การรักษาความปลอดภัย การปฏิบัติตามข้อกำหนด และความสามารถในการตรวจสอบที่เหนือชั้น
จัดเก็บข้อมูลใน Amazon S3 และป้องกันการเข้าถึงที่ไม่ได้รับอนุญาตด้วยคุณสมบัติการเข้ารหัสและเครื่องมือจัดการการเข้าถึง S3 เข้ารหัสการอัปโหลดออบเจกต์ทั้งหมดไปยังบัคเก็ตทั้งหมด S3 เป็นบริการพื้นที่จัดเก็บวัตถุเพียงแห่งเดียวที่ให้คุณบล็อกการเข้าถึงแบบสาธารณะให้กับวัตถุทั้งหมดของคุณในบัคเก็ต หรือระดับบัญชีที่มีการบล็อกการเข้าถึงแบบสาธารณะของ S3 S3 จะรักษาโปรแกรมการปฏิบัติตามข้อกำหนด เช่น PCI-DSS, HIPAA/HITECH, FedRAMP, Eu Data Protection Directive และ FISMA เพื่อช่วยให้คุณมีคุณสมบัติตรงตามข้อกำหนด นอกจากนี้ AWS ยังสนับสนุนความสามารถในการตรวจสอบที่หลากหลาย เพื่อติดตามคำขอเข้าถึงทรัพยากร S3 ของคุณ
การรักษาความปลอดภัยและการจัดการสิทธิ์เข้าถึงของ Amazon S3
เพื่อปกป้องข้อมูลของคุณใน Amazon S3 ตามค่าเริ่มต้นแล้ว ผู้ใช้จะมีสิทธิ์เข้าถึงทรัพยากร S3 ที่ตนสร้างขึ้นเท่านั้น คุณสามารถมอบสิทธิ์เข้าถึงให้แก่ผู้ใช้รายอื่นได้โดยใช้คุณสมบัติต่อไปนี้ในการจัดการสิทธิ์เข้าถึง: AWS Identity and Access Management (IAM) เพื่อสร้างผู้ใช้และจัดการสิทธิ์เข้าถึงที่เกี่ยวข้อง Access Control List (ACL) เพื่อทำให้ผู้ใช้ที่ได้รับอนุญาตสามารถเข้าถึงอ็อบเจ็กต์แต่ละรายการได้ นโยบายบัคเก็ต เพื่อกำหนดค่าสิทธิ์การใช้งานสำหรับอ็อบเจ็กต์ทั้งหมดภายในบัคเก็ต S3 เดียว และการตรวจสอบความถูกต้องของสตริงสืบค้น เพื่อมอบสิทธิ์เข้าถึงแบบจำกัดเวลาให้กับผู้อื่นด้วย URL ชั่วคราว นอกจากนี้ Amazon S3 ยังรองรับบันทึกการตรวจสอบที่แสดงคำขอที่ทำขึ้นสำหรับทรัพยากร S3 ของคุณเพื่อให้สามารถมองเห็นได้อย่างสมบูรณ์ว่าใครเข้าถึงข้อมูลอะไร
การบล็อกการเข้าถึงจากสาธารณะของ S3
การคลิกเพียงไม่กี่ครั้งในคอนโซลการจัดการ S3 ก็ทำให้คุณสามารถใช้การบล็อกการเข้าถึงจากสาธารณะของ S3 กับทุก ๆ บัคเก็ตในบัญชีของคุณได้แล้ว ทั้งบัคเก็ตที่มีอยู่แล้วและบัคเก็ตใหม่ที่สร้างขึ้นในอนาคต และช่วยให้แน่ใจได้ว่าไม่มีการเข้าถึงจากสาธารณะไปยังอ็อบเจกต์ บัคเก็ตใหม่ทั้งหมดมีการเปิดการบล็อกการเข้าถึงจากสาธารณะไว้เป็นค่าเริ่มต้น หากต้องการจํากัดการเข้าถึงบัคเก็ตที่มีอยู่ทั้งหมดในบัญชี คุณสามารถเปิดใช้งานการบล็อกการเข้าถึงจากสาธารณะได้ที่ระดับบัญชี การตั้งค่าการบล็อกการเข้าถึงจากสาธารณะของ S3 จะแทนที่สิทธิ์การใช้งานของ S3 ที่อนุญาตการเข้าถึงจากสาธารณะ โดยทำให้ผู้ดูแลระบบบัญชีตั้งค่าการควบคุมจากศูนย์กลางได้ง่ายขึ้น เพื่อป้องกันรูปแบบที่แตกต่างกันในการกำหนดค่าการรักษาความปลอดภัย ไม่ว่าจะเพิ่มอ็อบเจ็กต์หรือสร้างบัคเก็ตอย่างไรก็ตาม
