儲存類別

您可以從四種不同的儲存類別中進行選擇,以便將資料存放在 Amazon S3 中:S3 標準、S3 標準 – IA、S3 單區域 – IA 和 Amazon Glacier。如需進一步了解這些儲存類別的詳細資訊,請參閱 Amazon S3 儲存類別頁面。使用生命週期管理政策可以在儲存類別之間自動移動物件。

安全性與存取管理

預設情況下,只有儲存貯體和物件擁有者才能存取他們建立的 Amazon S3 資源。S3 支援多種存取控制機制以及加密方式,以確保靜態資料的安全傳輸和安全儲存。您可以透過 Amazon S3 的資料保護功能協助保護資料避免出現邏輯和實體故障,以及防止因使用者意外動作、應用程式錯誤及基礎設施故障而導致資料遺失。對於必須遵守 PCI 和 HIPAA 等法規標準的客戶,Amazon S3 的資料保護功能可作為實現合規性的整體策略的一部分。以下將詳細介紹 Amazon S3 提供的各種資料安全和可靠性功能。

彈性的存取控制機制

Amazon S3 支援多種機制,讓您能夠彈性的控制存取您資料的人員、方式、時間以及位置。Amazon S3 提供四種不同的存取控制機制:AWS Identity and Access Management (IAM) 政策、存取控制清單 (ACL)、儲存貯體政策和查詢字串身份驗證。IAM 可讓組織在一個 AWS 帳戶下建立和管理多個使用者。您可以利用 IAM 政策讓 IAM 使用者透過精細定義的控制功能存取 Amazon S3 儲存貯體或物件。您可以使用 ACL 對個別物件選擇性地新增 (授予) 物件許可。您可以使用 Amazon S3 儲存貯體政策在單一儲存貯體內的部分或所有物件間新增或拒絕許可。使用查詢字串身份驗證,您能夠透過僅在特定時間段內有效的 URL 共享 Amazon S3 物件。

S3 主控台會反白您可公開存取的 S3 儲存貯體,也會在儲存貯體政策或儲存貯體 ACL 變更會使該儲存貯體變成可公開存取時警告您。

VPC 端點

您可以使用 VPC 端點從您的 Amazon Virtual Private Cloud (Amazon VPC) 存取 Amazon S3。VPC 端點很容易設定且能提供可靠的 Amazon S3 連線,無須網際網路閘道或網路位址轉譯 (NAT) 執行個體。使用 VPC 端點,可在 Amazon 網路內部傳送 Amazon VPC 和 Amazon S3 間的資料,協助防止執行個體受到網際網路流量的影響。Amazon S3 的 Amazon VPC 端點提供多種層級的安全控制,可協助將存取權限制在 S3 儲存貯體。首先,您可以要求 VPC 發出的 Amazon S3 儲存貯體請求使用 VPC 端點。此外,您可以控制特定 VPC 端點允許的儲存貯體、請求、使用者或群組。

加密

您可以透過使用 HTTPS 通訊協定的 SSL 加密端點,將資料安全地上傳到 Amazon S3 或從 Amazon S3 下載資料。Amazon S3 可自動加密您的靜態資料,並讓您選擇多種金鑰管理方式。您可以設定 S3 儲存貯體,當內送儲存請求沒有加密資訊時,在物件存放於 S3 前自動加密物件。或者,您也可以使用類似 Amazon S3 加密用戶端這類用戶端加密庫,先對資料進行加密,再上傳到 Amazon S3。

如果您選擇讓 Amazon S3 透過伺服器端加密 (SSE) 來加密靜態資料,Amazon S3 將在寫入時自動加密資料並在擷取時自動解密資料。Amazon S3 SSE 加密靜態資料時使用進階加密標準 (AES) 256 位元對稱金鑰。如果您選擇 Amazon S3 伺服器端加密,有三種方式可管理加密金鑰。

Amazon S3 SSE 金鑰管理 (SSE-S3)

使用 SSE-S3,Amazon S3 將加密您的靜態資料並為您管理加密金鑰。

客戶提供金鑰 SSE (SSE-C)

