การรักษาความปลอดภัย การปฏิบัติตามข้อกำหนด และความสามารถในการตรวจสอบที่เหนือชั้น

จัดเก็บข้อมูลใน Amazon S3 และป้องกันการเข้าถึงที่ไม่ได้รับอนุญาตด้วยคุณสมบัติการเข้ารหัสและเครื่องมือจัดการการเข้าถึง S3 เป็นบริการพื้นที่จัดเก็บวัตถุเพียงแห่งเดียวที่ให้คุณบล็อกการเข้าถึงแบบสาธารณะให้กับวัตถุทั้งหมดของคุณในบัคเก็ต หรือระดับบัญชีที่มีการบล็อกการเข้าถึงแบบสาธารณะของ S3 S3 จะรักษาโปรแกรมการปฏิบัติตามข้อกำหนด เช่น PCI-DSS, HIPAA/HITECH, FedRAMP, Eu Data Protection Directive และ FISMA เพื่อช่วยให้คุณมีคุณสมบัติตรงตามข้อกำหนด นอกจากนี้ AWS ยังสนับสนุนความสามารถในการตรวจสอบที่หลากหลาย เพื่อติดตามคำขอเข้าถึงทรัพยากร S3 ของคุณ

การจัดการการรักษาความปลอดภัยของ Amazon S3 ในทุกระดับขนาด (34:56)

การรักษาความปลอดภัยและการจัดการสิทธิ์เข้าถึงของ Amazon S3

เพื่อปกป้องข้อมูลของคุณใน Amazon S3 ตามค่าเริ่มต้นแล้ว ผู้ใช้จะมีสิทธิ์เข้าถึงทรัพยากร S3 ที่ตนสร้างขึ้นเท่านั้น คุณสามารถมอบสิทธิ์เข้าถึงให้แก่ผู้ใช้รายอื่นได้โดยใช้คุณสมบัติต่อไปนี้ในการจัดการสิทธิ์เข้าถึง: AWS Identity and Access Management (IAM) เพื่อสร้างผู้ใช้และจัดการสิทธิ์เข้าถึงที่เกี่ยวข้อง Access Control List (ACL) เพื่อทำให้ผู้ใช้ที่ได้รับอนุญาตสามารถเข้าถึงอ็อบเจ็กต์แต่ละรายการได้ นโยบายบัคเก็ต เพื่อกำหนดค่าสิทธิ์การใช้งานสำหรับอ็อบเจ็กต์ทั้งหมดภายในบัคเก็ต S3 เดียว และการตรวจสอบความถูกต้องของสตริงสืบค้น เพื่อมอบสิทธิ์เข้าถึงแบบจำกัดเวลาให้กับผู้อื่นด้วย URL ชั่วคราว นอกจากนี้ Amazon S3 ยังรองรับบันทึกการตรวจสอบที่แสดงคำขอที่ทำขึ้นสำหรับทรัพยากร S3 ของคุณเพื่อให้สามารถมองเห็นได้อย่างสมบูรณ์ว่าใครเข้าถึงข้อมูลอะไร

บล็อกการเข้าถึงจากสาธารณะ

บล็อกการเข้าถึงจากสาธารณะ

การคลิกเพียงไม่กี่ครั้งใน Console การจัดการ S3 ก็ทำให้คุณสามารถใช้บล็อกการเข้าถึงจากสาธารณะของ S3 กับทุกๆ บัคเก็ตในบัญชีของคุณได้แล้ว ทั้งบัคเก็ตที่มีอยู่แล้วและบัคเก็ตใหม่ใดๆ ที่สร้างขึ้นในอนาคต และช่วยให้แน่ใจได้ว่าไม่มีการเข้าถึงจากสาธารณะไปยังอ็อบเจกต์ใดๆ การตั้งค่าบล็อกการเข้าถึงจากสาธารณะของ S3 จะแทนที่สิทธิ์การใช้งานของ S3 ที่อนุญาตการเข้าถึงจากสาธารณะ โดยทำให้ผู้ดูแลระบบบัญชีตั้งค่าการควบคุมจากศูนย์กลางได้ง่ายขึ้น เพื่อป้องกันรูปแบบที่แตกต่างกันในการกำหนดค่าการรักษาความปลอดภัย ไม่ว่าจะเพิ่มอ็อบเจ็กต์หรือสร้างบัคเก็ตอย่างไรก็ตาม