การล็อกออบเจ็กต์ S3
การล็อกออบเจ็กต์ S3 ของ Amazon ทำหน้าที่ปิดกั้นการลบเวอร์ชันอ็อบเจ็กต์ระหว่างช่วงเวลาการเก็บรักษาข้อมูลที่ลูกค้ากำหนด คุณจึงสามารถบังคับใช้นโยบายการเก็บรักษาข้อมูลไว้ได้ โดยเป็นการปกป้องข้อมูลเพิ่มขึ้นอีกหนึ่งชั้น หรือเพื่อการปฏิบัติตามข้อกำหนดตามระเบียบบังคับ คุณสามารถย้ายเวิร์กโหลดจากระบบแบบเขียนแล้วอ่านได้เท่านั้น (WORM) ที่มีอยู่ไปยัง Amazon S3 และกำหนดค่าการล็อกออบเจ็กต์ S3 ในระดับออบเจ็กต์และระดับบัคเก็ต เพื่อป้องกันการลบเวอร์ชันออบเจ็กต์ก่อนถึงวันที่สิ้นสุดการเก็บรักษาข้อมูลหรือวันที่เก็บรักษาเอกสารเพื่อการดำเนินคดีที่มีการกำหนดไว้ล่วงหน้า
S3 Object Ownership
Amazon S3 Object Ownership จะปิดใช้งาน Access Control List (ACL) ซึ่งจะเปลี่ยนความเป็นเจ้าของสำหรับอ็อบเจ็กต์ทั้งหมดไปให้เจ้าของบัคเก็ต และลดความซับซ้อนของการจัดการการเข้าถึงสำหรับข้อมูลที่จัดเก็บไว้ใน S3 เมื่อคุณกำหนดการตั้งค่าบังคับใช้โดยเจ้าของบัคเก็ตที่ S3 Object Ownership แล้ว ACL จะไม่มีผลต่อสิทธิ์สำหรับบัคเก็ตของคุณและอ็อบเจ็กต์ที่อยู่ในนั้นอีกต่อไป การควบคุมการเข้าถึงทั้งหมดจะได้รับการกำหนดโดยใช้นโยบายตามทรัพยากร นโยบายผู้ใช้ หรือทั้งสองนโยบายนี้ผสมผสานกัน ACL จะถูกปิดใช้งานโดยอัตโนมัติสําหรับบัคเก็ตใหม่ คุณสามารถใช้ S3 Inventory เพื่อตรวจสอบการใช้งาน ACL ในบัคเก็ตของคุณก่อนที่จะเปิดใช้งาน S3 Object Ownership เมื่อย้ายไปยังนโยบายบัคเก็ตที่ใช้ IAM สำหรับข้อมูลเพิ่มเติม โปรดดูที่การควบคุมความเป็นเจ้าของอ็อบเจ็กต์
การบริหารจัดการตัวตนและการเข้าถึง
ตามค่าเริ่มต้น ทรัพยากรทั้งหมดของ Amazon S3 ไม่ว่าจะเป็นบัคเก็ต อ็อบเจกต์ และทรัพยากรย่อยที่เกี่ยวข้อง เป็นทรัพยากรส่วนตัว โดยเจ้าของทรัพยากรเท่านั้น ซึ่งเป็นบัญชี AWS ที่สร้างทรัพยากรนั้น จึงจะมีสิทธิ์เข้าถึงทรัพยากรนั้นได้ Amazon S3 ให้ตัวเลือกนโยบายการเข้าถึงโดยจำแนกประเภทกว้างๆ ตามนโยบายเกี่ยวกับทรัพยากรและนโยบายเกี่ยวกับผู้ใช้ คุณสามารถเลือกที่จะใช้นโยบายตามทรัพยากร นโยบายผู้ใช้ หรือทั้งสองนโยบายนี้ผสมผสานกันเพื่อจัดการสิทธิ์การใช้งานทรัพยากร Amazon S3 ของคุณ ตามค่าเริ่มต้น อ็อบเจ็กต์ S3 จะเป็นของบัญชีที่สร้างอ็อบเจ็กต์นั้นขึ้นมา ซึ่งรวมถึงกรณีที่บัญชีนี้ไม่ใช่เจ้าของบัคเก็ตด้วย คุณสามารถใช้ S3 Object Ownership เพื่อปิดใช้งาน Access Control List และเปลี่ยนแปลงลักษณะการทำงานนี้ได้ หากทำเช่นนั้น แต่ละอ็อบเจ็กต์ในบัคเก็ตหนึ่งๆ จะเป็นของเจ้าของบัคเก็ตดังกล่าว สำหรับข้อมูลเพิ่มเติม โปรดดูที่ Identity and Access Management ใน Amazon S3
Amazon Macie
สำรวจและปกป้องข้อมูลที่ละเอียดอ่อนได้ทุกระดับใน Amazon S3 ด้วย Amazon Macie Macie นำเสนอรายการบัคเก็ต S3 ครบถ้วนโดยอัตโนมัติด้วยการสแกนบัคเก็ต เพื่อระบุและจำแนกประเภทข้อมูล คุณจะได้รับผลการตรวจการรักษาความปลอดภัยที่ดำเนินการได้ ซึ่งแจกแจงข้อมูลทั้งหมดที่ตรงกับประเภทข้อมูลที่ละเอียดอ่อนดังกล่าว รวมทั้งข้อมูลที่สามารถระบุตัวตนได้ (PII) (เช่น ชื่อลูกค้าและหมายเลขบัตรเครดิต) และหมวดหมู่ตามที่กำหนดโดยข้อบังคับด้านความเป็นส่วนตัว เช่น GDPR และ HIPAA นอกจากนี้ Macie ยังประเมินมาตรการควบคุมป้องกันในระดับบัคเก็ตโดยอัตโนมัติและอย่างต่อเนื่อง สำหรับบัคเก็ตใดๆ ที่เข้ารหัส เข้าถึงได้จากสาธารณะ หรือเปิดเผยกับบัญชีนอกองค์กรของคุณ ทำให้คุณสามารถแก้ไขการตั้งค่าโดยไม่ได้ตั้งใจกับบัคเก็ตได้อย่างรวดเร็ว
การเข้ารหัส
Amazon S3 เข้ารหัสการอัปโหลดอ็อบเจ็กต์ทั้งหมดไปยังบัคเก็ตทั้งหมดโดยอัตโนมัติ สำหรับการอัปโหลดอ็อบเจ็กต์ Amazon S3 รองรับการเข้ารหัสฝั่งเซิร์ฟเวอร์ด้วยตัวเลือกการจัดการคีย์สี่ตัวเลือก ได้แก่ SSE-S3 (ระดับการเข้ารหัสพื้นฐาน), SSE-KMS, DSSE-KMS และ SSE-C รวมถึงการเข้ารหัสฝั่งไคลเอ็นต์ Amazon S3 มีคุณสมบัติการรักษาความปลอดภัยที่ยืดหยุ่นได้เพื่อบล็อกไม่ให้ผู้ใช้ที่ไม่ได้รับอนุญาตเข้าถึงข้อมูลของคุณ ใช้ตำแหน่งข้อมูลสำหรับ VPC เพื่อเชื่อมต่อกับทรัพยากร S3 จาก Amazon Virtual Private Cloud (Amazon VPC) ของคุณ ใช้ S3 Inventory เพื่อตรวจสอบสถานะการเข้ารหัสของอ็อบเจ็กต์ S3 ของคุณ (ดูข้อมูลเพิ่มเติมเกี่ยวกับ S3 Inventory ได้ที่การจัดการพื้นที่จัดเก็บ)
AWS Trusted Advisor
