Сервис Amazon S3 представляет данные в виде объектов, которые хранятся в так называемых «корзинах». Каждая корзина вмещает неограниченное количество объектов. Пользователи могут выполнять над ними операции чтения и записи, а также удалять их. При этом размер одного объекта может достигать 5 ТБ.

Управляя доступом к корзине, можно предоставлять другим пользователям права на создание, удаление и извлечение объектов из нее, а также просматривать журналы обращений к корзине и объектам. Кроме того, пользователи могут выбирать регион AWS, где будет размещаться корзина: это позволяет сократить задержки, свести затраты к минимуму или выполнить нормативные требования.

Начните работу с AWS уже сегодня

Попробуйте бесплатную версию Amazon S3

Уровень бесплатного пользования AWS включает в себя хранилище объемом 5 ГБ, 20 000 запросов Get и 2 000 запросов Put при использовании сервиса Amazon S3.

Сведения об уровне бесплатного пользования AWS »

S3_ProductPage_Banner

Сервис Amazon S3 задуман как платформа хранения данных, предоставляющая все необходимое. Взвесьте все преимущества, получаемые при хранении каждого гигабайта ваших данных.

Простота. Веб-консоль управления, мобильное приложение, полный пакет REST API и инструменты SDK обеспечивают удобство и простоту интеграции Amazon S3 с технологиями сторонних разработчиков.

Надежность. Инстансы Amazon S3 доступны в регионах по всему миру, поддерживают географическую избыточность в каждом регионе и возможность репликации между регионами. Кроме того, для восстановления на момент времени могут сохраняться несколько версий объектов.

Масштабирование. Клиенты по всему миру полагаются на надежность Amazon S3 и хранят в нем триллионы объектов. Расходы увеличиваются и уменьшаются по требованию, а развертывание по всему миру может быть выполнено за несколько минут. Сервис используется в таких отраслях, как финансовые услуги, здравоохранение, мультимедиа и индустрия развлечений, чтобы создавать приложения для работы с большими данными, аналитики, а также перекодировки и архивации.

Безопасность. Amazon S3 поддерживает передачу данных по протоколу SSL с последующим автоматическим шифрованием. Сервис AWS Identity and Access Management (IAM) позволяет настроить параметры корзин и установить разрешения на доступ к объектам и данным.

Запросы к данным без извлечения. Amazon S3 Select обрабатывает данные внутри объекта, находящегося в хранилище, а Amazon Athena и Amazon Redshift Spectrum дают возможность выполнять сложные аналитические операции напрямую с данными, хранящимися в S3.

Широкие возможности интеграции с другими сервисами AWS. Сервисы обеспечения безопасности (IAM и KMS), сервисы оповещений (CloudWatch, CloudTrail и Event Notifications), вычислительные сервисы (Lambda) и базы данных (EMR, Redshift) рассчитаны на прямую интеграцию с Amazon S3.

Варианты миграции данных в облако.Хранение данных в AWS подразумевает применение нескольких специальных способов передачи данных в облако и из него.

Гибкое управление хранилищем Возможности S3 Storage Management позволяют подойти к вопросам оптимизации хранения, обеспечения безопасности данных и эффективности управления с позиции оптимальной работы с данными.


Возможности Amazon S3 Storage Management позволяют подойти к вопросам оптимизации хранения, соответствия требованиям и эффективности управления с позиции оптимальной работы с данными. Вместе эти возможности помогают повысить эффективность выполнения рабочих нагрузок, обеспечить соответствие требованиям, ускорить выполнение рабочих нагрузок бизнеса, а также оптимизировать расходы и эффективность хранения за счет интеллектуального распределения данных по уровням.

Подробнее

Доступ к Amazon S3 осуществляется через консоль S3, с помощью SDK или за счет интеграции ISV. Сервис S3 поддерживается комплектами AWS SDK для Java, PHP, .NET, Python, Node.js, Ruby, а также AWS Mobile SDK. Библиотеки SDK являются надстройками для интерфейса REST API, который облегчает создание программ для работы с сервисом.

Подробнее

Устойчивая инфраструктура Amazon S3 обеспечивает надежное хранение 99,999999999 % объектов. Резервные копии данных распределяются между несколькими объектами и несколькими устройствами на каждом объекте.

Подробнее

Amazon предоставляет различные варианты миграции облачных данных, которые позволяют просто и экономично получать большие объемы данных из Amazon S3. Для передачи данных в S3 и из него можно использовать методы подключения на базе физических дисков, оптимизированные для работы в сети, а также коннекторы от сторонних разработчиков.

Подробнее

Amazon S3 содержит несколько механизмов управления доступом к данным. С их помощью можно настроить, кто, когда и в какой форме сможет иметь доступ к данным. Конечные точки VPC позволяют создать безопасное подключение без шлюза или инстансов NAT.

Подробнее

Кроме стандартного хранилища S3 существует более дешевое стандартное хранилище нечастого доступа для хранения данных, не требующих частого обращения, и Amazon Glacier для архивирования неиспользуемых данных с наименьшими затратами.

Подробнее

Amazon S3 Select (работает в ознакомительном режиме) дает приложениям возможность сканировать и фильтровать данные без извлечения из хранилища, что ускоряет работу и снижает стоимость использования сложной аналитики.

Подробнее


Amazon обладает набором инструментов, ускоряющих анализ и обработку больших объемов данных в облаке. В числе прочего они позволяют оптимизировать и интегрировать с Amazon S3 имеющиеся рабочие процессы. 

Amazon S3 Select был разработан с целью ускорения анализа и обработки данных внутри объекта в корзинах Amazon S3 и сокращения связанных расходов. Он предоставляет возможность извлечения подмножества данных из объекта в Amazon S3 с помощью простых SQL-выражений. Приложениям больше не нужно тратить вычислительные ресурсы на сканирование и фильтрацию данных из объекта, что потенциально может увеличить производительность запросов на 400 % и сократить их стоимость на 80 %. Для использования всех преимуществ S3 Select в приложении достаточно вместо запроса GET применить SELECT. Во время работы в ознакомительном режиме S3 Select доступен только через API и только в следующих регионах AWS: Восток США (Огайо), Восток США (Сев. Вирджиния), Запад США (Орегон), ЕС (Ирландия) и Азия и Тихий океан (Сингапур). Консоль S3 и интерфейс командной строки во время работы в ознакомительном режиме недоступны.

Amazon Athena – интерактивный сервис запросов, позволяющий анализировать данные в Amazon S3 стандартными средствами SQL. Athena – это бессерверный сервис, поэтому инфраструктура, которой нужно было бы управлять, отсутствует, а плата начисляется только за выполняемые запросы.

Сервис Athena очень прост в использовании. Просто укажите данные в Amazon S3, задайте схему и выполняйте запросы, используя стандартные средства SQL. Большинство результатов готово в течение секунд. Для подготовки данных к анализу больше не нужно использовать сложные задания ETL. Таким образом, любой специалист со знанием SQL может быстро проанализировать большой объем данных.

Amazon Redshift также включает в себя Redshift Spectrum, позволяющий отправлять SQL-запросы непосредственно к эксабайтам неструктурированных данных в Amazon S3. Загрузка или преобразование данных не требуется. Можно использовать открытые форматы данных, включая Avro, CSV, Grok, ORC, Parquet, RCFile, RegexSerDe, SequenceFile, TextFile и TSV. Redshift Spectrum автоматически масштабирует вычислительные ресурсы, необходимые для выполнения запроса к извлекаемым данным, поэтому запросы к Amazon S3 выполняются быстро при любых объемах данных.

Amazon S3 упрощает управление данными, предоставляя проверенную аналитическую информацию о шаблонах использования данных и инструменты управления хранилищем с помощью политик управления. Все эти функциональные возможности управления легко администрировать с помощью интерфейса API Amazon S3 или Консоли управления AWS. Различные функции управления данными, предлагаемые сервисом Amazon S3, подробно описаны ниже.

Amazon S3 Object Tagging позволяет управлять доступом к объектам Amazon S3 и контролировать его. Теги объектов S3 – это пары ключ-значение, назначаемые объектам S3. Эти пары можно создавать, обновлять и удалять в любое время в течение жизненного цикла объекта. Они позволяют создавать политики Identity and Access Management (IAM), настраивать политики жизненных циклов S3 и настраивать метрики хранилища. С помощью тегов объектного уровня также можно управлять транзакциями между классами хранения и автоматически удалять объекты с истекшим сроком существования.