Object Lock

Object Lock

Amazon S3 Object Lock ทำหน้าที่ปิดกั้นการลบเวอร์ชันอ็อบเจ็กต์ระหว่างช่วงเวลาการเก็บรักษาข้อมูลที่ลูกค้ากำหนด คุณจึงสามารถบังคับใช้นโยบายการเก็บรักษาข้อมูลไว้ได้ โดยเป็นการปกป้องข้อมูลเพิ่มขึ้นอีกหนึ่งชั้น หรือเพื่อการปฏิบัติตามข้อกำหนดตามระเบียบบังคับ คุณสามารถย้ายปริมาณงานจากระบบแบบเขียนครั้งเดียวอ่านหลายครั้ง (WORM) ที่มีอยู่ไปยัง Amazon S3 และกำหนดค่า S3 Object Lock ในระดับอ็อบเจ็กต์และระดับบัคเก็ต เพื่อป้องกันการลบเวอร์ชันอ็อบเจ็กต์ก่อนถึงวันที่สิ้นสุดการเก็บรักษาข้อมูลหรือวันที่เก็บรักษาเอกสารเพื่อการดำเนินคดีที่มีการกำหนดไว้ล่วงหน้า

Object Ownership

Object Ownership

Amazon S3 Object Ownership จะปิดใช้งาน Access Control List (ACL) ซึ่งจะเปลี่ยนความเป็นเจ้าของสำหรับอ็อบเจ็กต์ทั้งหมดไปให้เจ้าของบัคเก็ต และลดความซับซ้อนของการจัดการการเข้าถึงสำหรับข้อมูลที่จัดเก็บไว้ใน S3 เมื่อคุณกำหนดการตั้งค่าบังคับใช้โดยเจ้าของบัคเก็ตที่ S3 Object Ownership แล้ว ACL จะไม่มีผลต่อสิทธิ์สำหรับบัคเก็ตของคุณและอ็อบเจ็กต์ที่อยู่ในนั้นอีกต่อไป การควบคุมการเข้าถึงทั้งหมดจะได้รับการกำหนดโดยใช้นโยบายตามทรัพยากร นโยบายผู้ใช้ หรือทั้งสองนโยบายนี้ผสมผสานกัน สำหรับข้อมูลเพิ่มเติม โปรดดูที่ การควบคุมความเป็นเจ้าของอ็อบเจ็กต์

การบริหารจัดการตัวตนและการเข้าถึง

การบริหารจัดการตัวตนและการเข้าถึง

ตามค่าเริ่มต้น ทรัพยากรทั้งหมดของ Amazon S3 ไม่ว่าจะเป็นบัคเก็ต อ็อบเจกต์ และทรัพยากรย่อยที่เกี่ยวข้อง เป็นทรัพยากรส่วนตัว โดยเจ้าของทรัพยากรเท่านั้น ซึ่งเป็นบัญชี AWS ที่สร้างทรัพยากรนั้น จึงจะมีสิทธิ์เข้าถึงทรัพยากรนั้นได้ Amazon S3 ให้ตัวเลือกนโยบายการเข้าถึงโดยจำแนกประเภทกว้างๆ ตามนโยบายเกี่ยวกับทรัพยากรและนโยบายเกี่ยวกับผู้ใช้ คุณสามารถเลือกที่จะใช้นโยบายตามทรัพยากร นโยบายผู้ใช้ หรือทั้งสองนโยบายนี้ผสมผสานกันเพื่อจัดการสิทธิ์การใช้งานทรัพยากร Amazon S3 ของคุณ ตามค่าเริ่มต้น อ็อบเจ็กต์ S3 จะเป็นของบัญชีที่สร้างอ็อบเจ็กต์นั้นขึ้นมา ซึ่งรวมถึงกรณีที่บัญชีนี้ไม่ใช่เจ้าของบัคเก็ตด้วย คุณสามารถใช้ S3 Object Ownership เพื่อปิดใช้งาน Access Control List และเปลี่ยนแปลงลักษณะการทำงานนี้ได้ หากทำเช่นนั้น แต่ละอ็อบเจ็กต์ในบัคเก็ตหนึ่งๆ จะเป็นของเจ้าของบัคเก็ตดังกล่าว สำหรับข้อมูลเพิ่มเติม โปรดดูที่ Identity and Access Management ใน Amazon S3