使用 SSE-C,Amazon S3 將使用您提供的自訂加密金鑰加密您的靜態資料。若要使用 SSE-C,只需將您的自訂加密金鑰包含在您的上傳請求中,這樣 Amazon S3 會使用該金鑰加密物件並安全地存放靜態的加密資料。同樣地,若要想擷取加密物件,請提供您的自訂加密金鑰,這樣 Amazon S3 會在擷取期間解密物件。Amazon S3 不會隨處存放您的加密金鑰;當 Amazon S3 完成您的請求後就會立即丟棄金鑰。

AWS KMS SSE (SSE-KMS)

藉助 SSE-KMS,Amazon S3 將使用您在 AWS Key Management Service (KMS) 中管理的金鑰來加密您的靜態資料。使用 AWS KMS 進行金鑰管理有幾項好處。利用 AWS KMS 可設定幾個單獨的主要金鑰使用許可,提供額外的控制層,並防止未授權存取 Amazon S3 中存放的物件。AWS KMS 提供稽核追蹤,所以您能看到誰在何時使用您的金鑰存取哪些物件,還能看到使用者在沒有解密資料的許可下所作的存取資料失敗嘗試次數。此外,AWS KMS 還提供額外的安全控制,支援客戶符合 PCI-DSS、HIPAA/HITECH 和FedRAMP 產業要求。

如需詳細資訊,請參閱 Amazon S3 Developer Guide 中的 Using Data Encryption 主題

稽核日誌

Amazon S3 還支援對 Amazon S3 資源的請求記錄。您可以設定 Amazon S3 儲存貯體,為針對它的請求建立存取日誌記錄。這些伺服器存取日誌可擷取對儲存貯體或其中的物件發出的所有請求,還可用於稽核目的。

如需 Amazon S3 中可用的安全性功能的詳細資訊,請參閱 Amazon S3 Developer Guide 中的 Access Control 主題。有關 AWS (包括 Amazon S3) 安全性的概觀,請參閱 Amazon Web Services:安全程序概觀文件。

版本控制

Amazon S3 使用版本控制功能提供了進一步保護。您可以使用版本控制來保留、擷取和恢復儲存在 Amazon S3 儲存貯體中存放的每個物件的每個版本。這使您能夠從使用者動作失誤和應用程式故障中輕鬆恢復。預設情況下,請求將擷取最近寫入的版本。在請求中指定版本可擷取物件的舊版本。儲存費率適用於每個存放的版本。您可以設定 S3 生命週期規則,自動控制存放多個版本的存留期和成本。

Multi-Factor Authentication Delete

Amazon S3 使用 Multi-Factor Authentication (MFA) Delete 提升安全性。啟用時,此功能要求使用多重因素認證設備來刪除存放在 Amazon S3 的物件以保護物件之前的版本。

在 Amazon S3 儲存貯體啟用 MFA Delete 之前,需要提供以下兩種形式的身份驗證才能變更儲存貯體的版本控制狀態或永久刪除某個物件版本:

  • 您的 AWS 帳戶登入資料
  • 核准的身份驗證設備上顯示的有效序號、空格和六位代碼組合。

進一步了解有關 Amazon S3 Multi-Factor Authentication (MFA) Delete »

物件的限定時間存取

Amazon S3 支援查詢字串身份驗證,讓您提供一個只對您定義的時間長度有效的 URL。這個時間限制 URL 對於軟體下載或其他應用程式 (您想限制使用者存取某個物件的時間長度) 這類情況非常有用。

進一步了解限時 URL »

機器學習支援的自動化安全

Amazon Macie 透過機器學習自動探索、分類和保護 AWS 中的敏感資料。Amazon Macie 可辨識個人識別資訊 (PII) 或智慧財產等敏感資料,並透過儀表板和提醒讓您清楚了解這類資料的存取或移動方式。此全受管服務會持續監控異常的資料存取活動,並在偵測到未經授權存取或資料意外洩漏的風險時產生詳細的提醒。

就地查詢

Amazon 擁有一套可更快速分析和處理大量雲端資料的工具,包含優化和整合現有工作流程與 Amazon S3 的方式。 

S3 Select

Amazon S3 Select 旨在協助以更快速經濟的方式分析和處理 Amazon S3 儲存貯體中的物件資料。它的運作方式是讓您能夠使用簡單 SQL 表達式從 Amazon S3 中的物件擷取資料子集。您的應用程式不需要再使用運算資源掃描和篩選物件資料,可將查詢效能提升高達 400%,並減少多達 80% 的查詢成本。您只要將應用程式變更為使用 SELECT 而不要使用 GET 就可以利用 S3 Select。