Рабочие бизнес-процессы и задачи по обработке больших данных можно упростить и ускорить с помощью возможности S3 Inventory, которая является альтернативой синхронному интерфейсу API Amazon S3 LIST, позволяющей выполнять задачи по расписанию. S3 Inventory ежедневно или еженедельно создает файл в формате CSV (значения, разделенные запятыми) или ORC (оптимизированный формат столбцов), включающий все объекты корзины S3 или префикса, а также соответствующие метаданные. S3 Inventory также упрощает проведение аудита и создание отчетов о статусе шифрования объектов, требуемых для ваших бизнес-задач и обеспечения соответствия требованиям, в том числе нормативным.

Возможность Storage Class Analysis позволяет следить за частотой доступа к объектам в корзине S3 и переносить менее часто запрашиваемые объекты хранилища в более экономичные классы хранилищ. Эта новая возможность S3 Analytics отслеживает шаблоны запросов, обнаруживает хранилища, доступ к которым осуществляется реже других, и помогает перенести соответствующие объекты в стандартное хранилище S3 нечастого доступа. Политика Storage Class Analysis может следить за всей корзиной, за объектами с определенным префиксом или с определенным тегом. Как только S3 Analytics определит кандидата на перенос в стандартное хранилище нечастого доступа, можно воспользоваться этими результатами, чтобы создать новую политику управления жизненным циклом. Эта возможность также представляет ежедневный подробный аналитический отчет об использовании хранилища на уровне корзины, префикса или тега. Такие отчеты можно экспортировать в корзину S3. 

Интеграция Amazon S3 и CloudWatch позволяет улучшить взаимодействие с конечным пользователем за счет встроенного мониторинга и предупреждений по ряду выбранных метрик. Поддерживается ведение метрик CloudWatch с интервалом в 1 минуту, установка предупреждений CloudWatch и отображение операций и производительности хранилища Amazon S3 на панели управления CloudWatch в режиме реального времени. Такая интеграция позволяет быстро идентифицировать и устранять проблемы в работе, что особенно важно для мобильных и интернет-приложений, сильно зависящих от облачных хранилищ. Ежеминутные метрики доступны на уровне корзины S3. Поддерживается также установка фильтров для метрик, собранных по общему префиксу или тегу объекта, что позволяет связывать конкретные фильтры метрик с конкретными приложениями, рабочими процессами и внутренними подразделениями.

AWS CloudTrail позволяет следить за активностью API для объектов S3 на уровне корзины (Management Events) и объектов (Data Events). Data Events включают операции чтения (GET, HEAD, Get Object ACL и др.) и записи (PUT, POST и др.) Подробные отслеживания могут быть полезны для решения вопросов безопасности, аудита, управления и соответствия требованиям. Подробнее о Data Events в S3 см. на странице AWS CloudTrail.

Amazon S3 может автоматически назначать и изменять характеристики стоимости и производительности по мере изменения ваших данных. Сервис дает возможность автоматизировать стандартные задачи управления жизненным циклом данных, включая выделение ресурсов, автоматическую миграцию на более экономичный уровень хранилища, осуществление политик соответствия требованиям и плановое удаление данных в определенные сроки.

Сервис Amazon S3 автоматически следит за процессом старения данных и переносит данные на новое оборудование по мере выхода текущего оборудования из строя или по истечению срока его службы. Такой механизм позволяет исключить необходимость в выполнении дорогостоящей, длительной и достаточно рискованной замены оборудования. Политики управления жизненным циклом могут контролировать миграцию данных Amazon S3 в более экономичные классы хранилища по мере устаревания. Можно настроить правила переноса объектов Amazon S3 в стандартное хранилище нечастого доступа или в Amazon Glacier на основе периода хранения данных.  Политики управления жизненным циклом настраиваются на уровне корзины, префиксов и тегов объектов, что позволяет указать оптимальную степень детализации для каждого примера использования.

Amazon S3 предлагает программные решения для повторяющихся удалений и удалений больших объемов информации после завершения жизненного цикла данных. При повторяющемся удалении пользователь может создать правила, описывающие удаление наборов объектов по завершении определенного периода времени. Эти правила можно применять к объектам, которые хранятся в стандартном хранилище и стандартном хранилище нечастого доступа, а также к объектам, архивированным в Amazon Glacier.

