拥有者不同的情况。您可以使用 S3 对象所有权禁用访问控制列表并更改此行为。如果这样做，存储桶中的每个对象都归存储桶所有者所有。 如需更多信息，请参阅 Amazon S3 中的身份和访问管理。

使用 Amazon Macie 大规模探索和保护 Amazon S3 中的敏感数据。Macie 通过扫描存储桶来识别和分类数据，从而自动为您提供完整的 S3 存储桶清单。您将收到列举符合这些敏感数据类型的任何数据的可行性的安全发现，包括个人身份信息 (PII)（例如客户姓名和信用卡号码）和隐私法规（如 GDPR 和 HIPAA）定义的类别。Macie 还可以自动并持续评估任何未加密、可公开访问或与组织外的账户共享的存储桶的存储桶级预防控制措施，从而使您可以快速解决存储桶上的意外设置。

Amazon S3 会自动加密上传到所有存储桶的所有对象。对于对象上传，Amazon S3 支持具有四个密钥管理选项（SSE-S3（基本加密级别）、SSE-KMS、DSSE-KMS 和 SSE-C 的服务器端加密，以及客户端加密。Amazon S3 提供了灵活的安全功能，用于阻止未经授权的用户访问数据。使用 VPC 端点从您的 Amazon Virtual Private Cloud (Amazon VPC) 连接到 S3 资源。使用 S3 清单可以检查 S3 对象的加密状态（有关 S3 清单的更多信息，请参阅存储管理）。

视频：Amazon S3 数据加密概述 »

Trusted Advisor 可检查您的 AWS 环境，并在有机会帮助弥补安全漏洞时为您提供建议。 

Trusted Advisor 具有以下与 Amazon S3 相关的检查：Amazon S3 存储桶的日志记录配置、具有开放访问权限的 Amazon S3 存储桶的安全检查以及未启用版本控制或版本控制暂停的 Amazon S3 存储桶的容错检查。

使用适用于 S3 的 AWS PrivateLink 在您的安全虚拟网络中将 Amazon S3 作为私有端点直接访问。使用 Virtual Private Cloud (VPC) 中的私有 IP 地址从本地或云中连接 S3，以此简化您的网络架构。您不再需要使用公有 IP、配置防火墙规则，或配置互联网网关以从本地访问 S3。

从四种受支持的校验和算法（SHA-1、SHA-256、CRC32 或 CRC32C）中进行选择，以便对您的上传和下载请求进行数据完整性检查。在存储或检索 Amazon S3 中的数据时自动计算和验证校验和，并且可以随时使用 GetObjectAttributes S3 API 或 S3 清单报告访问检验和信息。

S3 数据完整性检查入门教程

技术讲座：开始使用 Amazon S3 中的校验和进行数据完整性检查

博客：构建可扩展的校验和

博客：启用和验证 Amazon S3 中现有对象的附加校验和