Categorias de armazenamento

Você pode escolher entre quatro categorias de armazenamento diferentes para armazenar dados no Amazon S3: S3 Standard, S3 Standard-IA, S3 One Zone-IA e Amazon Glacier. Você pode obter mais informações sobre cada uma dessas categorias de armazenamento na página Categorias de armazenamento do Amazon S3. Os objetos podem sem movimentados automaticamente entre categorias de armazenamento usando as políticas de gerenciamento de ciclo de vida.

Gerenciamento de segurança e acesso

Por padrão, somente proprietários de buckets e objetos podem acessar os recursos que criam no Amazon S3. O S3 oferece suporte a vários mecanismos de controle de acesso, bem como criptografia para trânsito seguro e armazenamento seguro de dados ociosos. Com os recursos de proteção de dados do Amazon S3, você pode ajudar a proteger os dados contra falhas lógicas e físicas, perda causada por ações não intencionais de usuários, erros de aplicativo e falhas de infraestrutura. Para clientes que devem cumprir padrões regulatórios como PCI e HIPAA, os recursos de proteção de dados do Amazon S3 podem ser usados como parte de uma estratégia geral de obtenção de conformidade. Os vários recursos de segurança e confiabilidade de dados oferecidos pelo Amazon S3 são descritos detalhadamente a seguir.

Mecanismos flexíveis de controle de acesso

O Amazon S3 oferece suporte a vários mecanismos que proporcionam flexibilidade para controlar quem pode acessar seus dados e como, quando e onde esse acesso pode ocorrer. O Amazon S3 oferece quatro mecanismos de controle de acesso diferentes: políticas do AWS Identity and Access Management (IAM), listas de controle de acesso (ACLs), políticas de bucket e autenticação por query string. O IAM permite que as organizações criem e gerenciem vários usuários em uma única conta da AWS. Com as políticas IAM, você pode conceder aos usuários IAM um controle refinado ao seu bucket ou objetos do Amazon S3. Você pode usar ACLs para adicionar seletivamente (conceder) determinadas permissões sobre objetos individuais. As políticas de bucket do Amazon S3 podem ser usadas para adicionar ou negar permissões em alguns ou todos os objetos de um único bucket. Com a autenticação por query string, é possível compartilhar objetos do Amazon S3 por meio de URLs que são válidas por um período especificado.

O console do S3 destaca os buckets do S3 com acesso público, além de avisar se alterações em políticas e ACLs do bucket disponibilizarão esse bucket para acesso público.

VPC Endpoints

Agora você pode acessar o Amazon S3 na Amazon Virtual Private Cloud (Amazon VPC) usando endpoints da VPC. Os endpoints da VPC são fáceis de configurar e proporcionam uma conectividade confiável com o Amazon S3 sem exigir um gateway de Internet ou uma instância de Network Address Translation (NAT). Com os endpoints da VPC, os dados entre uma Amazon VPC e o Amazon S3 serão transferidos dentro da rede da Amazon, ajudando a proteger suas instâncias do tráfego da Internet. Os endpoints da Amazon VPC para o Amazon S3 proporcionam vários níveis de controles de segurança para ajudar a limitar o acesso a buckets do S3. Primeiro, você pode exigir que as solicitações para os buckets do Amazon S3 sejam originadas de uma VPC usando um endpoint VPC. Além disso, você pode controlar quais buckets, solicitações, usuários ou grupos são permitidos por meio de um endpoint VPC específico.

Criptografia

Você pode fazer o upload/download de dados para o Amazon S3 com segurança por meio de endpoints criptografados com SSL usando o protocolo HTTPS. O Amazon S3 pode criptografar dados ociosos automaticamente e oferece várias opções de gerenciamento de chaves. Você pode configurar os buckets do S3 para criptografar automaticamente os objetos antes de armazená-los no S3, caso as solicitações de armazenamento recebidas não tenham informações sobre criptografia. Como alternativa, é possível utilizar uma biblioteca cliente de criptografia como o Amazon S3 Encryption Client para criptografar seus dados antes de enviá-los ao Amazon S3.