Amazon Athena

Amazon Athena 是互動式查詢服務,可輕鬆地使用標準 SQL 表達式分析 Amazon S3 中的資料。Athena 沒有伺服器,所以不需管理基礎設施,而且您只需支付執行的查詢費用。

Athena 很容易使用。只需指向 Amazon S3 中的資料、定義結構描述,然後使用標準 SQL 表達式開始查詢即可。大部分結果會在幾秒鐘內交付。有了 Athena,就不需要使用複雜的 ETL 任務來準備資料以進行分析。這樣可讓每個具有 SQL 技術的人都能快速分析大規模的資料集。

Amazon Redshift Spectrum

Amazon Redshift 也包含 Redshift Spectrum,讓您直接對 Amazon S3 中數 EB 的非結構化資料執行 SQL 查詢。不需要載入或轉換,而且您可以使用 Avro、CSV、Grok、ORC、Parquet、RCFile、RegexSerDe、SequenceFile、TextFile 和 TSV 等開放資料格式。Redshift Spectrum 會自動按擷取的資料量擴展查詢運算容量,無論資料集大小為何,都能對 Amazon S3 進行快速的查詢。

儲存管理

Amazon S3 針對您的資料使用模式提供可行的洞見,並提供各種工具透過管理政策管理儲存,讓您輕鬆管理資料。所有這些管理功能都可以使用 Amazon S3 APIAWS 管理主控台輕鬆管理。下面將詳細介紹 Amazon S3 提供的各種資料管理功能。

S3 物件標記

利用 Amazon S3 物件標記,您可以管理和控制 Amazon S3 物件的存取。S3 物件標籤是套用到 S3 物件的鍵值組,您可在物件的存留期間隨時建立、更新或刪除這些標籤。使用這些標籤,您可以建立 Identity and Access Management (IAM) 政策、設定 S3 生命週期政策、篩選跨區域複寫以及自訂 CloudWatch 請求指標。

S3 庫存

您可以使用 S3 庫存簡化並加速商業工作流程和大數據任務,S3 庫存可為您提供排程的 Amazon S3 同步清單 API 替代方案。S3 庫存可針對 S3 儲存貯體或前綴,每日或每週提供物件及其對應中繼資料的 CSV (逗號分隔值) 或 ORC (優化資料列單欄式) 輸出。S3 庫存也可讓您針對商業、合規和法規需求輕鬆地稽核和報告物件加密狀態。

儲存類別分析

您可以透過儲存類別分析來監控 S3 儲存貯體內的物件存取頻率,以便將較不常存取的儲存轉換為成本較低的儲存類別。儲存類別分析會觀察使用模式以偵測不常存取的儲存空間,幫助您將正確的物件從 S3 標準儲存類別轉換為 S3 標準 – IA、S3 單區域 – IA 或 Amazon Glacier 儲存類別。您可以設定儲存類別分析政策,以監控整個儲存貯體、前綴或物件標籤。儲存類別分析偵測到資料適合轉換為另一個儲存類別後,您就可以根據這些結果輕鬆地建立新的 S3 生命週期政策。此功能也包含指定儲存貯體、前綴或標籤層級的儲存使用量詳細的每日分析,您可以將這些分析匯出到 S3 儲存貯體。

Amazon S3 的 Amazon CloudWatch 指標

Amazon S3 與 Amazon CloudWatch 整合後,可透過提供主機上不同指標的整合監控和警示,協助您改善最終使用者體驗。您可以接收以 1 分鐘為間隔的 CloudWatch 指標、設定 CloudWatch 警示及存取 CloudWatch 儀表板,以查看 Amazon S3 儲存的即時操作和效能。如果是倚賴雲端儲存的 Web 與行動應用程式,這些項目可讓您快速識別操作問題並採取行動。這些 1 分鐘間隔的指標可在 S3 儲存貯體層級使用。此外,您可以使用共享前綴或物件標籤彈性的定義收集指標的篩選條件,讓指標篩選條件符合特定的商業應用程式、工作流程或內部組織。

