無與倫比的安全、合規和稽核功能
將資料存放在 Amazon S3,以加密功能和存取管理工具避免未經授權的存取。S3 是唯一允許您封鎖公開存取儲存貯體中您的所有物件,或具有 S3 區塊公開存取的帳戶層級的物件儲存服務。S3 遵守合規計劃,例如 PCI-DSS、HIPAA/HITECH、FedRAMP、歐盟資料保護指令和 FISMA,協助您符合法規要求。AWS 還支援許多稽核功能,以監控對 S3 資源的存取請求。
Amazon S3 安全和存取管理
為了在 Amazon S3 保護您的資料,系統預設使用者只能存取他們建立的 S3 資源。您可以使用下列其中一個存取管理功能或其組合,將存取權授與其他使用者:AWS Identity and Access Management (IAM),用來建立使用者並管理其各自存取權;存取控制清單 (ACL),用來使個別物件可供授權使用者使用;儲存貯體政策,用來針對單一 S3 儲存貯體內的所有物件設定許可;以及查詢字串身份驗證,用來利用暫時 URL 將有時間限制的存取權授與其他使用者。Amazon S3 也支援稽核日誌,其中列出針對 S3 資源提出的請求,讓您完全掌握誰正在存取什麼資料。
區塊公用存取
只需在 S3 管理主控台按幾下滑鼠,即可將 S3 封鎖公開存取套用於帳戶中的每個儲存貯體 – 包括現有的儲存貯體以及未來建立的任何新儲存貯體 – 並確保任何物件都不會被公開存取。S3 封鎖公開存取設定會覆寫允許公開存取的 S3 許可,讓帳戶管理員可以輕鬆設定集中控制,以避免不同的安全組態,無論物件的新增方式或儲存貯體的建立方式為何。
Object Lock
Amazon S3 Object Lock 可阻擋在客戶定義的保留期內刪除物件版本,讓您能夠執行保留政策,為資料增加另一層的保護或符合法規規定。您可以從現有的單寫多讀 (WORM) 系統將工作負載遷移至 Amazon S3,並在物件與儲存貯體等級中設定 S3 Object Lock 防止物件版本在預設的保留期限或法律保留期限前被刪除。
AWS Trusted Advisor
Trusted Advisor 會檢查您的 AWS 環境,然後在機會出現時提供建議,協助消除安全漏洞。
Trusted Advisor 會執行以下 Amazon S3 相關檢查:記錄 Amazon S3 儲存貯體的組態、針對已公開存取權限的 Amazon S3 儲存貯體的安全檢查、針對未啟用版本控制或版本控制已暫停的 Amazon S3 儲存貯體的容錯檢查。
Amazon Macie
使用 Amazon Macie 大規模探索和保護 Amazon S3 中的敏感資料。Macie 透過掃描儲存貯體來識別和將資料分類,自動為您提供 S3 儲存貯體的完整庫存。您會收到可行的安全發現結果,其中列舉適合這些敏感資料類型的所有資料,包括 PII (例如,客戶名稱和信用卡號),以及隱私權法規 (例如 GDPR 和 HIPAA) 定義的類別。Macie 還會自動和持續評估未加密、可公開存取,或與組織外的帳戶共用的任何儲存貯體的儲存貯體層預防性控制,從而讓您快速應對儲存貯體上的意外設定。
加密
針對上傳資料,Amazon S3 同時支援伺服器端加密 (具有三個金鑰管理選項:SSE-KMS、SSE-C、SSE-S3) 和用戶端加密。Amazon S3 提供彈性的安全功能,以防止未獲授權的使用者存取您的資料。使用 VPC 端點從 Amazon Virtual Private Cloud (Amazon VPC) 連接至 S3 資源。使用 S3 Inventory 來檢查 S3 物件的加密狀態 (如需 S3 Inventory 的詳細資訊,請參閱儲存管理)。
Identity and Access Management
依預設,所有 Amazon S3 資源 (儲存貯體、物件和相關子資源) 均為私有:僅資源擁有者 (即建立它的 AWS 帳戶) 可存取該資源。Amazon S3 提供廣泛分類為資源型政策和使用者政策的存取政策選項。您可以選擇使用資源型政策、使用者政策或這些政策的一些組合,來管理 Amazon S3 資源的權限。如需詳細資訊,請參閱管理 Amazon S3 資源的存取權限簡介。
AWS PrivateLink for S3
使用 AWS PrivateLink for S3 直接作為安全虛擬網絡中的私有端點存取 Amazon S3。透過使用 Virtual Private Cloud (VPC) 中的私有 IP 地址從內部部署或雲端連接至 S3,來簡化您的網路架構。您不再需要使用公有 IP,設定防火牆規則,或設定網際網路閘道,即可從內部部署存取 S3。
運作方式
-
AWS PrivateLink for Amazon S3
-
Amazon Macie
-
S3 封鎖公開存取
-
Amazon GuardDuty for S3
-
AWS PrivateLink for Amazon S3
-
建立從內部部署至 Amazon S3 的直接私有連線。若要開始使用,請閱讀 AWS PrivateLink for S3 文件。
-
Amazon Macie
-
大規模探索及保護您的敏感資料。若要開始使用 Amazon Macie,請造訪網站。
-
S3 封鎖公開存取
-
封鎖現在或未來所有對 Amazon S3 進行的公開存取。若要進一步了解 S3 封鎖公開存取,請造訪網頁。
-
Amazon GuardDuty for S3
-
使用智慧威脅偵測和持續監控保護 Amazon S3 資料。若要進一步了解 Amazon GuardDuty for Amazon S3,請造訪網頁。
安全和存取管理教學課程影片
所有 S3 資源於建立時預設皆為私有,只能由資源擁有者或帳戶管理員存取。此安全性設計能讓您設定精細的存取政策,以符合組織、政府、安全性及合規性上的要求。您可用 S3 區塊公用存取來限制所有對資料的存取要求。S3 也能讓您選擇不同的加密選項。請觀賞以下影片以進一步了解。
S3 安全性部落格
AWS 新聞部落格
Amazon Macie 現在的定價大幅降低
Amazon Macie 是一種全受管服務,可協助您探索和保護敏感資料,其使用機器學習自動為您發現資料並分類。 現在具有簡化的定價:現在會根據評估的 S3 儲存貯體的數量、針對敏感資料探索任務處理的資料量收費。
AWS 新聞部落格
S3 封鎖公開存取 – 為帳戶和儲存貯體提供保護
Amazon S3 封鎖公開存取提供更高等級的保護,適用於帳戶層級,也適用於個別的儲存貯體,包括您未來可能建立的帳戶或儲存貯體。您可封鎖現有的公開存取 (無論是由 ACL 或政策指定),並確保公開存取僅授予給新建立的項目。
Werner Vogel 的部落格
透過自動推理提供大規模安全性
Zelkova 為 Amazon S3 封鎖公開存取功能提供強大效能。封鎖公開存取可停用 Amazon S3 中儲存貯體和物件的公開存取控制清單 (ACL)。也可停用允許公開存取的儲存貯體政策。針對允許公開存取的現有政策,此功能將禁止從儲存貯體帳戶之外存取。
AWS 儲存部落格
Amazon S3 封鎖公開存取和 S3 Object Lock
S3 能如此成功的原因之一,是因為我們從一開始便專注於資料安全性。我們透過不斷投資,提升儲存的安全等級,並與客戶合作,以滿足日益提高的安全需求,同時堅持我們提供簡易儲存的使命。