Можно дополнительно определить правила хранения на протяжении жизненного цикла для различных версий объектов в Amazon S3, сокращая расходы на хранение данных. Например, можно создать правила автоматического и корректного удаления устаревших версий ваших объектов тогда, как они уже больше не нужны; это позволит сэкономить деньги и повысить производительность. Кроме того, можно создавать правила для автоматического переноса старых версий объектов либо в стандартное хранилище нечастого доступа, либо в хранилище Amazon Glacier для еще большего снижения затрат на хранение.

Межрегиональная репликация (CRR) упрощает репликацию новых объектов в любой другой регион AWS для снижения задержек, обеспечения соответствия требованиям, аварийного восстановления и ряда других примеров использования. При использовании CRR все загружаемые в исходную корзину объекты реплицируются в целевую корзину в другом указанном клиентом регионе AWS. При репликации также копируются метаданные, списки контроля доступа и теги объектов. После настройки межрегиональной репликации для исходной корзины все изменения в данных, метаданных, списках контроля доступа и тегах для объекта инициируют новую операцию репликации в целевую корзину.

CRR настраивается в конфигурации на уровне корзины, при этом включение CRR для корзины выполняется при указании целевой корзины в другом регионе. В зависимости от конкретных потребностей, при использовании CRR в качестве целевого региона можно выбрать любой регион AWS, а также выбрать хранилище S3 любого класса для реплицированного хранилища. Можно настроить CRR между разными аккаунтами, при этом источник и получатель могут иметь совершенно разных владельцев. CRR настраивается на уровне корзины. Чтобы включить CRR, необходимо задать целевую корзину в другом регионе с помощью Консоли управления AWS, интерфейса REST API, AWS CLI или пакета SDK AWS. Для работы CRR управление версиями должно быть включено и в исходной и в целевой корзине. Подробнее.

Сервис Amazon S3 предлагает несколько возможностей контроля и управления расходами. Через консоль управления AWS или интерфейсы API сервиса Amazon S3 можно применять теги к корзинам Amazon S3, таким образом распределяя расходы в рамках нескольких подразделений бизнеса, в том числе центров затрат, имен приложений или владельцев. После этого в отчетах сервиса AWS о распределении расходов можно будет получить наглядную сводку о расходах за пользование и хранилище, отсортированную по установленным тегам корзины. Подробная информация о распределении расходов и размещении тегов доступна в разделе Выставление счетов для аккаунта AWS. Подробная информация о размещении тегов на корзинах Amazon S3 приводится в теме Bucket Tagging руководства Amazon S3 Developer Guide.

Для получения сообщений о предъявлении счета, которые помогают осуществлять мониторинг расходов по счетам Amazon S3, можно использовать сервис Amazon CloudWatch. Для получения автоматических предупреждений по электронной почте о достижении установленного порога оценочной суммы расходов можно настроить оповещение. Дополнительную информацию о функции предупреждения о выставлении счета см. на странице с описанием оповещений о предъявлении счетов или в теме Мониторинг прогнозируемых расходов руководства разработчика Amazon CloudWatch Amazon CloudWatch Developer Guide.

Amazon S3 может посылать оповещения, когда с объектами, загруженными или хранимыми в Amazon S3, произошли изменения. Оповещения могут быть отправлены через службы Amazon SNS или Amazon SQS, а также могут доставляться напрямую в сервис AWS Lambda для запуска его функций.

Оповещения о событиях в сервисе Amazon S3 позволяют запускать рабочие процессы, отправлять предупреждения или выполнять другие действия, когда хранимые в корзине S3 объекты подвергаются изменениям. Вы можете использовать службу оповещений о событиях Amazon S3 для настройки триггеров, запускающих выполнение определенных действий, таких как перекодировка мультимедийных файлов по завершению загрузки, обработка файлов данных по мере их поступления и синхронизация объектов Amazon S3 с другими хранилищами данных. Также вы можете настроить оповещения о событиях на основе префиксов и суффиксов имени объекта. Например, можно получать оповещения об объектах, имя которых начинается с «images/». Также служба оповещений может быть использована для синхронизации вторичного индекса объектов Amazon S3.

Оповещения о событиях Amazon S3 могут быть настроены на уровне корзины. Сделать это с помощью консоли Amazon S3, REST API или AWS SDK.

Подробная информация приводится в теме Настройка оповещений о событиях Amazon S3 Руководства по Amazon S3 для разработчиков.