Trusted Advisor ตรวจสอบสภาพแวดล้อม AWS ของคุณ แล้วสร้างข้อเสนอแนะเมื่อมีโอกาส เพื่ออุดช่องโหว่ด้านการรักษาความปลอดภัย
Trusted Advisor มีการตรวจสอบที่เกี่ยวข้องกับ Amazon S3 ดังนี้ การกำหนดค่าการลงบันทึกของบัคเก็ต Amazon S3, การตรวจสอบการรักษาความปลอดภัยสำหรับบัคเก็ต Amazon S3 ที่มีสิทธิ์เข้าถึงแบบเปิด และการตรวจสอบความคงทนต่อข้อบกพร่องสำหรับบัคเก็ต Amazon S3 ที่ไม่ได้เปิดใช้งานการกำหนดเวอร์ชัน หรือระงับการกำหนดเวอร์ชันเอาไว้
AWS PrivateLink for S3
เข้าถึง Amazon S3 โดยตรงในแบบตำแหน่งข้อมูลส่วนตัวภายในเครือข่ายเสมือนที่ปลอดภัยของคุณด้วย AWS PrivateLink for S3 ลดความซับซ้อนของสถาปัตยกรรมเครือข่ายโดยเชื่อมต่อไปยัง S3 จากในองค์กรหรือระบบคลาวด์โดยใช้ที่อยู่ IP ส่วนตัวจาก Virtual Private Cloud (VPC) คุณไม่จำเป็นต้องใช้ IP สาธารณะ, กำหนดค่ากฎของไฟร์วอลล์ หรือกำหนดค่าอินเทอร์เน็ตเกตเวย์เพื่อเข้าถึง S3 จากในองค์กรอีกต่อไป
ตรวจสอบความสมบูรณ์ของข้อมูล
โดยค่าเริ่มต้น SDK ของ AWS ล่าสุดจะคำนวณเช็คซัมที่ใช้ CRC ที่มีประสิทธิภาพสำหรับการอัปโหลดทั้งหมดโดยอัตโนมัติ S3 ตรวจสอบเช็คซัมนั้นอย่างอิสระและยอมรับอ็อบเจ็กต์หลังจากยืนยันว่าความสมบูรณ์ของข้อมูลได้รับการรักษาไว้ในระหว่างการโอนย้ายผ่านอินเทอร์เน็ตสาธารณะ หากใช้เวอร์ชันของ SDK ที่ไม่ให้เช็คซัมที่คำนวณไว้ล่วงหน้าเพื่ออัปโหลดอ็อบเจ็กต์, S3 จะคำนวณเช็คซัมที่ใช้ CRC ของอ็อบเจ็กต์ทั้งหมด แม้จะมีการอัปโหลดหลายส่วน เช็คซัมจะถูกเก็บไว้ในข้อมูลเมตาของอ็อบเจ็กต์ ดังนั้นจึงสามารถตรวจสอบความสมบูรณ์ของข้อมูลได้ตลอดเวลา เลือกจากอัลกอริทึมเช็คซัมที่รองรับห้าแบบ (SHA-1, SHA-256, CRC32, CRC32C หรือ CRC64NVME) เพื่อตรวจสอบความสมบูรณ์ของข้อมูลในคำขออัปโหลดและดาวน์โหลดของคุณ คำนวณและตรวจสอบผลรวมโดยอัตโนมัติในขณะที่คุณจัดเก็บหรือดึงข้อมูลจาก Amazon S3 และเข้าถึงข้อมูลการตรวจสอบได้ตลอดเวลาโดยใช้ HeadObject S3 API, GetObjectAttributes S3 API หรือรายงาน S3 Inventory
วิธีทำงาน
-
AWS PrivateLink for Amazon S3
-
Amazon Macie
-
S3 Block Public Access
-
Amazon GuardDuty for S3
-
AWS PrivateLink for Amazon S3
-
สร้างการเชื่อมต่อส่วนตัวโดยตรงจากในองค์กรไปยัง Amazon S3 หากต้องการเริ่มต้นใช้งาน โปรดอ่านเอกสารประกอบ AWS PrivateLink for S3