Amazon S3 的 AWS CloudTrail 管理和資料事件

您可以使用 AWS CloudTrail 擷取 S3 物件上的儲存貯體層級 (管理事件) 和物件層級 API 活動 (資料事件)。資料事件包含 GET、HEAD 和 Get Object ACL 等讀取操作,以及 PUT 和 POST 等寫入操作。擷取的詳細資訊可為多種類型的安全性、稽核、控管和合規使用案例提供支援。瀏覽 AWS CloudTrail 頁面以取得 S3 資料事件的詳細資訊。

Amazon S3 資料生命週期管理

Amazon S3 可隨您的資料成長自動指派和變更成本及效能特性。它甚至可以自動化常見的資料生命週期管理任務,包括容量佈建、自動遷移至較低成本方案、法律合規政策及最後的排定刪除。

隨著資料老化,Amazon S3 會在硬體故障或到達使用壽命時,自動以透明的方式將您的資料遷移到新硬體。這種機制讓您不必執行昂貴、耗時且風險極大的硬體遷移。您可以針對 Amazon S3 設定 S3 生命週期政策,當資料老化時將資料自動遷移到成本較低的儲存。您可以定義規則,根據資料的老化程度將 Amazon S3 物件自動遷移到 S3 標準 – IA、S3 單區域 – IA 或 Amazon Glacier 儲存類別。您可以依照儲存貯體、前綴或物件標籤設定生命週期政策,以指定最適合自己使用案例的精細度。

當資料到達其使用期限,Amazon S3 會提供程式設計選項,可用來刪除重複和大量資料。對於重複刪除,可以將規則定義為在預先定義的時間期間後刪除物件集。這些規則可以套用到存放在 S3 標準、S3 標準 – IA 或 S3 單區域 – IA 中的物件,以及已存檔至 Amazon Glacier 的物件。

您也可以對 Amazon S3 物件的版本定義生命週期規則以降低儲存成本。例如,您可以建立規則,自動並徹底地刪除不再需要的舊版物件,以達到節省金錢和提升效能的目的。或者,您也可以建立規則,將舊版本自動遷移到 S3 標準 – IA、S3 單區域 – IA 或 Amazon Glacier,以進一步降低儲存成本。

跨區域複寫

跨區域複寫 (CRR) 可將新物件輕鬆複寫到任何其他 AWS 區域,用於減少延遲、合規、安全、災難復原和許多其他使用案例。CRR 會將上傳到來源儲存貯體的每個物件複寫到您選擇的不同 AWS 區域中的目標儲存貯體。與物件關聯的中繼資料、ACL 和物件標籤也屬於複寫的一部分。在將物件複寫到目標儲存貯體後,會將對來源物件上的資料、中繼資料、ACL 或物件標籤的任何變更都複寫至目標。

CRR 是儲存貯體層級的組態,您要指定不同 AWS 區域中的目標儲存貯體,以啟用儲存貯體上的 CRR。透過 CRR,您可以選取任何 AWS 商業區域做為目標區域,或根據自己的需求為複寫的儲存選取任何 S3 儲存類別。您可跨帳戶設定 CRR,並在來源和目標之間保有完全不同的擁有權堆疊。您可以使用 AWS 管理主控台、REST API、AWS CLI 或 AWS 開發套件建立這些設定。來源與目標儲存貯體都必須開啟版本控制,才能啟用 CRR。

進一步了解跨區域複寫 »

成本監控和控制

Amazon S3 提供了多種用於管理和控制成本的功能。您可以使用 AWS 管理主控台或 Amazon S3 API 將標籤套用至 Amazon S3 儲存貯體,讓您跨多個業務維度 (包括成本中心、應用程式名稱或所有人) 分配成本。然後,您可以使用 Amazon Web Services 的成本分配報告查看這些成本的明細,其中顯示按儲存貯體標籤彙總的使用情況和成本。如需成本分配和標記的詳細資訊,請參閱關於 AWS 帳戶計費。如需標記 Amazon S3 儲存貯體的詳細資訊,請參閱 Amazon S3 Developer Guide 中的 Bucket Tagging 主題。

