Amazon S3 具有各種功能,可供您用來以支援特定使用案例、啟用成本效益、強制執行安全性,以及符合合規要求的方式組織和管理資料。資料會在稱為「儲存貯體」的資源內儲存為物件,而且單一物件的大小最高可達 5 TB。S3 功能包括能夠將中繼資料標籤附加至物件、跨 S3 儲存類別移動和存放資料、設定和強制執行資料存取控制、保護資料免受未獲授權使用者存取、執行大數據分析,以及在物件和儲存貯體層級監控資料。物件可透過 S3 存取點存取或直接透過儲存貯體主機名稱存取。

儲存管理與監控

Amazon S3 的扁平無階層結構以及各種管理功能,有助於各種規模的客戶和產業以對其業務和團隊有價值的方式組織其資料。所有物件都會存放在 S3 儲存貯體中,而且可以利用稱為字首的共用名稱來組織。您也可以將最多 10 個金鑰值對 (稱為 S3 物件標籤) 附加至可在物件的整個生命週期中建立、更新及刪除的每個物件。若要追蹤物件及其各自標籤、儲存貯體和字首,您可以使用 S3 庫存報告,其中列出您在 S3 儲存貯體內存放的物件或具有特定字首的物件,以及其各自中繼資料和加密狀態。S3 庫存可以設定為每天或每週產生報告。

儲存管理

使用 S3 儲存貯體名稱、字首、物件標籤和 S3 Inventory 時,您有各種方式來分類和報告資料,之後還可設定其他 S3 功能來採取動作。 S3 批次操作讓您在 Amazon S3 中輕鬆地管理任何規模的資料,不論是存放數千個物件或十億個物件都是如此。使用 S3 批次操作,只需提出單一 S3 API 請求,或在 Amazon S3 管理主控台中按幾下,您便可以在儲存貯體之間複製物件、取代物件標籤集、修改存取控制,以及從 Amazon S3 Glacier 還原已存檔的物件。您也可以使用 S3 Batch Operations來跨物件執行 AWS Lambda 函數,以執行自訂商業邏輯,例如處理資料或將影像檔案轉碼。若要開始,請使用 S3 Inventory 報告或提供自訂清單,來指定目標物件的清單,然後從預先填入的功能表中選取所需的操作。當 S3 批次操作請求完成時,您將收到所有變更已進行的通知和完成報告。透過觀看影片教學深入了解 S3 批次操作。 

Amazon S3 也支援有助於維護資料版本控制、防止意外刪除以及複寫相同或不同 AWS 區域中資料的功能。您可以使用 S3 Versioning 輕鬆地保留、擷取和還原 Amazon S3 中存放之物件的每個版本,這可讓您從非計畫性的使用者動作和應用程式失敗中還原。若要防止意外刪除,請在 S3 儲存貯體上啟用多重因素認證 (MFA) 刪除。如果儲存貯體已啟用 MFA 刪除功能,當您嘗試刪除存放其中的物件時,將會需要兩種形式的身份驗證:您的 AWS 帳戶登入資料,以及核准驗證裝置所顯示的一連串有效序號、空格和六位數代碼,如硬體金鑰符記或通用第二因素 (U2F) 安全金鑰。

您可以使用 S3 Replication,將物件 (及其各自中繼資料和物件標籤) 複寫到相同或不同的 AWS 區域,以滿足減少延遲、合規、安全、災難復原和其他使用案例的需求。S3 跨區域複寫 (CRR) 會設定為來源 S3 儲存貯體,並將物件複寫至另一個 AWS 區域中的目的地儲存貯體。 Amazon S3 相同區域複寫 (SRR) 可在相同區域的儲存貯體之間複寫物件。Amazon S3 複寫時間控制 (S3 RTC) 提供 SLA,還可查看複寫時間,協助您達成資料複寫的合規規定。