Amazon S3 обеспечивает инфраструктуру хранения данных с высокой степенью надежности, предназначенную для критически важных и основных хранилищ данных. Сервис создает резервные копии данных и хранит их в нескольких центрах обработки данных (ЦОД) и на разных устройствах в пределах каждого ЦОД. Для повышения долговечности данных, перед подтверждением об их успешном сохранением Amazon S3 синхронно сохраняет данные в различных ЦОД. Помимо определения поврежденных пакетов, при сохранении или извлечении данных Amazon S3 вычисляет контрольную сумму всего трафика. В отличие от традиционных систем, в которых могут применяться сложные механизмы проверки данных и функции ручной коррекции, Amazon S3 систематически осуществляет проверку целостности данных и обладает свойством автоматического самовосстановления.

Стандартное хранилище

  • Доступность гарантируется соглашением об уровне обслуживания Amazon S3 Service Level Agreement.
  • Предусматривает надежность объектов на уровне 99,999999999 % и доступность объектов на уровне 99,99 % в течение определенного года.
  • Гарантия сохранности данных даже при одновременной их потере в двух ЦОД.

Стандартное хранилище нечастого доступа

  • Доступность гарантируется соглашением об уровне обслуживания Amazon S3 Service Level Agreement.
  • Предусматривает надежность объектов на уровне 99,999999999 % и доступность объектов на уровне 99.9 % в течение определенного года.
  • Предназначено для обеспечения устойчивости при одновременной потере данных в двух ЦОД.

Amazon Glacier

  • Предусматривает надежность объектов на уровне 99,999999999 % в течение года.
  • Предназначено для обеспечения устойчивости при одновременной потере данных в двух ЦОД.

Amazon предлагает набор инструментов для ускорения переноса данных в облако. Они обеспечивают разные способы оптимизации или замены вашей сети, а также разные способы интегрирования существующих рабочих потоков с S3.

Сервис Amazon S3 Transfer Acceleration предназначен для увеличения скорости передачи данных в корзины Amazon S3 до максимальных значений при передаче данных на большие расстояния. Он работает по принципу передачи трафика HTTP и HTTPS через высокооптимизированный сетевой мост, соединяющий ближайшее к вашим клиентам периферийное местоположение AWS с вашей корзиной Amazon S3. Не надо управлять серверами шлюзов, открывать брандмауэры, интегрировать специальные порты или клиентов, не требуются авансовые платежи. Вы просто изменяете URL сервера сервиса Amazon S3, используемый вашим приложением для передачи данных, и акселерация автоматически включается. Используйте Transfer Acceleration в следующих случаях.

  • Если необходимо быстрее выполнять загрузку от клиентов, расположенных далеко от вашей корзины, например в другой стране или на другом континенте.
  • Если клиенты находятся за пределами ваших собственных ЦОД и используют для доступа к Amazon S3 публичный Интернет. Для клиентов, находящихся в пределах ваших собственных ЦОД, рассмотрите вариант использования AWS Direct Connect.

Подробнее

Сервисы миграции данных AWS предлагают защищенные устройства для переноса в Amazon S3 больших объемов данных, от петабайтов до эксабайтов. AWS Snowball, AWS Snowball Edge и AWS Snowmobile решают проблемы переноса больших объемов данных, такие как высокие расходы на сеть, слишком продолжительный перенос и недостаточный уровень безопасности. Передача данных посредством этих устройств выполняется просто, быстро, безопасно и приблизительно в пять раз дешевле, чем при использовании скоростного Интернета.

Подробнее

Локальные данные и системы хранения можно без труда подключить к Amazon S3 с помощью AWS Storage Gateway. В результате любые системы, ПО, процессы и данные могут быть отправлены в облако для архивации, миграции, многоуровневого хранения и полного переноса в облако без остановки или перенастройки рабочих процессов.

Подробнее

Ряд партнеров ISV уже интегрировали свои системы с Amazon S3 для упрощения передачи и чтения данных. Список утвержденных партнеров AWS приведен на странице Решения партнеров AWS.