-
Amazon Macie
-
ค้นหาและปกป้องข้อมูลที่ละเอียดอ่อนของคุณในทุกระดับ หากต้องการเริ่มต้นใช้งาน Amazon Macie โปรดไปที่เว็บไซต์
-
S3 Block Public Access
-
บล็อกการเข้าถึงข้อมูล Amazon S3 ของคุณจากสาธารณะทั้งในปัจจุบันและในอนาคต ดูข้อมูลเพิ่มเติมเกี่ยวกับ S3 Block Public Access ได้โดยไปที่เว็บเพจ
-
Amazon GuardDuty for S3
-
ปกป้องข้อมูล Amazon S3 ของคุณด้วยการตรวจจับภัยคุกคามอัจฉริยะและการเฝ้าติดตามอย่างต่อเนื่อง และการสแกนมัลแวร์ เรียนรู้เพิ่มเติมเกี่ยวกับ Amazon GuardDuty for Amazon S3 ได้โดยไปที่เว็บเพจ
ทรัพยากรความปลอดภัยของ Amazon S3 การจัดการการเข้าถึง การเข้ารหัส และการปกป้องข้อมูล
อ่านอีบุ๊ก Amazon S3 และ Data Protection เพื่อเรียนรู้เครื่องมือและแนวทางปฏิบัติที่ดีที่สุดสำหรับการจัดการการเข้าถึง การตรวจสอบและการเฝ้าติดตาม และการปกป้องข้อมูล
ในวิดีโอภาพรวมการปกป้องข้อมูลของ Amazon S3 นี้ คุณจะได้เรียนรู้เกี่ยวกับคุณสมบัติการปกป้องข้อมูลแบบดั้งเดิมใน Amazon S3 รวมถึงการกำหนดเวอร์ชันของ S3, การล็อกออบเจ็กต์ของ S3 และการจำลองแบบของ S3 คุณจะได้รับข้อมูลภาพรวมคร่าวๆ ของคุณสมบัติการปกป้องข้อมูลของ S3 แต่ละรายการ เรียนรู้ว่าคุณสมบัติเหล่านี้จะสามารถช่วยให้คุณบรรลุเป้าหมายการปกป้องข้อมูลได้อย่างไร และรับคำแนะนำที่มีประโยชน์เกี่ยวกับวิธีในการปกป้องข้อมูลของคุณเองโดยใช้ Amazon S3
องค์กรต่างๆ กำลังสร้างและย้ายสินทรัพย์ดิจิทัลที่สำคัญต่อธุรกิจของตนเองไปยัง Amazon S3 กันอย่างต่อเนื่อง เนื่องจากมีการย้านสินทรัพย์และใช้ข้ามเวิร์กโฟลว์ สิ่งสำคัญคือคุณต้องแน่ใจว่าไฟล์ต่างๆ จะยังคงไม่มีการเปลี่ยนแปลงเนื่องจากความเสียหายของเครือข่าย ความล้มเหลวของฮาร์ดไดรฟ์ หรือปัญหาอื่นๆ โดยที่ไมได้ตั้งใจ จะมีการนำอัลกอริทึมมาใช้ในการสแกนไฟล์ต่างๆ แบบไบต์ต่อไบต์เพื่อสร้างลายนิ้วมือเฉพาะสำหรับไฟล์เหล่านั้น หรือที่เรียกว่า Checksum ในการพูดคุยเกี่ยวกับเทคโนโลยีนี้ คุณจะได้เรียนรู้ถึงวิธีใช้ Checksum เพื่อตรวจสอบว่าสินทรัพย์ต่างๆ ไม่ได้รับการเปลี่ยนแปลงเมื่อทำการคัดลอก สำรวจตัวเลือก Checksum ของ Amazon S3 ที่หลากหลายเพื่อเร่งการตรวจสอบความสมบูรณ์ของข้อมูล และดูว่าคุณจะสามารถยืนยันได้ว่าทุกไบต์ถูกถ่ายโอนโดยไม่มีการเปลี่ยนแปลงได้อย่างไร ซึ่งวิธีนี้จะช่วยให้คุณสามารถรักษาความสมบูรณ์ของข้อมูลได้อย่างครบวงจร