您也可以使用 S3 Object Lock,來強制執行單次寫入多次讀取 (WORM) 政策。S3 管理功能會讓您無法在客戶定義的保留期內刪除物件版本,因此您能夠強制執行保留政策,為資料增加另一層的保護,或符合合規義務。您可以將工作負載從現有 WORM 系統遷移至 Amazon S3,並於物件層級和儲存貯體層級設定 S3 Object Lock,以避免在預先定義的「保留到期日」或「法務保存日期」之前刪除物件版本。具有 S3 Object Lock 的物件會保留 WORM 保護,即使它們移至具有 S3 生命週期政策的不同儲存類別也一樣。若要追蹤哪些物件具有 S3 Object Lock,您可以參閱 S3 庫存報告,其中包括物件的 WORM 狀態。您可以透過兩個模式來設定 S3 Object Lock。在控管模式下部署時,具有特定 IAM 許可的 AWS 帳戶能夠從物件移除 S3 Object Lock。如果需要更強的不變性才能符合法規,您可以使用合規模式。在合規模式下,任何使用者 (包含根帳戶) 都無法移除保護。

儲存監控

除了這些管理功能外,您還可以使用 S3 功能和其他 AWS 服務來監控和控制 S3 資源的使用方式。您可以將標籤套用至 S3 儲存貯體,以便跨多個業務維度 (包括成本中心、應用程式名稱或擁有者) 分配成本,然後使用 AWS Cost Allocation Reports,來檢視儲存貯體標籤所彙總的用量和成本。您也可以使用 Amazon CloudWatch 來追蹤 AWS 資源的操作狀態,以及設定當預估費用達到使用者定義的閾值時要傳送給您的帳單提醒。另一個 AWS 監控服務為 AWS CloudTrail,其會追蹤和報告儲存貯體層級和物件層級活動。您可以設定 S3 Event Notifications,以觸發工作流程、提醒,並在對 S3 資源進行特定變更時呼叫 AWS Lambda。S3 Event Notifications 可以用來在媒體檔上傳至 Amazon S3 時自動進行轉碼,在資料檔案可用時進行處理,以及將物件與其他資料存放區進行同步。

進一步了解 S3 儲存管理監控 »

儲存類別

您可以使用 Amazon S3 跨各種不同的 S3 儲存類別來存放資料:S3 標準S3 Intelligent-TieringS3 標準 – 不常存取 (S3 標準 – IA)S3 單區域 – 不常存取 (S3 單區域 – IA)Amazon S3 Glacier (S3 Glacier)Amazon S3 Glacier Deep Archive (S3 Glacier Deep Archive) 和 S3 Outposts

每個 S3 儲存類別都以對應成本或地理位置,支援特定的資料存取層級。這表示,您可以在 S3 標準中儲存關鍵任務生產資料以供經常存取、在 S3 標準 – IA 或 S3 單區域 – IA 中儲存不常存取的資料來節省成本,以及以最低成本將資料存檔在存檔儲存類別中 — S3 Glacier 和 S3 Glacier Deep Archive。如果您具有現有 AWS 區域無法滿足的資料駐留要求,則可以使用 S3 Outposts 儲存類別,利用 S3 on Outposts 存放內部部署 S3 資料。您可以使用 S3 Storage Class Analysis 來跨物件監控存取模式,以探索應該移至較低成本儲存類別的資料。然後可以使用此資訊來設定將進行資料轉移的 S3 Lifecycle 政策。S3 Lifecycle 政策也可以用來在物件的生命週期結束時將其終止。您可以將具有變更中或不明存取模式的資料存放在 S3 Intelligent-Tiering 中,如此即會根據在經常存取層與較低成本的不常存取層之間的變更存取模式來移動資料,以節省成本。

若要進一步了解,請造訪 S3 Storage ClassesS3 Storage Class AnalysisS3 Lifecycle 管理 »