Данные, которые хранятся в системе Amazon S3, обеспечиваются защитой по умолчанию. Доступом к созданным ресурсам Amazon S3 обладают только владельцы корзин и объектов. Сервис Amazon S3 поддерживает многочисленные механизмы управления доступом, а также шифрование данных при хранении и передаче. С помощью функций защиты данных, которыми обладает сервис Amazon S3, пользователь может обеспечить защиту данных от логических и физических сбоев, а также от утраты данных вследствие непреднамеренных действий пользователя, ошибок приложений и инфраструктурных сбоев. При необходимости соблюдения нормативных стандартов, таких как PCI и HIPAA, функции защиты данных, встроенные в сервис Amazon S3, могут применяться в рамках общей стратегии обеспечения соответствия этим стандартам. Различные функции защиты и обеспечения надежности данных, доступные в сервисе Amazon S3, описаны ниже.

Amazon Macie использует технологии машинного обучения для автоматического обнаружения, классификации и обеспечения безопасности конфиденциальных данных на AWS. Amazon Macie распознает конфиденциальные данные, такие как персональная информация (PII) или интеллектуальная собственность, и предоставляет информационные панели и предупреждения, которые обеспечивают наглядное представление того, как осуществляется доступ этим данным и как они перемещаются. Amazon Macie является полностью управляемым сервисом. Он непрерывно выполняет мониторинг действий по доступу к данным для выявления отклонений от нормы и генерирует предупреждения, если обнаруживает риск несанкционированного доступа или неумышленной утечки данных.

Сервис Amazon S3 поддерживает несколько механизмов, обеспечивающих гибкость управления доступом к вашим данным и позволяющих регулировать, кто, когда и каким способом может иметь доступ. Сервис Amazon S3 обеспечивает четыре различных механизма управления доступом: политики AWS Identity and Access Management (IAM); списки контроля доступа (ACL); политики, регламентирующие использование корзин; и аутентификация строки запроса. Механизм IAM позволяет организациям с большим штатом сотрудников создавать профили множества пользователей и управлять ими через один аккаунт AWS. С помощью политик IAM пользователям механизмов IAM можно предоставлять средства тонкого управления корзинами и объектами сервиса Amazon S3. Списки ACL можно использовать для выборочного добавления (предоставления) определенных разрешений в отношении отдельных объектов. Политики управления корзинами Amazon S3 могут использоваться для предоставления или отказа в доступе к некоторым или всем объектам в пределах одной корзины. С помощью функции определения подлинности строки запроса пользователь может открывать общий доступ к объектам Amazon S3 с помощью адресов URL, действующих в течение заданного периода времени.

Консоль S3 выделяет общедоступные корзины S3, а также предупреждает пользователя, если производимые для корзины изменения в политиках и списке контроля доступа сделают эту корзину общедоступной.

Вы можете получать доступ к сервису Amazon S3 из своего виртуального частного облака Amazon (VPC) с помощью конечных точек VPC. Конечные точки VPC легко настраиваются и предоставляют возможность надежного подключения к хранилищу Amazon S3. Для этого не потребуется интернет-шлюз или инстанс трансляции сетевых адресов (NAT). При использовании конечных точек VPC передача данных между Amazon VPC и хранилищем Amazon S3 осуществляется в пределах сети Amazon, при этом ваши инстансы остаются защищенными от интернет-трафика. Использование конечных точек Amazon VPC для Amazon S3 обеспечивает несколько уровней управления безопасностью для ограничения доступа к корзинам S3. Во-первых, вы можете задать требование, чтобы запросы к корзинам Amazon S3 исходили из облака VPC с применением конечной точки. Кроме того, можно назначать разрешения для корзин, запросов, пользователей и групп при доступе через определенную конечную точку VPC.

Можно в безопасном режиме выгружать и загружать данные в сервис Amazon S3 через маршрутные точки, зашифрованные с применением SSL (через протокол HTTPS). Amazon S3 может автоматически шифровать хранимые данные в состоянии покоя и предоставляет вам возможность выбора варианта управлкния ключами Корзины S3 можно настроить на автоматическое шифрование объектов перед их сохранением в S3, если входящие запросы на хранение не предоставляют информацию о шифровании. Для шифрования данных перед их выгрузкой в систему Amazon S3 также можно использовать клиентскую библиотеку шифрования, например, Amazon S3 Encryption Client.

Если вы выберите шифровку хранимых данных в состоянии покоя сервисом Amazon S3 с серверным механизмом шифрования (SSE), Amazon S3 автоматически зашифрует данные при записи и дешифрует их при извлечении. При шифровании данных в состоянии покоя Amazon S3 использует симметричные ключи Advanced Encryption Standard (AES) длиной 256 бит. При использовании серверного механизма шифрования сервисом Amazon S3 возможны три варианта управления ключами шифрования.

