O Amazon S3 armazena dados como objetos dentro de recursos denominados "buckets". O bucket permite armazenar quantos objetos você quiser, bem como gravar, ler e excluir objetos. Os objetos podem ter até 5 terabytes de tamanho.

Você pode controlar acesso ao bucket (quem pode criar, excluir e recuperar objetos no bucket, por exemplo), visualizar logs de acesso do bucket e de seus objetos e escolher a região da AWS onde o bucket é armazenado para otimizar a latência, reduzir custos ou cumprir requisitos normativos.

Comece a trabalhar com a AWS hoje

Experimente o Amazon S3 gratuitamente

O nível gratuito da AWS inclui 5 GB de armazenamento, 20.000 solicitações GET e 2.000 solicitações PUT com o Amazon S3.

Consulte os detalhes do nível gratuito da AWS »

S3_ProductPage_Banner

O Amazon S3 foi desenvolvido como uma plataforma de armazenamento completa. Considere o valor de propriedade que acompanha cada GB.

Simplicidade. O Amazon S3 foi criado para ser simples, com um console e um aplicativo móvel de gerenciamento baseados na web e APIs REST e SDKs completos para facilitar a integração com tecnologias de terceiros.

Durabilidade.O Amazon S3 está disponível em regiões em todo o mundo e inclui redundância geográfica em cada região, além da opção de replicação entre regiões. Além disso, várias versões de um objeto podem ser preservadas para a recuperação point-in-time.

Escalabilidade. Os clientes em todo o mundo contam com o Amazon S3 para proteger trilhões de objetos diariamente. Os custos aumentam e diminuem sob demanda, e as implantações globais podem ser feitas em minutos. Setores como os de serviços financeiros, saúde, mídia e entretenimento usam-no para criar aplicações de big data, recursos analíticos, transcodificação e arquivamento.

Segurança. O Amazon S3 oferece suporte à transferência de dados usando SSL e criptografia automática dos dados após o upload. Você também pode configurar políticas de bucket para gerenciar permissões de objetos e controlar o acesso aos dados usando o AWS Identity and Access Management (IAM).

Consulta vigente. O Amazon S3 Select processa dados em um objeto armazenado em repouso, e o Amazon Athena e o Amazon Redshift Spectrum permitem a execução de análises sofisticadas diretamente nos dados armazenados no S3.

Ampla integração com outros serviços da AWS para segurança (IAM e KMS), alertas (CloudWatch, CloudTrail e Event Notifications), computação (Lambda) e bancos de dados (EMR, Redshift), desenvolvidos para integração direta com o Amazon S3.

Opções de migração de dados para a nuvem. O armazenamento AWS inclui vários métodos especializados para ajudar você a colocar e retirar dados da nuvem.

Gerenciamento de armazenamento flexível. Os recursos de gerenciamento de armazenamento do S3 permitem adotar uma abordagem orientada a dados para a otimização do armazenamento, a segurança de dados e a eficiência do gerenciamento. 


Os recursos de gerenciamento de armazenamento do Amazon S3 permitem adotar uma abordagem controlada por dados para a otimização, a conformidade e a eficiência de gerenciamento do armazenamento. Esses recursos funcionam em conjunto para ajudar a aumentar o desempenho das cargas de trabalho, facilitar a conformidade, otimizar fluxos de trabalho de processos de negócios e permitir uma divisão do armazenamento em camadas com maior inteligência para otimizar seus custos e desempenho.

Saiba mais

O Amazon S3 pode ser acessado de forma simples por meio do console do S3, de SDKs ou de integração de ISVs. O S3 é compatível com AWS SDKs para Java, PHP, .NET, Python, Node.js, Ruby e AWS Mobile SDK. As bibliotecas do SDK encapsulam a API REST subjacente, simplificando as tarefas de programação.

Saiba mais

O Amazon S3 proporciona infraestrutura durável para armazenar dados importantes e foi projetado para oferecer durabilidade de objetos de 99,999999999%. Seus dados são armazenados com redundância em várias instalações e diversos dispositivos em cada instalação.

Saiba mais

A Amazon oferece várias opções de migração de dados para a nuvem, além de tornar mais simples e econômica a transferência de grandes volumes de dados para fora do Amazon S3. Os clientes podem escolher entre métodos de conector otimizados para rede, baseados em disco físico ou de terceiros para transferir dados para dentro ou para fora do S3.