存取管理與安全性

存取管理

為了在 Amazon S3 保護您的資料,系統預設使用者只能存取他們建立的 S3 資源。您可以使用下列其中一個存取管理功能或其組合,將存取權授與其他使用者:AWS Identity and Access Management (IAM),用來建立使用者並管理其各自存取權;存取控制清單 (ACL),用來使個別物件可供授權使用者使用;儲存貯體政策,用來針對單一 S3 儲存貯體內的所有物件設定許可;S3 Access Points,透過建立存取點 (各應用程式或應用程式集均有專屬存取點名稱及許可) 來簡化共享資料集的資料存取管理;查詢字串身份驗證,以便使用暫時 URL 將有時間限制的存取權授與其他使用者。Amazon S3 也支援稽核日誌,其中列出針對 S3 資源提出的請求,讓您完全掌握誰正在存取什麼資料。

安全性

Amazon S3 提供彈性的安全功能,以防止未獲授權的使用者存取您的資料。使用 VPC 端點從 Amazon Virtual Private Cloud (Amazon VPC) 連接至 S3 資源。針對上傳資料,Amazon S3 同時支援伺服器端加密 (具有三個金鑰管理選項) 和用戶端加密。使用 S3 Inventory 來檢查 S3 物件的加密狀態 (如需 S3 Inventory 的詳細資訊,請參閱儲存管理)。

S3 Block Public Access
是一組安全控制,可確保 S3 儲存貯體和物件沒有公有存取。只需在 Amazon S3 管理主控台中按幾下,您就可以將 S3 Block Public Access 設定套用至 AWS 帳戶內的所有儲存貯體,或套用至特定 S3 儲存貯體。一旦將設定套用至 AWS 帳戶,任何現有或新的與該帳戶關聯的儲存貯體和物件會繼承防止公有存取的設定。S3 Block Public Access 設定會覆寫其他 S3 存取許可,讓帳戶管理員可輕鬆強制執行「無公有存取」政策,而不論物件的新增方式、儲存貯體的建立方式,或是否有現有的存取許可。S3 Block Public Access 控制是可稽核的、提供進一步的控制層,以及使用 AWS Trusted Advisor 儲存貯體許可檢查、AWS CloudTrail 日誌,以及 Amazon CloudWatch 警示。 您應針對您不想公開存取的所有帳戶和儲存貯體啟用「區塊公開存取」。

使用限制 Virtual Private Cloud (VPC) 的 S3 存取點,您可以輕鬆在私有網路內建立防火牆來保護 S3 資料。此外,您現在可以透過 AWS 服務控制政策,要求組織中任何新的 S3 存取點都僅限 VPC 存取。

Access Analyzer for S3 是一項功能,可監控您的儲存貯體存取政策,確保政策只會提供預期的 S3 資源存取權。Access Analyzer for S3 會評估您的儲存貯體存取策略,並讓您能發現和快速修復具有潛在意外存取權限的儲存貯體。查看顯示可能共用存取某個儲存貯體的結果時,您可在 S3 管理主控台中按一下,以封鎖儲存貯體的所有公開存取。若要進行稽核,也可下載 Access Analyzer for S3 的發現結果以作為 CSV 報告。 

IAM 透過提供使用者或角色上次使用 S3 的時間戳記以及相關的操作,讓您可以更輕鬆地分析存取並減少許可,以實現最低權限。使用此「最後存取」資訊來分析 S3 存取、識別未使用的許可並放心地移除它們。若要深入了解,請參閱使用服務最近存取的資料減少許可

您可以使用 Amazon Macie 來探索和保護 Amazon S3 中存放的敏感資料。Macie 會自動收集完整的 S3 庫存,並自動、持續評估每個儲存貯體,以針對任何可公開存取的儲存貯體、未加密的儲存貯體,或與您組織的外部 AWS 帳戶共享或複製的儲存貯體進行警示。Macie 接著會將機器學習和模式比對技術套用至您選取的儲存貯體,以識別個人識別資訊 (PII) 等敏感資料並提醒您。產生安全性問題清單後,會將這些清單推出 Amazon CloudWatch Events 外,以輕鬆與現有工作流程系統整合並觸發對 AWS Step Functions 等服務的自動化修復採取行動,例如關閉公開儲存貯體或新增資源標籤。