您可以使用 Amazon CloudWatch 接收 S3 帳單提醒,幫助您監控 Amazon S3 的帳單費用。您也可以建立通知,自動提醒您預計的費用已經達到了所選擇的限值。如需有關帳單提醒的詳細資訊,您可以造訪帳單提醒頁,或查看 Amazon CloudWatch Developer Guide 中的 Monitor Your Estimated Charges 主題。

事件通知

對 Amazon S3 中上傳或存放的物件採取動作時會傳送 Amazon S3 事件通知。通知訊息可透過 Amazon SNS 或 Amazon SQS 傳送,或直接傳送到 AWS Lambda 以叫用 AWS Lambda 功能。

Amazon S3 事件通知可讓您執行工作流程、傳送提醒,或為回應 Amazon S3 中存放之物件變更而執行其他動作。您可以使用 Amazon S3 事件通知來設定觸發程序以執行各種動作,包括上傳媒體檔時進行轉碼、在資料檔案可用時進行處理,以及將 Amazon S3 物件與其他資料存放區進行同步。您還可以根據物件名稱首碼和尾碼來設定事件通知。例如,您可以選擇接收以 "images/" 開頭的物件名稱通知。 它也可以用來同步 Amazon S3 物件的次要索引。

您可以在儲存貯體層級設定 Amazon S3 事件通知,然後透過 Amazon S3 主控台、REST API 或使用 AWS 開發套件對其進行設定。

若要進一步了解,請瀏覽 Amazon S3 Developer Guide 中的 Configuring Notifications for Amazon S3 Events 主題。

傳輸大量資料

Amazon 擁有可更快速將資料遷移到雲端的一整套資料遷移工具,包括優化或取代網路的方法,以及將現有工作流程與 S3 整合的方法。

S3 Transfer Acceleration

Amazon S3 Transfer Acceleration 的設計目的是最大化透過長距離將資料傳輸到 Amazon S3 儲存貯體的速度。它的運作方式是在高度優化的網路橋接器上執行 HTTP 和 HTTPS 流量,於最靠近您用戶端的 AWS 節點與 Amazon S3 儲存貯體之間執行。您不需要管理閘道伺服器、不需要開啟防火牆、不用整合特殊的連接埠或用戶端,也不用支付前期費用。您只需變更應用程式用來傳輸的 Amazon S3 端點,就會自動套用加速。以下情況適合使用 S3 Transfer Acceleration:

  • 需要更快地從與儲存貯體相距很遠的用戶端上傳 (針對跨國家或跨洲的執行個體)。
  • 用戶端位於自有資料中心之外,而它們倚賴公有網際網路來連接 Amazon S3。至於位於自有資料中心內的用戶端,請考慮使用 AWS Direct Connect

進一步了解 S3 Transfer Acceleration »

AWS Snowball、Snowball Edge 和 Snowmobile

從 PB 到 EB,AWS 資料遷移服務使用安全裝置來傳輸進出 Amazon S3 的大量資料。AWS Snowball、AWS Snowball Edge 和 AWS Snowmobile 可克服大規模資料傳輸的常見考驗,包括昂貴的網路費用、冗長的傳輸時間以及安全方面的考量。傳輸資料非常簡單、快速、安全,而且只需要高速網際網路費用的五分之一。

進一步了解 AWS Snow 系列 »

AWS Storage Gateway

現有現場部署的資料或儲存系統可以使用混合式雲端儲存適用的 AWS Storage Gateway,輕易地連結至 Amazon S3。這表示現有的系統、軟體、處理程序及資料可以簡化到雲端,在中斷服務時間最短的情況下用於備份、遷移、分層或服務爆量。

進一步了解 AWS Storage Gateway »

第三方合作夥伴整合

多個 ISV 合作夥伴已經與 Amazon S3 整合,進行簡化的資料傳輸和擷取。請瀏覽 AWS 儲存合作夥伴解決方案頁面,取得已經過核准的 AWS 合作夥伴解決方案清單。

用途和限制

使用本服務需遵守 Amazon Web Services 客戶協議

進一步了解 Amazon S3 定價

瀏覽定價頁面
準備好開始建立?
開始使用 Amazon S3
還有其他問題嗎?
聯絡我們