Saiba mais

O Amazon S3 oferece vários mecanismos para controlar e monitorar quem acessa seus dados e como, quando e onde esse acesso pode ocorrer. Os endpoints do VPC permitem que você crie uma conexão segura sem um gateway ou em instâncias NAT.

Saiba mais

Além da categoria S3 Standard, existe a opção de baixo custo Standard – Acesso ocasional para dados acessados ocasionalmente, e também o Amazon Glacier para o arquivamento de dados "frios" (com baixo acesso) ao menor custo possível.

Saiba mais

O Amazon S3 Select (agora em Prévia) permite que seus aplicativos examinem e filtrem dados sem a necessidade de recuperar o armazenamento, o que acelera o desempenho e reduz o custo das análises sofisticadas. 

Saiba mais


A Amazon tem um conjunto de ferramentas que agilizam a análise e o processamento de grandes volumes de dados na nuvem, fornecendo maneiras de otimizar os fluxos de trabalho existentes com o Amazon S3. 

O Amazon S3 Select foi projetado para ajudar na análise e no processamento de dados em um objeto contido nos buckets do Amazon S3, de maneira rápida e barata. Ele fornece a capacidade de recuperar um subconjunto de dados de um objeto no Amazon S3 usando expressões SQL simples. Seus aplicativos não precisam mais usar recursos de computação para examinar e filtrar os dados de um objeto, o que aumenta potencialmente o desempenho das consultas em até 400%, além de reduzir os custos das consultas em 80%. Basta você alterar o seu aplicativo para usar SELECT em vez de GET para aproveitar os benefícios do S3 Select. Durante a Prévia, o S3 Select fica acessível via API somente, nas seguintes regiões: AWS US East (Ohio), US East (N. Virginia), US West (Oregon), EU (Ireland) e Asia Pacific (Singapore). O S3 Console e a interface de linha de comando (CLI) não ficam disponíveis durante a Prévia.

O Amazon Athena é um serviço de consultas interativas que facilita a análise de dados no Amazon S3 usando SQL padrão. O Athena não precisa de servidor. Portanto, não há infraestrutura para gerenciar e você paga apenas pelas consultas executadas.

O Athena é fácil de usar. Basta apontar para os dados no Amazon S3, definir o schema e começar a consultar dados usando SQL padrão. A maioria dos resultados é entregue em segundos. Com o Athena, não há necessidade de trabalhos complexos de ETL para preparar os dados para análise. Isso permite que qualquer pessoa com experiência em SQL analise conjuntos de dados em grande escala com facilidade e rapidez.

O Amazon Redshift também inclui o Redshift Spectrum que permite executar diretamente consultas SQL em exabytes de dados não estruturados no Amazon S3. Não é preciso executar cargas ou transformações, e são permitidos formatos de dados abertos como Avro, CSV, Grok, ORC, Parquet, RCFile, RegexSerDe, SequenceFile, TextFile e TSV. O Redshift Spectrum escala automaticamente a capacidade computacional de consultas com base nos dados que estão sendo recuperados. Desta forma, as consultas no Amazon S3 são executadas de maneira rápida, independentemente do tamanho do conjunto de dados.

O Amazon S3 facilita o gerenciamento de dados oferecendo insights práticos sobre os padrões de uso de dados e as ferramentas para controlar as políticas de gerenciamento de armazenamento. Todos esses recursos de gerenciamento podem ser administrados facilmente usando as APIs do Amazon S3 ou o Console de Gerenciamento da AWS. Os vários recursos de gerenciamento de dados oferecidos pelo Amazon S3 são descritos detalhadamente a seguir.

Com o Amazon S3 Object Tagging, você pode gerenciar e controlar o acesso aos objetos do Amazon S3. O S3 Object Tags são pares de chave-valor aplicados a objetos do S3 que podem ser criados, atualizados ou excluídos a qualquer momento durante a vida útil do objeto. Com eles, é possível criar políticas do Identity and Access Management (IAM), configurar políticas de ciclo de vida do S3 e personalizar métricas de armazenamento. Essas tags de objeto podem gerenciar transições entre classes de armazenamento e expirar objetos em segundo plano.