Se você optar pela criptografia dos dados ociosos pelo Amazon S3 com criptografia no lado do servidor (SSE), o Amazon S3 automaticamente criptografará os dados na gravação e descriptografará os dados na recuperação. A criptografia de dados ociosos com o SSE do Amazon S3 usa chaves simétricas de 256 bits do Advanced Encryption Standard (AES). Se você optar pela criptografia no lado do servidor com o Amazon S3, há três formas de gerenciar as chaves de criptografia.

SSE com gerenciamento de chaves do Amazon S3 (SSE-S3)

No SSE-S3, o Amazon S3 criptografará os dados ociosos e gerenciar as chaves de criptografia para você.

SSE com chaves fornecidas pelo usuário (SSE-C)

No SSE-C, o Amazon S3 criptografará os dados ociosos usando as chaves de criptografia personalizadas que você fornecer. Para usar o SSE-C, basta incluir a chave de criptografia personalizada na solicitação de upload. O Amazon S3 criptografará o objeto usando essa chave e armazenará os dados ociosos criptografados com segurança. De forma semelhante, para recuperar um objeto criptografado, forneça a chave de criptografia personalizada. O Amazon S3 descriptografará o objeto como parte da recuperação. O Amazon S3 não armazena a sua chave de criptografia em nenhum lugar. A chave é descartada imediatamente pelo Amazon S3 assim que as solicitações forem atendidas.

SSE com AWS KMS (SSE-KMS)

No SSE-KMS, o Amazon S3 criptografará os dados ociosos usando as chaves gerenciadas por você no AWS Key Management Service (KMS). O uso do AWS KMS para o gerenciamento de chaves oferece vários benefícios. Com o AWS KMS, há permissões separadas para o uso da chave mestra, o que oferece uma camada de controle adicional, bem como proteção contra acesso não autorizado a um objeto armazenado no Amazon S3. O AWS KMS fornece uma trilha de auditoria, permitindo visualizar quem usou sua chave para acessar o objeto, qual objeto foi acessado e quando ocorreu esse acesso. Também é possível visualizar tentativas malsucedidas de acesso por usuários sem permissão para descriptografar os dados. Além disso, o AWS KMS oferece controles de segurança adicionais para apoiar os esforços dos clientes no cumprimento dos requisitos setoriais PCI-DSS, HIPAA/HITECH e FedRAMP.

Para obter mais informações, consulte os tópicos sobre uso de criptografia de dados no guia do desenvolvedor do Amazon S3.

Logs de auditoria

O Amazon S3 também oferece suporte ao registro de solicitações feitas nos seus recursos do Amazon S3. Você pode configurar seu bucket do Amazon S3 para criar registros de log de acesso para as solicitações feitas nele. Esses logs de acesso do servidor capturam todas as solicitações feitas para um bucket ou para seus objetos e podem ser usados para fins de auditoria.

Para obter mais informações sobre os recursos de segurança disponíveis no Amazon S3, consulte o tópico sobre controle de acesso no guia do desenvolvedor do Amazon S3. Para obter uma visão geral sobre a segurança na AWS, incluindo o Amazon S3, consulte o documento Amazon Web Services: visão geral dos processos de segurança.

Versionamento

O Amazon S3 fornece proteção adicional com recursos de versionamento. O versionamento pode ser usado para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do Amazon S3. Isso permite que você recupere facilmente com base em ações não intencionais do usuário e falhas do aplicativo. Como padrão, as solicitações recuperarão a versão gravada mais recente. As versões mais antigas de um objeto podem ser recuperadas especificando-se uma versão na solicitação. As taxas de armazenamento aplicam-se para cada versão armazenada. As regras de ciclo de vida do S3 podem ser configuradas para controlar automaticamente o tempo de vida e o custo de armazenamento de várias versões.

Exclusão usando Multi-Factor Authentication

O Amazon S3 oferece segurança adicional com a exclusão usando Multi-Factor Authentication (MFA). Quando ativado, esse recurso exige o uso de um dispositivo de autenticação multifator para excluir objetos armazenados no Amazon S3, ajudando a proteger versões anteriores dos objetos.

