无与伦比的安全性、合规性和审核功能

将您的数据存储在 Amazon S3 中,并使用加密功能和访问管理工具保护数据不受未经授权的访问。S3 是唯一可使您通过 S3 数据块公有访问在存储桶或账户级别阻止对您的所有对象进行公有访问的对象存储服务。S3 维护合规性计划(如 PCI-DSS、HIPAA/HITECH、FedRAMP、欧盟数据保护指令和 FISMA)以帮助您满足法规要求。AWS 还支持很多审计功能,可用于监控对 S3 资源的访问请求。

大规模管理 Amazon S3 安全性 (34:56)

Amazon S3 安全与访问管理

为了保护您在 Amazon S3 中的数据,默认情况下用户只对自己所创建 S3 资源拥有访问权限。您可以使用以下访问管理功能之一或者功能组合来向其他用户授予访问权限:AWS Identity and Access Management (IAM)(创建用户并管理其相应的访问权限);访问控制列表 (ACL)(使单独的对象可供授权用户访问);存储桶策略(配置单个 S3 存储桶中所有对象的访问权限);以及查询字符串身份验证(通过临时 URL 向其他用户授予限时访问权限)。Amazon S3 还支持审核日志,其中列出对您 S3 资源发出的请求,从而清楚地了解谁访问了哪些数据。

阻止公共访问

阻止公共访问

只需在 S3 管理控制台中点击几下,您就可以将 S3 阻止公有访问应用到账户中的每一个存储桶(包括现有以及未来创建的任何新的存储桶),确保屏蔽对任何对象的公有访问。S3 阻止公有访问设置优先于允许公有访问的 S3 权限,从而让账户管理员可以轻松设置集中控制,以防止安全性配置的变动,而不考虑对象的添加方式或存储桶的创建方式。

对象锁定

对象锁定

Amazon S3 对象锁定功能可以在客户定义的保留期内阻止删除对象版本,让您能够通过实施保留策略来进一步保护数据或满足监管要求。您可将工作负载从现有“一次写入,多次读取”(WORM) 系统迁移到 Amazon S3,并在对象级别或存储桶级别配置 S3 对象锁定,防止在预定义的保留到期日期或依法保留日期之前删除对象版本。

对象所有权

对象所有权

Amazon S3 对象所有权禁用了访问控制列表 (ACL),将所有对象的所有权更改为存储桶拥有者,并简化了对存储在 S3 中的数据的访问管理。 当您配置 S3 对象所有权存储桶拥有者强制设置时,ACL 将不再影响您的存储桶及其中对象的权限。所有访问控制都将使用基于资源的策略、用户策略或这些策略的某种组合来定义。有关更多信息,请参阅控制对象所有权

身份和访问管理

身份和访问管理

默认情况下,所有 Amazon S3 资源(存储桶、对象和相关的子资源)都是私有的:只有资源拥有者、创建资源的 AWS 账户才能访问资源。Amazon S3 提供广泛分类为基于资源的策略和用户策略的访问策略选项。您可以选择使用基于资源的策略、用户策略或这些策略的组合来管理对 Amazon S3 资源的权限。 默认情况下,S3 对象归创建该对象的账户所有,包括该账户与存储桶拥有者不同的情况。您可以使用 S3 对象所有权禁用访问控制列表并更改此行为。如果这样做,存储桶中的每个对象都归存储桶所有者所有。 如需更多信息,请参阅 Amazon S3 中的身份和访问管理

Amazon Macie

Amazon Macie

使用 Amazon Macie 大规模探索和保护 Amazon S3 中的敏感数据。Macie 通过扫描存储桶来识别和分类数据,从而自动为您提供完整的 S3 存储桶清单。您将收到列举符合这些敏感数据类型的任何数据的可行性的安全发现,包括个人身份信息 (PII)(例如客户姓名和信用卡号码)和隐私法规(如 GDPR 和 HIPAA)定义的类别。Macie 还可以自动并持续评估任何未加密、可公开访问或与组织外的账户共享的存储桶的存储桶级预防控制措施,从而使您可以快速解决存储桶上的意外设置。

加密

加密

Amazon S3 支持服务器端加密(提供三个密钥管理选项:SSE-KMS、SSE-C、SSE-S3)和用于数据上传的客户端加密。Amazon S3 提供了灵活的安全功能,用于阻止未经授权的用户访问数据。使用 VPC 终端节点从您的 Amazon Virtual Private Cloud (Amazon VPC) 连接到 S3 资源。使用 S3 清单可以检查 S3 对象的加密状态(有关 S3 清单的更多信息,请参阅存储管理)。