É possível simplificar e acelerar fluxos de trabalho empresariais e trabalhos de big data usando o S3 Inventory. Ele disponibiliza uma alternativa programada para a API List síncrona do Amazon S3. O S3 Inventory oferece uma saída no formato Comma Separated Values (CSV – Valores separados por vírgulas) ou Optimized Row Columnar (ORC – Linha otimizada colunar) dos objetos e de seus metadados correspondentes com frequência diária ou semanal para um bucket ou prefixo do S3. Além disso, o S3 Inventory facilita a auditoria e geração de relatórios sobre o status de criptografia de objetos para atender a requisitos empresariais, normativos e de conformidade.

Com a análise de classe de armazenamento, você pode monitorar a frequência de acesso dos objetos no bucket S3 para migrar armazenamentos com frequência menor de acesso para uma classe de armazenamento mais econômica. Esse novo recurso do S3 Analytics observa padrões de uso para detectar armazenamento acessado com pouca frequência, ajudando a fazer a transição dos objetos certos para o S3 Standard-IA. É possível configurar uma política de análise de classe de armazenamento para monitorar um bucket, um prefixo ou uma tag de objeto. Quando o S3 Analytics detecta que os dados são candidatos à transição para o Standard-IA, você pode criar facilmente uma nova política de ciclo de vida com base nesses resultados. Esse recurso também inclui uma análise diária detalhada do uso do armazenamento no bucket, prefixo ou nível de tag especificado, que pode ser exportada para um bucket do S3. 

A integração com o Amazon S3 CloudWatch ajuda a melhorar a experiência do usuário final, disponibilizando monitoramento e alarmes integrados para diversas métricas diferentes. Você pode receber métricas de 1 minuto do CloudWatch, definir alarmes do CloudWatch e acessar os painéis do CloudWatch para visualizar em tempo real operações e desempenho do armazenamento do Amazon S3. Para aplicações web e aplicativos móveis que dependem do armazenamento na nuvem, isso permite identificar e agir rapidamente em caso de problemas operacionais. Essas métricas de 1 minuto estão disponíveis para buckets do S3. Além disso, você tem a flexibilidade de definir um filtro para as métricas coletadas usando um prefixo compartilhado ou uma tag de objeto, o que permite alinhar filtros de métricas a aplicações de negócios, fluxos de trabalho ou organizações internas específicos.

Você pode usar o AWS CloudTrail para capturar eventos de bucket (eventos de gerenciamento) e atividades de API nos objetos (eventos de dados) de objetos do S3. Os eventos de dados incluem operações de leitura como GET, HEAD, e Get Object ACL, além de operações de gravação como PUT e POST. Os detalhes capturados sustentam diversos tipos de casos de uso de segurança, auditoria, governança e conformidade. Visite a página do AWS CloudTrail para obter mais informações sobre os eventos de dados do S3.

O Amazon S3 pode atribuir automaticamente e alterar características de custo e desempenho conforme seus dados de desenvolvem. Ele pode até automatizar tarefas comuns de gerenciamento de ciclo de vida de dados, incluindo provisionamento de capacidade, migração automática para níveis de custo mais baixo, políticas de conformidade normativa e exclusões programadas ocasionais.

À medida que seus dados avançarem sua vida útil, o Amazon S3 cuidará automaticamente e de forma transparente da migração de seus dados para novo hardware caso o hardware falhe ou atinja o fim da vida útil. Isso elimina a necessidade de que você realize migrações de hardware arriscadas, demoradas e caras. Você pode definir políticas de ciclo de vida diretamente no Amazon S3 para migrar automaticamente dados para armazenamentos mais econômicos, à medida que os dados envelhecem. Você pode definir regras para migrar automaticamente os objetos do Amazon S3 para a categoria Standard – Acesso ocasional (Standard – IA) ou para o Amazon Glacier de acordo com o tempo de vida dos dados.  Você pode definir políticas de ciclo de vida por bucket, prefixo ou tags de objeto, permitindo especificar a granularidade mais adequada ao caso de uso.

Quando seus dados atingirem o fim da vida útil, o Amazon S3 fornecerá opções programáticas para exclusões recorrentes e de alto volume. Para exclusões recorrentes, é possível definir regras para remover conjuntos de objetos após um período predefinido. Essas regras podem ser aplicadas para objetos nas categorias Standard ou Standard – IA, e para objetos que tenham sido arquivados no Amazon Glacier.