 

SSE с Amazon S3 Key Management (SSE-S3)

При использовании SSE-S3 сервис Amazon S3 автоматически зашифрует данные в состоянии покоя и будет управлять вашими ключами шифрования

 

SSE с предоставленными клиентом ключами (SSE-C)

При использовании SSE-C сервис Amazon S3 зашифрует данные в состоянии покоя вашими собственными ключами шифрования. Для использования SSE-C необходимо просто приложить ваш собственный ключ к запросу на загрузку, и Amazon S3 зашифрует объект, используя данный ключ, и надежно сохранит зашифрованные данные в состоянии покоя. Аналогичным образом, для извлечения зашифрованного объекта необходимо предоставить ваш собственный ключ, и Amazon S3 расшифрует объект при его извлечении. Amazon S3 не хранит ваш ключ и выбрасывает его сразу после выполнения запросов.

 

SSE с AWS KMS (SSE-KMS)

При использовании SSE-KMS сервис Amazon S3 зашифрует данные в состоянии покоя ключами шифрования, которыми вы управляете в AWS Key Management Service (KMS). Использование AWS KMS для управления ключами предоставляет несколько преимуществ. AWS KMS применяет отдельные разрешения на использование главного ключа, обеспечивая таким образом дополнительный уровень контроля, а также защиту от несанкционированного доступа к вашему объекту, хранимом в Amazon S3. AWS KMS предоставляет аудит, предоставляющий информацию о том, кто и когда использовал ваш ключ и к какому объекту, а также о безуспешных попытках получить доступ к данным пользователями, не имеющих прав на расшифровку данных. Кроме того, AWS KMS предоставляет клиенту дополнительные элементы управления безопасностью, для соответствия таким требованиям отрасли, как PCI-DSS, HIPAA/HITECH, и FedRAMP.

 

Подробнее об этом можно прочитать в теме Using Data Encryption руководства Amazon S3 Developer Guide.

Amazon S3 также поддерживает функцию регистрации запросов ресурсов Amazon S3 вашей организации. Пользователь может настроить корзину Amazon S3 на журналирование запросов на доступ к ней. Эти логи доступа регистрируют все запросы на доступ к корзине или объектам в ней, и могут использоваться для аудита.

Подробнее о функциях безопасности в Amazon S3 можно узнать в теме Access Control руководства Amazon S3 Developer Guide. Общие сведения о средствах безопасности в AWS (в том числе в Amazon S3), приводятся в документе Amazon Web Services: Overview of Security Processes.

Amazon S3 обеспечивает дополнительную защиту данных при помощи механизма управления версиями. Он позволяет сохранять, извлекать и восстанавливать любую версию любого объекта, сохраненного в корзине сервиса Amazon S3. Эта функция позволяет легко восстанавливать систему после непреднамеренных действий пользователей и сбоев приложений. По умолчанию на запросы извлекается последняя записанная версия. Более старые версии объекта можно извлечь, указав в запросе номер версии. Оплата за хранилище согласно установленным расценкам взимается за все сохраненные версии. Для автоматического управления сроком существования и затратами на хранение нескольких версий пользователь может настроить правила управления жизненным циклом версий.

В сервисе Amazon S3 есть дополнительная возможность повысить уровень безопасности – удаление с использованием многофакторной аутентификации (MFA). Это означает, что для удаления объектов, сохраненных в системе Amazon S3, потребуется многофакторная аутентификация. Таким образом обеспечивается защита более ранних версий объектов.

При активации этой возможности для корзины Amazon S3 изменить версию корзины или навсегда удалить какую-либо из версий объекта можно только после прохождения двух этапов аутентификации.

  • Предоставление данных, подтверждающих права доступа к аккаунту AWS
  • Ввод следующей цепочки символов: действительный серийный номер, пробел и шестизначный код с экрана принятого устройства аутентификации

Подробнее

Amazon S3 поддерживает аутентификацию строки запроса. Это помогает предоставлять другим пользователям URL-адреса, действительные только в течение заданного периода времени. Это полезно в тех случаях, когда необходимо открыть доступ к тому или иному объекту на определенный срок – например, при загрузке ПО или других приложений. Подробнее


Использование данного сервиса регламентируется пользовательским соглашением об использовании Amazon Web Services.