Se a exclusão usando MFA for ativada no bucket do Amazon S3, somente será possível alterar o estado de versionamento do seu bucket ou excluir permanentemente uma versão do objeto mediante o fornecimento de duas formas de autenticação ao mesmo tempo:

  • Suas credenciais de conta da AWS
  • A concatenação de um número serial válido, um espaço e o código de seis dígitos exibidos em um dispositivo de autenticação aprovado

Saiba mais sobre a exclusão usando Multi-Factor Authentication (MFA) do Amazon S3 »

Acesso a objetos limitado por tempo

O Amazon S3 oferece suporte à autenticação por query string, que permite fornecer um URL válido apenas durante o período especificado. Esse URL com limite de tempo pode ser útil em cenários como downloads de software ou outros aplicativos onde se deseja restringir o período de acesso a um objeto pelo usuário.

Saiba mais sobre os URLs com limite de tempo»

Segurança automatizada baseada em Machine Learning

O Amazon Macie usa Machine Learning para descobrir, classificar e proteger automaticamente dados confidenciais na AWS. O Amazon Macie reconhece dados confidenciais, como informações de identificação pessoal (PII) ou propriedade intelectual, fornecendo painéis e alertas que mostram os acessos e as movimentações desses dados. O serviço é gerenciado, monitora continuamente atividades de acesso a dados para detectar anomalias e envia alertas quando detecta risco de acesso não autorizado ou vazamento acidental de dados.

Consulta no local

A Amazon tem um conjunto de ferramentas que agilizam a análise e o processamento de grandes volumes de dados na nuvem, fornecendo maneiras de otimizar os fluxos de trabalho existentes com o Amazon S3. 

S3 Select

O Amazon S3 Select foi projetado para ajudar na análise e no processamento de dados em um objeto contido nos buckets do Amazon S3, de maneira rápida e barata. Ele fornece a capacidade de recuperar um subconjunto de dados de um objeto no Amazon S3 usando expressões SQL simples. Seus aplicativos não precisam mais usar recursos de computação para examinar e filtrar os dados de um objeto, o que aumenta potencialmente o desempenho das consultas em até 400%, além de reduzir os custos das consultas em 80%. Basta você alterar o seu aplicativo para usar SELECT em vez de GET para aproveitar os benefícios do S3 Select.

Amazon Athena

O Amazon Athena é um serviço de consultas interativas que facilita a análise de dados no Amazon S3 usando expressões SQL padrão. O Athena não precisa de servidor. Portanto, não há infraestrutura para gerenciar e você paga apenas pelas consultas executadas.

O Athena é fácil de usar. Basta apontar para os dados no Amazon S3, definir o esquema e iniciar as consultas usando expressões SQL padrão. A maioria dos resultados é entregue em segundos. Com o Athena, não há necessidade de trabalhos complexos de ETL para preparar os dados para análise. Isso permite que qualquer pessoa com experiência em SQL analise conjuntos de dados em grande escala com facilidade e rapidez.

Amazon Redshift Spectrum

O Amazon Redshift também inclui o Redshift Spectrum que permite executar diretamente consultas SQL em exabytes de dados não estruturados no Amazon S3. Não é preciso executar cargas ou transformações, e são permitidos formatos de dados abertos como Avro, CSV, Grok, ORC, Parquet, RCFile, RegexSerDe, SequenceFile, TextFile e TSV. O Redshift Spectrum escala automaticamente a capacidade computacional de consultas com base nos dados que estão sendo recuperados. Desta forma, as consultas no Amazon S3 são executadas de maneira rápida, independentemente do tamanho do conjunto de dados.

Gerenciamento de armazenamento

O Amazon S3 facilita o gerenciamento de dados oferecendo insights práticos sobre os padrões de uso de dados e as ferramentas para controlar as políticas de gerenciamento de armazenamento. Todos esses recursos de gerenciamento podem ser administrados facilmente usando as APIs do Amazon S3 ou o Console de Gerenciamento da AWS. Os vários recursos de gerenciamento de dados oferecidos pelo Amazon S3 são descritos detalhadamente a seguir.

S3 Object Tagging

Com o Amazon S3 Object Tagging, você pode gerenciar e controlar o acesso aos objetos do Amazon S3. As tags de objeto do S3 são pares de chave-valor aplicados aos objetos do S3, que podem ser criados, atualizados ou excluídos a qualquer momento durante o tempo de vida do objeto. Com eles, é possível criar políticas do Identity and Access Management (IAM), configurar políticas de ciclo de vida do S3 e personalizar métricas de armazenamento. Essas tags de objeto podem gerenciar transições entre categorias de armazenamento e expirar objetos em segundo plano.