ยึดมั่นในแนวทางปฏิบัติที่ดีที่สุดด้านสถาปัตยกรรมอย่างเคร่งครัดและการควบคุมเชิงรุก คือรากฐานของความปลอดภัยของพื้นที่เก็บข้อมูลและการควบคุมการเข้าถึง ในวิดีโอนี้ คุณจะได้เรียนรู้แนวทางปฏิบัติที่ดีที่สุดสำหรับความปลอดภัยของข้อมูลใน Amazon S3 ตรวจสอบข้อมูลพื้นฐานของสถาปัตยกรรมความปลอดภัยของ Amazon S3 และเจาะลึกเกี่ยวกับการปรับปรุงประสิทธิภาพล่าสุดในด้านความสามารถในการใช้งานและฟังก์ชัน พิจารณาตัวเลือกสำหรับการเข้ารหัส การควบคุมการเข้าถึง การเฝ้าดูแลความปลอดภัย การตรวจสอบ และการแก้ไข
Amazon S3 เข้ารหัสการอัปโหลดอ็อบเจ็กต์ทั้งหมดไปยังบัคเก็ตทั้งหมดโดยอัตโนมัติ สำหรับการอัปโหลดอ็อบเจ็กต์ Amazon S3 รองรับการเข้ารหัสฝั่งเซิร์ฟเวอร์ด้วยตัวเลือกการจัดการคีย์สี่ตัวเลือก ได้แก่ SSE-S3 (ระดับการเข้ารหัสพื้นฐาน), SSE-KMS, DSSE-KMS และ SSE-C รวมถึงการเข้ารหัสฝั่งไคลเอ็นต์ Amazon S3 มีการควบคุมการเข้าถึงแบบละเอียดเพื่อให้เหมาะกับทุกเวิร์กโหลด ในวิดีโอนี้ โปรดเรียนรู้แนวทางปฏิบัติที่ดีที่สุดเกี่ยวกับการเข้ารหัสและการควบคุมการเข้าถึงของ Amazon S3
ในการสร้างและตามค่าเริ่มต้น ทรัพยากร S3 ทั้งหมดจะเป็นส่วนตัวและสามารถเข้าถึงได้โดยเจ้าของทรัพยากรหรือผู้ดูแลบัญชีเท่านั้น การออกแบบด้านความปลอดภัยนี้ช่วยให้คุณกำหนดค่านโยบายการเข้าถึงที่ปรับอย่างละเอียดซึ่งสอดคล้องกับข้อกำหนดขององค์กร การกำกับดูแล การรักษาความปลอดภัย และการปฏิบัติตามข้อกำหนด ในวิดีโอนี้ คุณจะได้เรียนรู้วิธีต่างๆ ที่คุณสามารถจัดการการเข้าถึงข้อมูลของคุณโดยใช้ AWS Identity and Access Management (IAM) และนโยบายบัคเก็ตของ S3
S3 ได้รับการออกแบบมาเพื่อความทนทาน 11 9s, ความยืดหยุ่นที่แข็งแกร่ง และความพร้อมใช้งานสูง อย่างไรก็ตาม แม้แต่พื้นที่จัดเก็บข้อมูลที่คงทนที่สุดก็ไม่สามารถป้องกันการเผลอลบโดยบังเอิญหรือโดยไม่ตั้งใจได้ นอกจากนี้ แรนซัมแวร์ยังเป็นเหตุผลหลักในการประเมินการป้องกันเพิ่มเติมสำหรับข้อมูลสำคัญของคุณ เรียนรู้เกี่ยวกับคุณสมบัติของ S3 ที่ให้การป้องกันเพิ่มเติมอีกชั้น รวมถึงการกำหนดเวอร์ชันของ S3, S3 Cross-Region Replication (CRR) และ S3 Object Lock
บล็อกการรักษาความปลอดภัยของ S3
บล็อกข่าว AWS
Amazon S3 เข้ารหัสอ็อบเจ็กต์ใหม่ตามค่าเริ่มต้น
