无与伦比的安全性、合规性和审核功能

将您的数据存储在 Amazon S3 中,并使用加密功能和访问管理工具保护数据不受未经授权的访问。S3 是唯一可使您通过 S3 数据块公有访问在存储桶或账户级别阻止对您的所有对象进行公有访问的对象存储服务。S3 维护合规性计划(如 PCI-DSS、HIPAA/HITECH、FedRAMP、欧盟数据保护指令和 FISMA)以帮助您满足法规要求。AWS 还支持很多审计功能,可用于监控对 S3 资源的访问请求。

深入研究 Amazon S3 的安全性与管理

Amazon S3 安全与访问管理

为了保护您在 Amazon S3 中的数据,默认情况下用户只对自己所创建 S3 资源拥有访问权限。您可以使用以下访问管理功能之一或者功能组合来向其他用户授予访问权限:AWS Identity and Access Management (IAM)(创建用户并管理其相应的访问权限);访问控制列表 (ACL)(使单独的对象可供授权用户访问);存储桶策略(配置单个 S3 存储桶中所有对象的访问权限);以及查询字符串身份验证(通过临时 URL 向其他用户授予限时访问权限)。Amazon S3 还支持审核日志,其中列出对您 S3 资源发出的请求,从而清楚地了解谁访问了哪些数据。

阻止公有访问

SiteMerch-CastleBlack_Editorial

只需在 S3 管理控制台中点击几下,您就可以将 S3 阻止公有访问应用到账户中的每一个存储桶(包括现有以及未来创建的任何新的存储桶),确保屏蔽对任何对象的公有访问。S3 阻止公有访问设置优先于允许公有访问的 S3 权限,从而让账户管理员可以轻松设置集中控制,以防止安全性配置的变动,而不考虑对象的添加方式或存储桶的创建方式。

对象锁定

SiteMerch-S3-Object Lock_Editorial

Amazon S3 对象锁定功能可以在客户定义的保留期内阻止删除对象版本,让您能够通过实施保留策略来进一步保护数据或满足监管要求。您可将工作负载从现有的“一次写入,多次读取”(WORM) 系统迁移到 Amazon S3,并在对象级别或存储桶级别配置 S3 对象锁定,防止在预定义的保留到期日期或依法保留日期之前删除对象版本。

AWS Trusted Advisor

Site-Merch_Webinar_Security_Editorial

Trusted Advisor 可检查您的 AWS 环境,并在有可能帮助弥补安全漏洞时为您提供建议。 

Trusted Advisor 具有以下与 Amazon S3 相关的检查:Amazon S3 存储桶的日志记录配置、具有开放访问权限的 Amazon S3 存储桶的安全检查、未启用版本控制或版本控制暂停的 Amazon S3 存储桶的容错检查。

Amazon Macie

Site-Merch_Macie_Tile

使用 Amazon Macie 大规模探索和保护 Amazon S3 中的敏感数据。Macie 通过扫描存储桶来识别和分类数据,从而自动为您提供完整的 S3 存储桶清单。您将收到列举符合这些敏感数据类型的任何数据的可行性的安全发现,包括 PII(例如客户姓名和信用卡号码)和隐私法规(如 GDPR 和 HIPAA)定义的类别。Macie 还可以自动并持续评估任何未加密、可公开访问或与组织外的账户共享的存储桶的存储桶级预防控制措施,从而使您可以快速解决存储桶上的意外设置。

加密

cloud-security-identity-sso

Amazon S3 支持服务器端加密(提供三个密钥管理选项:SSE-KMS、SSE-C、SSE-S3)和用于数据上传的客户端加密。Amazon S3 提供了灵活的安全功能,用于阻止未经授权的用户访问数据。使用 VPC 终端节点从您的 Amazon Virtual Private Cloud (Amazon VPC) 连接到 S3 资源。使用 S3 清单可以检查 S3 对象的加密状态(有关 S3 清单的更多信息,请参阅存储管理)。

Identity and Access Management

cloud-security-identity-directoryservices

默认情况下,所有 Amazon S3 资源(存储桶、对象和相关的子资源)都是私有的:只有资源拥有者、创建资源的 AWS 账户才能访问资源。Amazon S3 提供广泛分类为基于资源的策略和用户策略的访问策略选项。您可以选择使用基于资源的策略、用户策略或这些策略的组合来管理对 Amazon S3 资源的权限。有关更多信息,请参阅 Amazon S3 资源访问权限管理介绍。 

安全与访问管理教程视频

在创建时,默认情况下,所有 S3 资源都是私有的,并且只能由资源拥有者或账户管理员访问。借助此安全性设计,您可以配置精细调整过的访问策略,以符合组织、监管、安全性和合规性要求。您可以使用 S3 阻止公有访问来将所有访问请求限制为对数据的访问。S3 还允许您在不同的加密选项中进行选择。请观看下面的视频以了解更多信息。

访问管理与安全性

S3 访问管理与安全性简介

S3 加密选项

S3 加密选项

开发人员指南:使用加密保护数据 »
(包含服务器端和客户端选项的详细信息)

S3 安全博客

AWS 新闻博客


Amazon Macie 现已大幅降价

Amazon Macie 是一项完全托管型服务,可帮助您探索和保护敏感数据,使用机器学习为您自动发现和分类数据。 现在,有了简化的定价:可以根据评估的 S3 存储桶数量和敏感数据发现作业所处理的数据量向您收费。 

阅读博客 »

AWS 新闻博客


S3 阻止公有访问 - 为账户和存储桶提供保护

Amazon S3 阻止公有访问提供一个新的保护级别,作用于账户级和单个存储桶,包括将来创建的存储桶。您有能力阻止现有的公有访问(无论是 ACL 还是策略指定的),并且确保没有授予对新建项目的公有访问权限。

阅读博客 »

Werner Vogels 的博客


通过自动推理提供大规模安全性

Zelkova 支持 Amazon S3 阻止公有访问功能。阻止公有访问会在 Amazon S3 中的存储桶和对象上禁用公共访问控制列表 (ACL)。它还阻止允许公有访问的存储桶策略。对于允许公有访问的现有策略,该功能禁止来自存储桶账户外的访问。

阅读博客 »

AWS 存储博客


Amazon S3 阻止公有访问和 S3 对象锁定

S3 如此成功的原因之一是我们从一开始就专注于数据安全性。我们不断投资于提高存储安全性的标准,并与客户合作,共同满足不断增长的安全性需求,同时恪守保持存储简单的使命。

阅读博客 »
Product-Page_Standard-Icons_01_Product-Features_SqInk
了解有关 Amazon S3 的更多信息

了解 Amazon S3 功能。

了解更多 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
注册免费账户

立即享受 AWS 免费套餐。 

注册 
Product-Page_Standard-Icons_03_Start-Building_SqInk
开始在控制台中构建

在 AWS 管理控制台中,使用 Amazon S3 开始构建。

登录