S3 Inventory

Você pode simplificar e acelerar fluxos de trabalho empresariais e trabalhos de big data usando o S3 Inventory, que disponibiliza uma alternativa programada para a API List síncrona do Amazon S3. O S3 Inventory oferece uma saída no formato Comma Separated Values (CSV – Valores separados por vírgulas) ou Optimized Row Columnar (ORC – Linha otimizada colunar) dos objetos e de seus metadados correspondentes com frequência diária ou semanal para um bucket ou prefixo do S3. Além disso, o S3 Inventory facilita a auditoria e geração de relatórios sobre o status de criptografia de objetos para atender a requisitos empresariais, normativos e de conformidade.

Análise de categoria de armazenamento

Com a análise de categoria de armazenamento, você pode monitorar a frequência de acesso dos objetos no bucket S3 para migrar armazenamentos acessados com pouca frequência para uma categoria de armazenamento mais econômica. As análises de categoria de armazenamento observam padrões de uso para detectar armazenamentos acessados com pouca frequência e ajudar a transição dos objetos corretos da categoria de armazenamento S3 Standard para as categorias de armazenamento S3 Standard-IA, S3 One Zone-IA ou Amazon Glacier. É possível configurar uma política de análise de categorias de armazenamento para monitorar um bucket completo, um prefixo ou uma tag de objeto. Quando o a análise de categoria de armazenamento detecta que os dados são candidatos à transição para outra categoria de armazenamento, você pode criar facilmente uma nova política de ciclo de vida do S3 com base nesses resultados. Esse recurso também inclui uma análise diária detalhada do uso do armazenamento no bucket, prefixo ou nível de tag especificado, que pode ser exportada para um bucket do S3.

Métricas do Amazon CloudWatch para o Amazon S3

A integração do Amazon S3 com o Amazon CloudWatch ajuda a melhorar a experiência do usuário final, disponibilizando monitoramento e alarmes integrados para diversas métricas diferentes. Você pode receber métricas de 1 minuto do CloudWatch, definir alarmes do CloudWatch e acessar os painéis do CloudWatch para visualizar em tempo real operações e desempenho do armazenamento do Amazon S3. Para aplicações web e aplicativos móveis que dependem do armazenamento na nuvem, isso permite identificar e agir rapidamente em caso de problemas operacionais. Essas métricas de 1 minuto estão disponíveis para buckets do S3. Além disso, você tem a flexibilidade de definir um filtro para as métricas coletadas usando um prefixo compartilhado ou uma tag de objeto, o que permite alinhar filtros de métricas a aplicações de negócios, fluxos de trabalho ou organizações internas específicos.

Gerenciamento e eventos de dados do AWS CloudTrail para o Amazon S3

Você pode usar o AWS CloudTrail para capturar eventos de bucket (eventos de gerenciamento) e atividades de API nos objetos (eventos de dados) de objetos do S3. Os eventos de dados incluem operações de leitura como GET, HEAD, e Get Object ACL, além de operações de gravação como PUT e POST. Os detalhes capturados sustentam diversos tipos de casos de uso de segurança, auditoria, governança e conformidade. Visite a página do AWS CloudTrail para obter mais informações sobre os eventos de dados do S3.

Gerenciamento de ciclo de vida do Amazon S3

O Amazon S3 pode atribuir e alterar automaticamente características de custo e performance para acompanhar a evolução dos dados. Ele pode até automatizar tarefas comuns de gerenciamento de ciclo de vida de dados, incluindo provisionamento de capacidade, migração automática para níveis de custo mais baixo, políticas de conformidade normativa e exclusões programadas ocasionais.