As regras de ciclo de vida também podem ser definidas em versões específicas dos objetos do Amazon S3 para reduzir custos de armazenamento. Por exemplo, você pode criar regras para excluir, de maneira automática e limpa, versões mais antigas dos seus objetos quando essas versões não são mais necessárias, economizando dinheiro e melhorando o desempenho. Como alternativa, você também pode criar regras para migrar automaticamente versões mais antigas para a categoria Standard – IA ou para o Amazon Glacier para reduzir ainda mais seus custos de armazenamento.

A Cross-Region Replication (CRR – Replicação entre regiões) simplifica a replicação de objetos novos para qualquer outra região da AWS, o que possibilita latência reduzida, conformidade, recuperação de desastres e vários outros casos de uso. A CRR replica cada objeto carregado para o bucket de origem para um bucket de destino em uma região da AWS diferente à sua escolha. Os metadados, as ACLs e as tags de objetos associadas ao objeto também fazem parte da replicação. Após configurar uma CRR no bucket de origem, todas as alterações efetuadas em dados, metadados, ACLs ou tags de objeto do objeto acionam uma nova replicação para o bucket de destino.

A CRR é uma configuração de bucket. Você habilita a CRR em um bucket especificando um bucket de destino em uma região diferente. Com a CRR, você pode selecionar qualquer região da AWS como região de destino ou qualquer classe de armazenamento do S3 para o armazenamento replicado, de acordo com suas necessidades. É possível configurar a CRR em várias contas e ter uma pilha de propriedade distinta entre a origem e o destino. A CRR é uma configuração de bucket, e é habilitada no bucket por meio da especificação de um bucket de destino em uma região diferente usando o Console de Gerenciamento da AWS, a API REST, a ILC da AWS ou os SDKs da AWS. O versionamento deve ser ativado nos buckets de origem e destino para que a CRR seja habilitada. Saiba mais.

O Amazon S3 oferece vários recursos para o gerenciamento e o controle de seus custos. Você pode usar o AWS Management Console ou as APIs do Amazon S3 para aplicar tags aos seus buckets do Amazon S3, permitindo que você aloque seus custos em várias dimensões comerciais, incluindo centros de custos, nomes de aplicativos ou proprietários. Você poderá ver então detalhamentos desses custos usando os relatórios de alocação de custos da Amazon Web Services, que mostram utilização e custos agregados pelas tags dos buckets. Para obter mais informações sobre alocação de custos e tags, consulte Sobre o faturamento de conta da AWS. Para obter mais informações sobre tags em seus buckets do S3, consulte o tópico Bucket Tagging no Amazon S3 Developer Guide.

Você pode usar o Amazon CloudWatch para receber alertas de faturamento, que o ajudam a monitorar as cobranças do Amazon S3 em sua fatura. Você poderá configurar um alerta a ser notificado automaticamente via e-mail quando cobranças estimadas atingirem um limite escolhido por você. Para obter informações adicionais sobre alertas de cobrança, você poderá visitar a página de alertas de cobrança ou consultar o tópico Monitorar suas cobranças estimadas no Guia para desenvolvedores do Amazon CloudWatch.

As notificações de eventos do Amazon S3 podem ser enviadas como resposta a ações executadas em objetos carregados ou armazenados no Amazon S3. As mensagens de notificação podem ser enviadas usando o Amazon SNS ou o Amazon SQS, ou entregues diretamente ao AWS Lambda para invocar suas funções.

As notificações de eventos do Amazon S3 permitem executar fluxos de trabalho, enviar alertas ou executar outras ações como resposta a alterações nos objetos armazenados no Amazon S3. Você pode usar as notificações de eventos do Amazon S3 para configurar triggers para executar ações como transcodificação de arquivos de mídia após o upload, processamento de arquivos de dados após sua disponibilização e sincronização de objetos do Amazon S3 com outros armazenamentos de dados. Você também pode definir notificações de eventos com base em prefixos e sufixos de nomes de objetos. Por exemplo, você pode optar por receber notificações sobre nomes de objetos que começam com "images/". Também pode ajudar a manter um índice secundário de objetos do Amazon S3 em sincronia.

As notificações de eventos do Amazon S3 são configuradas no bucket. A configuração pode ser feita por meio do console do Amazon S3, da API REST ou usando um AWS SDK.

Para saber mais, visite o tópico Configuring Notifications for Amazon S3 Events no Amazon S3 Developer Guide.


