Amazon S3 安全和存取管理

為了在 Amazon S3 保護您的資料，系統預設使用者只能存取他們建立的 S3 資源。您可以使用下列其中一個存取管理功能或其組合，將存取權授與其他使用者：AWS Identity and Access Management (IAM)，用來建立使用者並管理其各自存取權；存取控制清單 (ACL)，用來使個別物件可供授權使用者使用；儲存貯體政策，用來針對單一 S3 儲存貯體內的所有物件設定許可；以及查詢字串身分驗證，用來利用暫時 URL 將有時間限制的存取權授與其他使用者。Amazon S3 也支援稽核日誌，其中列出針對 S3 資源提出的請求，讓您完全掌握誰正在存取什麼資料。

只需在 S3 管理主控台按幾下滑鼠，即可將 S3 封鎖公開存取套用於帳戶中的每個儲存貯體 – 包括現有的儲存貯體以及未來建立的任何新儲存貯體 – 並確保任何物件都不會被公開存取。所有新的儲存貯體預設都會啟用「封鎖公開存取」。若要限制對帳戶中所有現有儲存貯體的存取，您可以在帳戶層級啟用「封鎖公開存取」。S3 封鎖公開存取設定會覆寫允許公開存取的 S3 許可，讓帳戶管理員可以輕鬆設定集中控制，以避免不同的安全組態，無論物件的新增方式或儲存貯體的建立方式為何。

Amazon S3 Object Lock 可阻擋在客戶定義的保留期內刪除物件版本，讓您能夠執行保留政策，為資料增加另一層的保護或符合法規規定。您可以從現有的單寫多讀 (WORM) 系統移轉工作負載至 Amazon S3，並在物件與貯體等級中設定 S3 Object Lock 防止物件版本在預設的保留期限或法律保留期限前被刪除。

Amazon S3 物件擁有權可停用存取控制清單 (ACL)，將所有物件的擁有權變更為儲存貯體擁有者，並簡化對存放在 S3 中資料的存取管理。 在您設定 S3 物件擁有權強制執行儲存貯體擁有者時，ACL 將不再影響您的儲存貯體及其中物件的許可。所有存取控制都會使用以資源為基礎的政策、使用者政策，或這些政策的某種組合來定義。新儲存貯體的 ACL 會自動停用。遷移至以 IAM 為基礎的儲存貯體政策時，您可以使用 S3 庫存來檢閱儲存貯體中的 ACL 使用情況，然後再啟用 S3 物件擁有權。如需詳細資訊，請參閱控制物件擁有權。

依預設，所有 Amazon S3 資源 (儲存貯體、物件和相關子資源) 均為私有：僅資源擁有者 (即建立它的 AWS 帳戶) 可存取該資源。Amazon S3 提供廣泛分類為資源型政策和使用者政策的存取政策選項。您可以選擇使用資源型政策、使用者政策或這些政策的一些組合，來管理 Amazon S3 資源的許可。 依預設，S3 物件歸建立該物件的帳戶擁有，包括該帳戶與儲存貯體擁有者不同的情況。您可以使用 S3 物件擁有權，停用存取控制清單並變更此行為。如果這樣做，儲存貯體中的每個物件都歸儲存貯體擁有者所擁有。 如需詳細資訊，請參閱 Amazon S3 中的 Identity and Access Management。

藉助 Amazon Macie 大規模探索和保護 Amazon S3 中的敏感資料。Macie 透過掃描儲存貯體來識別和將資料分類，自動為您提供 S3 儲存貯體的完整庫存。您會收到可行的安全發現結果，其中列舉適合這些敏感資料類型的所有資料，包括個人身分資訊 (PII) (例如，客戶名稱和信用卡號)，以及隱私權法規 (例如 GDPR 和 HIPAA) 定義的類別。Macie 還會自動和持續評估未加密、可公開存取，或與組織外的帳戶共用的任何儲存貯體的儲存貯體層預防性控制，從而讓您快速應對儲存貯體上的意外設定。

Amazon S3 會自動加密上傳至所有儲存貯體的所有物件。針對物件上傳，Amazon S3 支援具有四個金鑰管理選項的伺服器端加密：SSE-S3 (基本加密級別)、SSE-KMS、DSSE-KMS 和 SSE-C，以及用戶端加密。Amazon S3 提供彈性的安全功能，以防止未獲授權的使用者存取您的資料。使用 VPC 端點從 Amazon Virtual Private Cloud (Amazon VPC) 連接至 S3 資源。使用 S3 Inventory 來檢查 S3 物件的加密狀態 (如需 S3 Inventory 的詳細資訊，請參閱儲存管理)。

影片：Amazon S3 資料加密概述 »

Trusted Advisor 會檢查您的 AWS 環境，然後在機會出現時提供建議，協助消除安全漏洞。 

Trusted Advisor 會執行以下 Amazon S3 相關檢查：記錄 Amazon S3 儲存貯體的組態、針對具有公有存取許可的 Amazon S3 儲存貯體的安全檢查、以及針對未啟用版本控制或版本控制已暫停的 Amazon S3 儲存貯體的容錯能力檢查。

使用 AWS PrivateLink for S3 直接作為安全虛擬網絡中的私有端點存取 Amazon S3。透過使用 Virtual Private Cloud (VPC) 中的私有 IP 地址從內部部署或雲端連接至 S3，來簡化您的網路架構。您不再需要使用公有 IP，設定防火牆規則，或設定網際網路閘道，即可從內部部署存取 S3。

從四種受支援的檢查總和演算法 (SHA-1、SHA-256、CRC32 或 CRC32C) 中進行選擇，以對上傳和下載請求進行資料完整性檢查。在您從 Simple Storage Service (Amazon S3) 存放或擷取資料時自動計算和驗證檢查總和，並且可以隨時使用 GetObjectAttributes S3 API 或 S3 庫存報告存取檢查總和資訊。

S3 資料完整性檢查入門教學

技術講座：使用 Amazon S3 中的檢查總和進行資料完整性檢查入門

部落格：建置可擴展的檢查總和

部落格：啟用並驗證 Amazon S3 中現有物件的附加檢查總和