À medida que os dados envelhecem, o Amazon S3 migra os dados de forma automática e transparente para outro hardware em caso de falha de hardware ou de final de vida útil dos dados. Assim, não é mais necessário realizar migrações de hardware arriscadas, demoradas e caras. Você pode definir políticas de ciclo de vida do S3 diretamente no Amazon S3 para migrar automaticamente dados para armazenamentos mais econômicos, à medida que os dados envelhecem. Você pode definir regras para migrar automaticamente objetos do Amazon S3 para as categorias de armazenamento S3 Standard-IA, S3 One Zone-IA ou Amazon Glacier de acordo com a idade dos dados. Você pode definir políticas de ciclo de vida por bucket, prefixo ou tags de objeto, o que permite especificar a granularidade mais adequada ao caso de uso.

Quando os dados atingirem o fim da vida útil, o Amazon S3 fornecerá opções programáticas para exclusões recorrentes e de alto volume. Para exclusões recorrentes, é possível definir regras para remover conjuntos de objetos após um período pré-definido. Essas regras podem ser aplicadas para objetos armazenados nas categorias S3 Standard, S3 Standard-IA ou S3 One Zone-IA, bem como para objetos que tenham sido arquivados no Amazon Glacier.

As regras de ciclo de vida também podem ser definidas em versões dos objetos do Amazon S3 para reduzir custos de armazenamento. Por exemplo, você pode criar regras para excluir de forma automática e simples versões mais antigas dos objetos quando essas versões não são mais necessárias, economizando dinheiro e melhorando a performance. Como alternativa, você também pode criar regras para migrar automaticamente versões mais antigas para as categorias S3 Standard-IA ou S3 One Zone-IA, bem como para o Amazon Glacier a fim de reduzir ainda mais os custos de armazenamento.

Replicação entre regiões

A Cross-Region Replication (CRR – Replicação entre regiões) simplifica a replicação de objetos novos para qualquer outra região da AWS, o que possibilita latência reduzida, conformidade, segurança, recuperação de desastres e vários outros casos de uso. A CRR replica cada objeto carregado no bucket de origem para um bucket de destino em uma região da AWS diferente à sua escolha. Os metadados, as ACLs e as tags de objetos associadas ao objeto também fazem parte da replicação. Após configurar uma CRR no bucket de origem, todas as alterações efetuadas em dados, metadados, ACLs ou tags de objeto do objeto acionam uma nova replicação para o bucket de destino.

A CRR é uma configuração de bucket. Você habilita a CRR em um bucket especificando um bucket de destino em uma região da AWS diferente. Com a CRR, você pode selecionar qualquer região comercial da AWS como região de destino ou qualquer categoria de armazenamento do S3 para o armazenamento replicado, conforme a necessidade. É possível configurar a CRR em várias contas e ter uma pilha de propriedade totalmente diferente entre a origem e o destino. Você pode criar essas configurações usando o Console de Gerenciamento da AWS, a API REST, a ILC da AWS ou os SDKs da AWS. O versionamento deve ser ativado nos buckets de origem e destino para que a CRR seja habilitada.

Saiba mais sobre a replicação entre regiões »

Monitoramento e controles de custo

O Amazon S3 oferece vários recursos para o gerenciamento e o controle de seus custos. Você pode usar o Console de Gerenciamento da AWS ou as APIs do Amazon S3 para aplicar tags aos seus buckets do Amazon S3, permitindo que você aloque seus custos em várias dimensões comerciais, incluindo centros de custos, nomes de aplicativos ou proprietários. Você poderá ver então detalhamentos desses custos usando os relatórios de alocação de custos da Amazon Web Services, que mostram utilização e custos agregados pelas tags dos buckets. Para obter mais informações sobre alocação de custos e tags, consulte Sobre o faturamento de conta da AWS. Para obter mais informações sobre tags em seus buckets do S3, consulte o tópico Bucket Tagging no Amazon S3 Developer Guide.

Você pode usar o Amazon CloudWatch para receber alertas de faturamento do S3 que ajudam a monitorar as cobranças do Amazon S3 em sua fatura. Você poderá configurar um alerta a ser notificado automaticamente via e-mail quando cobranças estimadas atingirem um limite escolhido por você. Para obter informações adicionais sobre alertas de cobrança, você poderá visitar a página de alertas de cobrança ou consultar o tópico Monitorar suas cobranças estimadas no Guia para desenvolvedores do Amazon CloudWatch.