O Amazon S3 fornece uma infraestrutura de armazenamento altamente durável projetada para armazenamento de dados de missão crítica e primários. O Amazon S3 armazena os dados de forma redundante em várias instalações e em diversos dispositivos dentro de cada instalação. Para aumentar a durabilidade, o Amazon S3 armazena sincronamente os dados em diversas instalações antes de confirmar que o armazenamento de dados foi bem-sucedido. Além disso, o Amazon S3 calcula somas de verificação de todo o tráfego da rede para detectar corrupção de pacotes de dados durante o armazenamento ou a recuperação dos dados. Ao contrário de sistemas tradicionais, que podem exigir verificações de dados trabalhosas e reparos manuais, o Amazon S3 realiza verificações regulares e sistemáticas de integridade de dados e foi desenvolvido incorporando o recurso de correções automáticas.

A categoria Standard é:

  • Disponibilidade respaldada pelo Acordo de Nível de Serviço do Amazon S3.
  • Projetado para fornecer 99,999999999% de durabilidade e 99,99% de disponibilidade de objetos em um determinado ano.
  • Projetado para sustentar a perda simultânea de dados em duas instalações.

A categoria Standard – Acesso ocasional é:

  • Disponibilidade respaldada pelo Acordo de nível de serviço do Amazon S3.
  • Criado para disponibilizar uma durabilidade de 99,999999999% e uma disponibilidade de 99,9% de objetos durante um determinado ano.
  • Projetado para sustentar a perda simultânea de dados em duas instalações.

O Amazon Glacier é:

  • Projetado para disponibilizar uma durabilidade de 99,999999999% de objetos em um determinado ano.
  • Projetado para sustentar a perda simultânea de dados em duas instalações.

A Amazon tem um conjunto de ferramentas que agiliza a migração de dados para a nuvem, como maneiras de otimizar ou substituir sua rede e de integrar fluxos de trabalho atuais com o S3.

O Amazon S3 Transfer Acceleration foi criado para maximizar as velocidades de transferência de dados para buckets do Amazon S3 em longas distâncias. Ele funciona ao transportar o tráfego HTTP e HTTPS por uma ponte de rede altamente otimizada, executada entre o ponto de presença da AWS mais próximo dos seus clientes e o bucket do Amazon S3. Não há servidores de gateway para gerenciar, nem firewalls para abrir, ou portas ou clientes especiais para integrar, nem tampouco taxas iniciais a pagar. Basta você mudar o endpoint do Amazon S3 que o seu aplicativo usa para transferir dados e a aceleração é aplicada automaticamente. Use o Transfer Acceleration se você:

  • Precisa de carregamentos mais rápidos de clientes em localidades muito distantes do seu bucket, por exemplo, em outros países ou continentes.
  • Tem clientes localizados fora dos seus próprios datacenters, que dependem da Internet pública para alcançar o Amazon S3. Para clientes dentro dos seus próprios datacenters, considere o AWS Direct Connect.

Saiba mais

Abrangendo de petabytes a exabytes, os serviços de migração de dados da AWS usam dispositivos seguros para importar grandes quantidades de dados do Amazon S3, bem como para exportá-las para ele. O AWS Snowball, o AWS Snowball Edge e o AWS Snowmobile solucionam desafios comuns enfrentados durante transferências de dados com grande ajuste de escala, inclusive altos custos de rede, longos tempos de transferência e problemas de segurança. A transferência de dados com eles é simples, rápida, segura e pode chegar a um quinto do custo da Internet de alta velocidade.

Saiba mais

Sistemas de dados ou armazenamento que existem localmente podem ser facilmente vinculados ao Amazon S3 usando o AWS Storage Gateway. Isso significa que sistemas, software, processos e dados atuais podem ser otimizados na nuvem para backup, migração, divisão em camadas ou bursting com o mínimo de interrupções.

Saiba mais

Diversos parceiros ISVs estão integrados ao Amazon S3 para oferecer transferência e recuperação simplificadas de dados. Visite a página AWS Storage Partner Solutions para obter uma lista das soluções aprovadas de parceiros da AWS.