Amazon S3 เข้ารหัสอ็อบเจ็กต์ใหม่ทั้งหมดตามค่าเริ่มต้น ตั้งแต่วันที่ 5 มกราคม 2023 ทาง S3 จะใช้การเข้ารหัสฝั่งเซิร์ฟเวอร์ (SSE-S3) โดยอัตโนมัติสำหรับอ็อบเจ็กต์ใหม่แต่ละรายการ เว้นแต่คุณจะระบุตัวเลือกการเข้ารหัสอื่น การเปลี่ยนแปลงนี้ทำให้แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยอื่นๆ มีผลโดยอัตโนมัติ โดยจะไม่มีผลกระทบต่อประสิทธิภาพการทำงานและไม่ต้องการดำเนินการใดๆ จากฝั่งของคุณเลย
บล็อกข่าว AWS
โปรดทราบ: จะมีการเปลี่ยนแปลงความปลอดภัยของ Amazon S3 ในเดือนเมษายน 2023
ตั้งแต่เดือนเมษายนปี 2023 เราจะทำการเปลี่ยนแปลงกับ Amazon S3 สองรายการเพื่อให้แนวทางปฏิบัติที่ดีที่สุดล่าสุดสำหรับการรักษาความปลอดภัยของบัคเก็ตมีผลโดยอัตโนมัติ หลังจากทำการเปลี่ยนแปลงในรีเจี้ยนเป้าหมาย บัคเก็ตที่สร้างขึ้นใหม่ทั้งหมดในรีเจี้ยนดังกล่าวนั้นจะมีการเปิดใช้งาน S3 Block Public Access และปิดใช้งาน ACL โดยค่าเริ่มต้น
บล็อกข่าว AWS
ลดความซับซ้อนในการจัดการการเข้าถึงข้อมูลที่จัดเก็บไว้ใน Amazon S3
การตั้งค่าความเป็นเจ้าของอ็อบเจ็กต์ Amazon S3 ใหม่ เจ้าของบัคเก็ตที่บังคับใช้จะอนุญาตให้คุณสามารถปิดใช้งาน ACL ทั้งหมดที่เกี่ยวข้องกับบัคเก็ตและอ็อบเจ็กต์ในนั้นได้ เมื่อคุณปรับใช้การตั้งค่าระดับบัคเก็ตนี้ อ็อบเจ็กต์ทั้งหมดในบัคเก็ตจะกลายเป็นของบัญชี AWS ที่สร้างบัคเก็ตดังกล่าว และจะไม่มีการใช้ ACL เพื่อให้สิทธิ์การเข้าถึงอีกต่อไป
บล็อกข่าว AWS
ใหม่ – การเข้ารหัสฝั่งเซิร์ฟเวอร์สองชั้นของ Amazon S3 พร้อมคีย์ที่จัดเก็บไว้ใน AWS Key Management Service (DSSE-KMS)
ตอนนี้ลูกค้าสามารถใช้การเข้ารหัสฝั่งเซิร์ฟเวอร์สองชั้นอิสระกับอ็อบเจ็กต์ใน Amazon S3 ได้แล้ว การเข้ารหัสฝั่งเซิร์ฟเวอร์สองชั้นพร้อมคีย์ที่จัดเก็บไว้ใน AWS Key Management Service (DSSE-KMS) ได้รับการออกแบบมาให้เป็นไปตามข้อกําหนดของ National Security Agency CNSSP 15 สําหรับการปฏิบัติตามข้อกําหนด FIPS และคําแนะนํา Data-at-Rest Capability Package (DAR CP) เวอร์ชัน 5.0 สําหรับการเข้ารหัส CNSA สองชั้น Amazon S3 เป็นบริการพื้นที่จัดเก็บอ็อบเจ็กต์บนระบบคลาวด์เพียงบริการเดียวที่ลูกค้าสามารถใช้การเข้ารหัสสองชั้นที่ระดับอ็อบเจ็กต์และควบคุมคีย์ข้อมูลที่ใช้สําหรับทั้งสองชั้นดังกล่าวได้