就地查詢

Amazon S3 具有內建功能和免費服務,讓您無需複製資料,並將其載入至個別分析平台或資料倉儲,即可進行查詢。這表示您可以直接在 Amazon S3 中存放的資料上執行大數據分析。S3 Select 是 S3 功能,其設計旨在提高查詢效能,最高可達 400%,並最多可將查詢成本減少 80%。其運作方式為擷取物件資料的子集 (使用簡單 SQL 表達式),而非整個物件,其大小最多可達 5 TB。

Amazon S3 也與 AWS 分析服務 Amazon Athena 和 Amazon Redshift Spectrum 相容。Amazon Athena 會在 Amazon S3 中查詢您的資料,而無需擷取資料,並將其載入至個別的服務或平台。它會使用標準 SQL 表達式來分析您的資料、在幾秒內提供結果,以及常用於特定的資料探索。Amazon Redshift Spectrum 也會直接針對 Amazon S3 中的靜態資料執行 SQL 查詢,而且更適合於複雜查詢和大型資料集 (最高可達數個 EB)。由於 Amazon Athena 與 Amazon Redshift 共用通用的資料目錄及資料格式,您可以同時將它們用於 Amazon S3 中的相同資料集。

若要進一步了解,請造訪建構大數據儲存解決方案S3 Select »

資料傳輸

AWS 提供各種資料傳輸服務組合,可為任何資料遷移專案提供適當的解決方案。連線級別是影響資料遷移的重大因素,AWS 提供的產品可以滿足您的混合雲端儲存、線上資料傳輸和離線資料傳輸需求。

混合雲端儲存:AWS Storage Gateway 是混合雲端儲存服務,讓您能夠無縫連線內部部署應用程式,並將其擴展至 AWS Storage。客戶使用 Storage Gateway 將磁帶庫無縫取代為雲端儲存,提供雲端儲存支援的檔案共用,或建立低延遲快取,以存取 AWS 中的內部部署應用程式資料。 

線上資料傳輸:憑藉 AWS DataSync,可以輕鬆高效地將數百 TB 的資料和數百萬個檔案傳輸至 Amazon S3,其速度比開放原始碼工具快 10 倍。DataSync 可自動處理或免除許多手動任務,包括編寫複製作業的指令碼、排程與監控傳輸作業、驗證資料,以及優化網路使用情形。此外,您可以使用 AWS DataSync 在 S3 on Outposts 的儲存貯體與存放在 AWS 區域的儲存貯體間複製物件。AWS Transfer Family 使用 SFTP、FTPS 及 FTP 以簡易、無縫、全受管的方式將檔案傳輸至 Amazon S3。 Amazon S3 Transfer Acceleration 可在用戶端與 Amazon S3 儲存貯體之間提供快速的長距離檔案傳輸。

離線資料傳輸:AWS Snow Family 專為在網路容量受限或不存在的節點使用而設計,並且可在惡劣的環境中提供儲存和運算功能。AWS Snowball 服務使用兼顧耐用性和可攜式的儲存和邊緣運算裝置蒐集、處理和遷移資料。客戶可以運送實體 Snowball 裝置,以將資料離線遷移至 AWS。AWS Snowmobile 是 EB 級資料傳輸服務,讓您更輕鬆將大量資料移動到雲端,包含影片資料庫、圖片儲存庫,甚至遷移整座資料中心也沒問題。

客戶也可以與來自 AWS Partner Network (APN) 的第三方供應商合作部署混合式儲存架構、將 Amazon S3 整合至現有應用程式和工作流程,以及將資料傳入和傳出 AWS 雲端。

預定用途和限制

使用本服務需遵守 Amazon Web Services 客戶協議 »

準備好開始使用了嗎?

Product-Page_Standard-Icons_01_Product-Features_SqInk
進一步了解產品定價

按使用量付費。沒有最低費用。

進一步了解 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
註冊免費帳戶

立即存取 AWS 免費方案並開始試驗 Amazon S3。 

註冊 
Product-Page_Standard-Icons_03_Start-Building_SqInk
開始在主控台進行建置

開始在 AWS 主控台使用 Amazon S3 進行建置。

開始使用