Os dados armazenados no Amazon S3 são protegidos por padrão; somente proprietários de buckets e objetos têm acesso aos recursos do Amazon S3 criados por eles. O Amazon S3 oferece suporte a vários mecanismos de controle de acesso, bem como criptografia para trânsito seguro e armazenamento seguro de dados ociosos. Com os recursos de proteção de dados do Amazon S3, você pode proteger seus dados contra falhas lógicas e físicas, contra perda causada por ações não intencionais de usuários, contra erros de aplicativo e falhas de infraestrutura. Para clientes que devem cumprir padrões regulatórios como PCI e HIPAA, os recursos de proteção de dados do Amazon S3 podem ser usados como parte de uma estratégia geral de obtenção de conformidade. Os vários recursos de segurança e confiabilidade de dados oferecidos pelo Amazon S3 são descritos detalhadamente a seguir.

O Amazon Macie usa aprendizado de máquina para descobrir, classificar e proteger automaticamente dados confidenciais na AWS. O Amazon Macie reconhece dados confidenciais, como informações de identificação pessoal (PII) ou propriedade intelectual, fornecendo painéis e alertas que mostram os acessos e as movimentações desses dados. O serviço é completamente gerenciado, monitora continuamente atividades de acesso a dados para detectar anomalias e envia alertas quando detecta risco de acesso não autorizado ou vazamento acidental de dados.

O Amazon S3 suporta vários mecanismos que oferecem flexibilidade para controlar quem pode acessar seus dados e como, quando e onde esse acesso pode ocorrer. O Amazon S3 oferece quatro mecanismos de controle de acesso diferentes: políticas do AWS Identity and Access Management (IAM), listas de controle de acesso (ACLs), políticas de bucket e autenticação de sequência de caracteres de consulta. O IAM permite que as organizações criem e gerenciem vários usuários em uma única conta da AWS. Com as políticas IAM, você pode conceder aos usuários IAM um controle refinado ao seu bucket ou objetos do Amazon S3. Você pode usar ACLs para adicionar seletivamente (conceder) determinadas permissões sobre objetos individuais. As políticas de bucket do Amazon S3 podem ser usadas para adicionar ou negar permissões em alguns ou todos os objetos de um único bucket. Com a autenticação de sequência de caracteres de consulta, é possível compartilhar objetos do Amazon S3 por meio de URLs que são válidas por um período especificado.

O console do S3 destaca os buckets do S3 com acesso público, além de avisar se alterações em políticas e ACLs do bucket disponibilizarão esse bucket para acesso público.

Agora você pode acessar o Amazon S3 na Amazon Virtual Private Cloud (Amazon VPC) usando endpoints da VPC. Os endpoints da VPC são fáceis de configurar e proporcionam uma conectividade confiável com o Amazon S3 sem exigir um gateway de Internet ou uma instância de Network Address Translation (NAT). Com os endpoints da VPC, os dados entre uma Amazon VPC e o Amazon S3 serão transferidos dentro da rede da Amazon, ajudando a proteger suas instâncias do tráfego da Internet. Os endpoints da Amazon VPC para o Amazon S3 proporcionam vários níveis de controles de segurança para ajudar a limitar o acesso a buckets do S3. Primeiro, você pode exigir que as solicitações para os buckets do Amazon S3 sejam originadas de uma VPC usando um endpoint VPC. Além disso, você pode controlar quais buckets, solicitações, usuários ou grupos são permitidos por meio de um endpoint VPC específico.

Você pode fazer o upload/download de dados para o Amazon S3 com segurança por meio de endpoints criptografados com SSL usando o protocolo HTTPS. O Amazon S3 pode criptografar dados ociosos automaticamente e oferece várias opções de gerenciamento de chaves. Você pode configurar os buckets do S3 para criptografar automaticamente os objetos antes de armazená-los no S3, caso as solicitações de armazenamento recebidas não tenham informações sobre criptografia. Como alternativa, é possível utilizar uma biblioteca cliente de criptografia como o Amazon S3 Encryption Client para criptografar seus dados antes de enviá-los ao Amazon S3.

Se você optar pela criptografia dos dados ociosos pelo Amazon S3 com criptografia no lado do servidor (SSE), o Amazon S3 automaticamente criptografará os dados na gravação e descriptografará os dados na recuperação. A criptografia de dados ociosos com o SSE do Amazon S3 usa chaves simétricas de 256 bits do Advanced Encryption Standard (AES). Se você optar pela criptografia no lado do servidor com o Amazon S3, há três formas de gerenciar as chaves de criptografia.