Amazon Macie

Amazon Macie

สำรวจและปกป้องข้อมูลที่ละเอียดอ่อนได้ทุกระดับใน Amazon S3 ด้วย Amazon Macie Macie นำเสนอรายการบัคเก็ต S3 ครบถ้วนโดยอัตโนมัติด้วยการสแกนบัคเก็ต เพื่อระบุและจำแนกประเภทข้อมูล คุณจะได้รับผลการตรวจการรักษาความปลอดภัยที่ดำเนินการได้ ซึ่งแจกแจงข้อมูลทั้งหมดที่ตรงกับประเภทข้อมูลที่ละเอียดอ่อนดังกล่าว รวมทั้งข้อมูลที่สามารถระบุตัวตนได้ (PII) (เช่น ชื่อลูกค้าและหมายเลขบัตรเครดิต) และหมวดหมู่ตามที่กำหนดโดยข้อบังคับด้านความเป็นส่วนตัว เช่น GDPR และ HIPAA นอกจากนี้ Macie ยังประเมินมาตรการควบคุมป้องกันในระดับบัคเก็ตโดยอัตโนมัติและอย่างต่อเนื่อง สำหรับบัคเก็ตใดๆ ที่เข้ารหัส เข้าถึงได้จากสาธารณะ หรือเปิดเผยกับบัญชีนอกองค์กรของคุณ ทำให้คุณสามารถแก้ไขการตั้งค่าโดยไม่ได้ตั้งใจกับบัคเก็ตได้อย่างรวดเร็ว

การเข้ารหัส

การเข้ารหัส

Amazon S3 รองรับทั้งการเข้ารหัสฝั่งเซิร์ฟเวอร์ (พร้อมสามตัวเลือกการจัดการคีย์: SSE-KMS, SSE-C, SSE-S3) และการเข้ารหัสฝั่งไคลเอ็นต์สำหรับการอัปโหลดข้อมูล Amazon S3 ให้คุณสมบัติการรักษาความปลอดภัยที่ยืดหยุ่นได้เพื่อบล็อกไม่ให้ผู้ใช้ที่ไม่ได้รับอนุญาตเข้าถึงข้อมูลของคุณ ใช้ตำแหน่งข้อมูล VPC เชื่อมต่อกับทรัพยากรของ S3 จาก Amazon Virtual Private Cloud (Amazon VPC) ของคุณ ใช้ S3 Inventory เพื่อตรวจสอบสถานะการเข้ารหัสของอ็อบเจ็กต์ S3 (ดูการจัดการพื้นที่จัดเก็บสำหรับข้อมูลเพิ่มเติมเกี่ยวกับ S3 Inventory)

AWS Trusted Advisor

AWS Trusted Advisor

Trusted Advisor ตรวจสอบสภาพแวดล้อม AWS ของคุณ แล้วสร้างข้อเสนอแนะเมื่อมีโอกาส เพื่ออุดช่องโหว่ด้านการรักษาความปลอดภัย 

Trusted Advisor มีการตรวจสอบที่เกี่ยวข้องกับ Amazon S3 ดังนี้ การกำหนดค่าการลงบันทึกของบัคเก็ต Amazon S3, การตรวจสอบการรักษาความปลอดภัยสำหรับบัคเก็ต Amazon S3 ที่มีสิทธิ์เข้าถึงแบบเปิด และการตรวจสอบความคงทนต่อข้อบกพร่องสำหรับบัคเก็ต Amazon S3 ที่ไม่ได้เปิดใช้งานการกำหนดเวอร์ชัน หรือระงับการกำหนดเวอร์ชันเอาไว้

AWS PrivateLink for S3

เข้าถึง Amazon S3 โดยตรงในแบบตำแหน่งข้อมูลส่วนตัวภายในเครือข่ายเสมือนที่ปลอดภัยของคุณด้วย AWS PrivateLink for S3 ลดความซับซ้อนของสถาปัตยกรรมเครือข่ายโดยเชื่อมต่อไปยัง S3 จากในองค์กรหรือระบบคลาวด์โดยใช้ที่อยู่ IP ส่วนตัวจาก Virtual Private Cloud (VPC) คุณไม่จำเป็นต้องใช้ IP สาธารณะ, กำหนดค่ากฎของไฟร์วอลล์ หรือกำหนดค่าอินเทอร์เน็ตเกตเวย์เพื่อเข้าถึง S3 จากในองค์กรอีกต่อไป