AWS Trusted Advisor

AWS Trusted Advisor

Trusted Advisor 可检查您的 AWS 环境,并在有机会帮助弥补安全漏洞时为您提供建议。 

Trusted Advisor 具有以下与 Amazon S3 相关的检查:Amazon S3 存储桶的日志记录配置、具有开放访问权限的 Amazon S3 存储桶的安全检查以及未启用版本控制或版本控制暂停的 Amazon S3 存储桶的容错检查。

适用于 S3 的 AWS PrivateLink

使用适用于 S3 的 AWS PrivateLink 在您的安全虚拟网络中将 Amazon S3 直接作为私有终端节点直接访问。使用 Virtual Private Cloud (VPC) 中的私有 IP 地址从本地或云中连接 S3,以此简化您的网络架构。您不再需要使用公有 IP、配置防火墙规则,或配置互联网网关以从本地访问 S3。

验证数据完整性

验证数据完整性

从四种受支持的校验和算法(SHA-1、SHA-256、CRC32 或 CRC32C)中进行选择,以便对您的上传和下载请求进行数据完整性检查。在存储或检索 Amazon S3 中的数据时自动计算和验证校验和,并且可以随时使用 GetObjectAttributes S3 API 或 S3 清单报告访问检验和信息。

工作原理

  • 适用于 Amazon S3 的 AWS PrivateLink
  • 建立从本地到 Amazon S3 的直接私有连接。要开始使用,请阅读适用于 S3 的 AWS PrivateLink 文档。 

    适用于 S3 的 AWS PrivateLink 的安全性
  • Amazon Macie
  • 大规模发现和保护您的敏感数据。要开始使用 Amazon Macie,请访问网站

    Amazon Macie 的安全性
  • S3 阻止公有访问
  • 现在和将来阻止所有对 Amazon S3 的公有访问。要了解有关 S3 阻止公有访问的更多信息,请访问网页

    S3 阻止公有访问的安全性
  • 适用于 S3 的 Amazon GuardDuty
  • 通过智能威胁检测和持续监控,保护您的 Amazon S3 数据。要了解有关适用于 Amazon S3 的 Amazon GuardDuty 的更多信息,请访问网页

    适用于 S3 的 Amazon GuardDuty 的安全性

安全和访问管理最佳实践和教程

在创建时,默认情况下,所有 S3 资源都是私有的,并且只能由资源所有者或账户管理员访问。借助此安全性设计,您可以配置精细调整过的访问策略,以符合组织、监管、安全性和合规性要求。您可以使用 S3 阻止公有访问来将所有访问请求限制为对数据的访问。S3 还允许您在不同的加密选项中进行选择。请观看下面的视频以了解更多信息。

Amazon S3 security and access management best practices (28:08)

访问管理与安全性

Introduction to S3 access management and security (1:43)

S3 加密选项

S3 encryption options (1:22)

开发人员指南:使用加密保护数据 »
(包含服务器端和客户端选项的详细信息)

S3 安全博客

AWS 新闻博客


Amazon Macie 现已大幅降价

Amazon Macie 是一项完全托管型服务,可帮助您探索和保护敏感数据,使用机器学习为您自动发现和分类数据。 现在,有了简化的定价:可以根据评估的 S3 存储桶数量和敏感数据发现作业所处理的数据量向您收费。 

阅读博客 »

AWS 新闻博客


S3 阻止公有访问 - 为账户和存储桶提供保护

Amazon S3 阻止公有访问提供一个新的保护级别,作用于账户级和单个存储桶,包括将来创建的存储桶。您有能力阻止现有的公有访问(无论是 ACL 还是策略指定的),并且确保没有授予对新建项目的公有访问权限。

阅读博客 »

Werner Vogels 的博客


通过自动推理提供大规模安全性

Zelkova 支持 Amazon S3 阻止公有访问功能。阻止公有访问会在 Amazon S3 中的存储桶和对象上禁用公共访问控制列表 (ACL)。它还阻止允许公有访问的存储桶策略。对于允许公有访问的现有策略,该功能禁止来自存储桶账户外的访问。

阅读博客 »

AWS 存储博客


Amazon S3 阻止公有访问和 S3 对象锁定

S3 如此成功的原因之一是我们从一开始就专注于数据安全性。我们不断投资于提高存储安全性的标准,并与客户合作,共同满足不断增长的安全性需求,同时恪守保持存储简单的使命。

阅读博客 »
了解有关 Amazon S3 的详情

了解 Amazon S3 功能。

了解更多 
注册免费账户

立即享受 AWS 免费套餐。 

注册 
开始在控制台中构建

在 AWS 管理控制台中,使用 Amazon S3 开始构建。

登录