 

SSE com gerenciamento de chaves do Amazon S3 (SSE-S3)

No SSE-S3, o Amazon S3 criptografará os dados ociosos e gerenciar as chaves de criptografia para você.

 

SSE com chaves fornecidas pelo usuário (SSE-C)

No SSE-C, o Amazon S3 criptografará os dados ociosos usando as chaves de criptografia personalizadas que você fornecer. Para usar o SSE-C, basta incluir a chave de criptografia personalizada na solicitação de upload. O Amazon S3 criptografará o objeto usando essa chave e armazenará os dados ociosos criptografados com segurança. De forma semelhante, para recuperar um objeto criptografado, forneça a chave de criptografia personalizada. O Amazon S3 descriptografará o objeto como parte da recuperação. O Amazon S3 não armazena a sua chave de criptografia em nenhum lugar. A chave é descartada imediatamente pelo Amazon S3 assim que as solicitações forem atendidas.

 

SSE com AWS KMS (SSE-KMS)

No SSE-KMS, o Amazon S3 criptografará os dados ociosos usando as chaves gerenciadas por você no AWS Key Management Service (KMS). O uso do AWS KMS para o gerenciamento de chaves oferece vários benefícios. Com o AWS KMS, existem permissões separadas para o uso da chave mestra, oferecendo uma camada de controle adicional e proteção contra acesso autorizado ao seu objeto armazenado no Amazon S3. O AWS KMS fornece uma trilha de auditoria, permitindo visualizar quem usou sua chave para acessar o objeto, qual objeto foi acessado e quando ocorreu esse acesso. Também é possível visualizar tentativas malsucedidas de acesso por usuários sem permissão para descriptografar os dados. Além disso, o AWS KMS oferece controles de segurança adicionais para apoiar os esforços dos clientes no cumprimento dos requisitos setoriais PCI-DSS, HIPAA/HITECH e FedRAMP.

 

Para obter mais informações, consulte os tópicos Using Data Encryption no Amazon S3 Developer Guide.

O Amazon S3 também oferece suporte ao registro de solicitações feitas nos seus recursos do Amazon S3. Você pode configurar seu bucket do Amazon S3 para criar registros de log de acesso para as solicitações feitas nele. Esses logs de acesso do servidor capturam todas as solicitações feitas para um bucket ou para seus objetos e podem ser usados para fins de auditoria.

Para obter mais informações sobre os recursos de segurança disponíveis no Amazon S3, consulte o tópico Access Control no Amazon S3 Developer Guide. Para obter uma visão geral sobre a segurança na AWS, incluindo o Amazon S3, consulte o documento Amazon Web Services: visão geral dos processos de segurança.

O Amazon S3 fornece proteção adicional com recursos de versionamento. O versionamento pode ser usado para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do Amazon S3. Isso permite que você recupere facilmente com base em ações não intencionais do usuário e falhas do aplicativo. Como padrão, as solicitações recuperarão a versão gravada mais recente. As versões mais antigas de um objeto podem ser recuperadas especificando-se uma versão na solicitação. As taxas de armazenamento aplicam-se para cada versão armazenada. As regras de ciclo de vida podem ser configuradas para controlar automaticamente o ciclo de vida e o custo de armazenamento de múltiplas versões.

O Amazon S3 oferece segurança adicional com a exclusão usando Multi-Factor Authentication (MFA). Quando ativado, esse recurso exige o uso de um dispositivo de autenticação multifator para excluir objetos armazenados no Amazon S3, ajudando a proteger versões anteriores dos objetos.

Se a exclusão usando MFA for ativada no bucket do Amazon S3, somente será possível alterar o estado de versionamento do seu bucket ou excluir permanentemente uma versão do objeto mediante o fornecimento de duas formas de autenticação ao mesmo tempo:

  • Suas credenciais de conta da AWS
  • A concatenação de um número serial válido, um espaço e o código de seis dígitos exibidos em um dispositivo de autenticação aprovado

Saiba mais

O Amazon S3 oferece suporte à autenticação de sequência de caracteres de consulta, que permite oferecer uma URL válida apenas durante o período especificado. Esse URL com limite de tempo pode ser útil em cenários como downloads de software ou outros aplicativos onde se deseja restringir o período de acesso a um objeto pelo usuário. Saiba mais


O uso deste serviço está sujeito ao Contrato do cliente AWS