ตรวจสอบความสมบูรณ์ของข้อมูล

ตรวจสอบความสมบูรณ์ของข้อมูล

มีอัลกอริทึม Checksum ที่รองรับให้เลือกใช้ถึง 4 แบบ (ได้แก่ SHA-1, SHA-256, CRC32 และ CRC32C) เพื่อตรวจสอบความสมบูรณ์ของข้อมูลในคำขออัปโหลดและดาวน์โหลดของคุณ โดยสามารถคำนวณและตรวจสอบ Checksum โดยอัตโนมัติเมื่อคุณจัดเก็บหรือดึงข้อมูลจาก Amazon S3 และเข้าถึงข้อมูล Checksum ได้ทุกเมื่อโดยใช้ API GetObjectAttributes ของ S3 หรือรายงานสินค้าคงคลังของ S3

วิธีการทำงาน

  • AWS PrivateLink for Amazon S3
  • สร้างการเชื่อมต่อส่วนตัวโดยตรงจากในองค์กรไปยัง Amazon S3 หากต้องการเริ่มต้นใช้งาน โปรดอ่านเอกสารประกอบ AWS PrivateLink for S3 

    การรักษาความปลอดภัยด้วย AWS PrivateLink for S3
  • Amazon Macie
  • ค้นหาและปกป้องข้อมูลที่ละเอียดอ่อนของคุณในทุกระดับ หากต้องการเริ่มต้นใช้งาน Amazon Macie โปรดไปที่เว็บไซต์

    การรักษาความปลอดภัยด้วย Amazon Macie
  • S3 Block Public Access
  • บล็อกการเข้าถึงข้อมูล Amazon S3 ของคุณจากสาธารณะทั้งในปัจจุบันและในอนาคต ดูข้อมูลเพิ่มเติมเกี่ยวกับ S3 Block Public Access ได้โดยไปที่เว็บเพจ

    รักษาความปลอดภัยด้วย S3 Block Public Access
  • Amazon GuardDuty for S3
  • ปกป้องข้อมูล Amazon S3 ของคุณด้วยการตรวจจับภัยคุกคามอัจฉริยะและการเฝ้าติดตามอย่างต่อเนื่อง เรียนรู้เพิ่มเติมเกี่ยวกับ Amazon GuardDuty for Amazon S3 ได้โดยไปที่เว็บเพจ

    รักษาความปลอดภัยด้วย Amazon GuardDuty for Amazon S3

แนวทางปฏิบัติที่ดีที่สุดและบทแนะนำการจัดการความปลอดภัยและการเข้าถึง

เมื่อสร้างขึ้นและตามค่าเริ่มต้น ทรัพยากรของ S3 ทั้งหมดเป็นทรัพยากรส่วนตัว และสามารถเข้าถึงได้โดยเจ้าของทรัพยากรหรือผู้ดูแลบัญชีเท่านั้น การออกแบบด้านความปลอดภัยนี้ช่วยให้คุณกำหนดค่านโยบายการเข้าถึงที่ปรับอย่างละเอียดซึ่งสอดคล้องกับข้อกำหนดขององค์กร การกำกับดูแล การรักษาความปลอดภัย และการปฏิบัติตามข้อกำหนด คุณสามารถใช้การบล็อกการเข้าถึงจากสาธารณะของ S3 เพื่อจำกัดคำขอการเข้าถึงข้อมูลของคุณทั้งหมดได้ นอกจากนี้ S3 ยังให้คุณเลือกระหว่างตัวเลือกการเข้ารหัสต่างๆ ได้ รับชมวิดีโอด้านล่างนี้เพื่อเรียนรู้เพิ่มเติม

แนวทางปฏิบัติที่ดีที่สุดด้านการจัดการความปลอดภัยและการเข้าถึง Amazon S3 (28:08)

การจัดการสิทธิ์เข้าถึงและการรักษาความปลอดภัย

ข้อมูลเบื้องต้นสำหรับการจัดการสิทธิ์เข้าถึงและการรักษาความปลอดภัยของ S3 (1:43)

กำหนดค่านโยบายสิทธิ์เข้าถึงของ S3

การกำหนดค่านโยบายการจัดการสิทธิ์เข้าถึง (6:28)

ตัวเลือกการเข้ารหัสของ S3

ตัวเลือกการเข้ารหัสของ S3 (1:22)