Notificações de eventos

As notificações de eventos do Amazon S3 podem ser enviadas como resposta a ações executadas em objetos carregados ou armazenados no Amazon S3. As mensagens de notificação podem ser enviadas usando o Amazon SNS ou o Amazon SQS, ou entregues diretamente ao AWS Lambda para invocar suas funções.

As notificações de eventos do Amazon S3 permitem executar fluxos de trabalho, enviar alertas ou executar outras ações como resposta a alterações nos objetos armazenados no Amazon S3. Você pode usar as notificações de eventos do Amazon S3 para configurar triggers que executam ações como transcodificação de arquivos de mídia após o upload, processamento de arquivos de dados após sua disponibilização e sincronização de objetos do Amazon S3 com outros datastores. Você também pode configurar notificações de eventos com base em prefixos e sufixos de nomes de objetos. Por exemplo, você pode optar por receber notificações sobre nomes de objetos que começam com "images/". Também pode ajudar a manter um índice secundário de objetos do Amazon S3 em sincronia.

As notificações de eventos do Amazon S3 são configuradas no bucket. A configuração pode ser feita por meio do console do Amazon S3, da API REST ou usando um AWS SDK.

Para saber mais, consulte o tópico Como configurar notificações de evento do Amazon S3 no guia do desenvolvedor do Amazon S3.

Transferência de grandes quantidades de dados

A Amazon tem um conjunto de ferramentas de migração de dados que agiliza a migração de dados para a nuvem, incluindo maneiras de otimizar ou substituir sua rede e de integrar fluxos de trabalho atuais com o S3.

S3 Transfer Acceleration

O Amazon S3 Transfer Acceleration foi criado para maximizar as velocidades de transferência de dados para buckets do Amazon S3 a grandes distâncias. O serviço funciona transportando o tráfego HTTP e HTTPS por um bridge de rede altamente otimizado, executado entre o ponto de presença da AWS mais próximo dos seus clientes e o bucket do Amazon S3. Não é necessário gerenciar servidores de gateway, abrir firewalls, integrar portas especiais ou clientes ou pagar taxas iniciais. Basta você mudar o endpoint do Amazon S3 que o seu aplicativo usa para transferir dados e a aceleração é aplicada automaticamente. Use o S3 Transfer Acceleration se você:

  • Precisa acelerar os uploads de clientes localizados longe do bucket como, por exemplo, em outros países ou continentes.
  • Tem clientes localizados fora dos seus datacenters que dependem da Internet pública para acessar o Amazon S3. Para clientes dentro dos seus datacenters, considere o AWS Direct Connect.

Saiba mais sobre o S3 Transfer Acceleration »

AWS Snowball, Snowball Edge e Snowmobile

Os serviços de migração de dados da AWS usam dispositivos seguros para transferir grandes quantidades de dados (de petabytes a exabytes) de/para o Amazon S3. O AWS Snowball, o AWS Snowball Edge e o AWS Snowmobile solucionam desafios comuns enfrentados durante transferências de dados em grande escala, incluindo altos custos de rede, longos tempos de transferência e problemas de segurança. A transferência de dados com esses serviços é simples, rápida e segura, com um custo que pode chegar a um quinto da Internet de alta velocidade.

Saiba mais sobre a família do AWS Snow »

AWS Storage Gateway

Sistemas de dados ou armazenamento que existem localmente podem ser facilmente vinculados ao Amazon S3 usando o AWS Storage Gateway para armazenamento na nuvem híbrida. Isso significa que sistemas, software, processos e dados atuais podem ser otimizados na nuvem para backup, migração, divisão em camadas ou bursting com o mínimo de interrupções.

Saiba mais sobre o AWS Storage Gateway »

Integração de parceiros externos

Diversos parceiros ISVs estão integrados ao Amazon S3 para oferecer transferência e recuperação simplificadas de dados. Visite a página AWS Storage Partner Solutions para obter uma lista das soluções aprovadas de parceiros da AWS.

Uso pretendido e restrições

O uso deste serviço está sujeito ao Acordo do cliente da Amazon Web Services.

Saiba mais sobre a definição de preço do Amazon S3

Acesse a página de definição de preço
Pronto para criar?
Comece a usar o Amazon S3
Mais dúvidas?
Entre em contato conosco