คู่มือนักพัฒนา: การปกป้องข้อมูลโดยใช้การเข้ารหัส »
(พร้อมรายละเอียดสำหรับตัวเลือกฝั่งเซิร์ฟเวอร์และฝั่งไคลเอ็นต์)

บล็อกการรักษาความปลอดภัยของ S3

บล็อกข่าว AWS


ขณะนี้ Amazon Macie มีราคาที่ถูกลงเป็นอย่างมาก

Amazon Macie เป็นบริการที่มีการจัดการครบถ้วน ซึ่งจะช่วยคุณค้นหาและปกป้องข้อมูลที่ละเอียดอ่อนของคุณ โดยใช้แมชชีนเลิร์นนิ่งค้นหาและจำแนกประเภทข้อมูลให้คุณโดยอัตโนมัติ ขณะนี้ ด้วยการกำหนดราคาที่เรียบง่าย: คุณจะถูกเรียกเก็บเงินตามจำนวนบัคเก็ต S3 ที่ประเมิน และปริมาณข้อมูลที่ประมวลผลสำหรับงานค้นหาข้อมูลที่ละเอียดอ่อน 

อ่านบล็อก »

บล็อกข่าว AWS


การปิดกั้นการเข้าถึงจากสาธารณะของ S3 - การปกป้องสำหรับบัญชีและบัคเก็ต

การปิดกั้นการเข้าถึงจากสาธารณะของ Amazon S3 ให้การปกป้องระดับใหม่ที่ทำงานในระดับบัญชีและบนแต่ละบัคเก็ต รวมทั้งบัคเก็ตที่คุณสร้างขึ้นในอนาคตด้วย คุณสามารถบล็อกการเข้าถึงจากสาธารณะที่มีอยู่ (ไม่ว่าจะเป็นการระบุโดย ACL หรือนโยบาย) และแน่ใจได้ว่าไม่มีการให้สิทธิ์เข้าถึงจากสาธารณะกับรายการที่สร้างขึ้นใหม่

อ่านบล็อก »

บล็อกของ Werner Vogels


การรักษาความปลอดภัยในทุกระดับด้วยการให้เหตุผลอัตโนมัติ

Zelkova เพิ่มประสิทธิภาพคุณสมบัติการบล็อกการเข้าถึงจากสาธารณะของ Amazon S3 การบล็อกการเข้าถึงจากสาธารณะจะปิดใช้งานรายการควบคุมการเข้าถึง (ACLs) จากสาธารณะบนบัคเก็ตและอ็อบเจ็กต์ใน Amazon S3 นอกจากนี้ยังป้องกันนโยบายเกี่ยวกับบัคเก็ตที่จะอนุญาตการเข้าถึงจากสาธารณะอีกด้วย สำหรับนโยบายที่มีอยู่ที่อนุญาตการเข้าถึงจากสาธารณะ คุณสมบัติดังกล่าวจะไม่อนุญาตการเข้าถึงจากภายนอกของบัญชีบัคเก็ต

อ่านบล็อก »

บล็อกพื้นที่จัดเก็บของ AWS


การปิดกั้นการเข้าถึงจากสาธารณะของ Amazon S3 และ S3 Object Lock

การมุ่งเน้นที่การรักษาความปลอดภัยของข้อมูลตั้งแต่เริ่มต้นเป็นสาเหตุหนึ่งที่ทำให้ S3 ประสบความสำเร็จ เราลงทุนอย่างต่อเนื่องเพื่อยกระดับความปลอดภัยของพื้นที่จัดเก็บข้อมูล รวมถึงทำงานร่วมกับลูกค้าเพื่อตอบสนองความต้องการด้านความปลอดภัยที่เพิ่มมากขึ้น พร้อมทั้งยึดมั่นในภารกิจของเราในการลดความซับซ้อนของการจัดเก็บ

อ่านบล็อก »
เรียนรู้เพิ่มเติมเกี่ยวกับ Amazon S3

เรียนรู้เกี่ยวกับคุณสมบัติของ Amazon S3

เรียนรู้เพิ่มเติม 
ลงชื่อสมัครใช้บัญชีฟรี

รับสิทธิ์การเข้าถึง AWS Free Tier ได้ทันที 

ลงชื่อสมัครใช้งาน 
เริ่มต้นสร้างใน Console

เริ่มต้นสร้างด้วย Amazon S3 ใน AWS Management Console

ลงชื่อเข้าใช้