Amazon S3 安全和存取管理

無與倫比的安全、合規和稽核功能

Infographic:S3 安全和存取管理
S3 安全最佳實務和文件

概觀

將資料存放在 Amazon S3,以加密功能和存取管理工具避免未經授權的存取。S3 可加密上傳至所有儲存貯體的所有物件。S3 是唯一允許您封鎖公開存取儲存貯體中您的所有物件,或具有 S3 區塊公開存取的帳戶層級的物件儲存服務。S3 遵守合規計劃,例如 PCI-DSS、HIPAA/HITECH、FedRAMP、歐盟資料保護指令和 FISMA,協助您符合法規要求。AWS 還支援許多稽核功能,以監控對 S3 資源的存取請求。

Amazon S3 安全和存取管理

為了在 Amazon S3 保護您的資料,系統預設使用者只能存取他們建立的 S3 資源。您可以使用下列其中一個存取管理功能或其組合,將存取權授與其他使用者:AWS Identity and Access Management (IAM),用來建立使用者並管理其各自存取權;存取控制清單 (ACL),用來使個別物件可供授權使用者使用;儲存貯體政策,用來針對單一 S3 儲存貯體內的所有物件設定許可;以及查詢字串身分驗證,用來利用暫時 URL 將有時間限制的存取權授與其他使用者。Amazon S3 也支援稽核日誌,其中列出針對 S3 資源提出的請求,讓您完全掌握誰正在存取什麼資料。

只需在 S3 管理主控台按幾下滑鼠,即可將 S3 封鎖公開存取套用於帳戶中的每個儲存貯體 – 包括現有的儲存貯體以及未來建立的任何新儲存貯體 – 並確保任何物件都不會被公開存取。所有新的儲存貯體預設都會啟用「封鎖公開存取」。若要限制對帳戶中所有現有儲存貯體的存取,您可以在帳戶層級啟用「封鎖公開存取」。S3 封鎖公開存取設定會覆寫允許公開存取的 S3 許可,讓帳戶管理員可以輕鬆設定集中控制,以避免不同的安全組態,無論物件的新增方式或儲存貯體的建立方式為何。

Amazon S3 Object Lock 可阻擋在客戶定義的保留期內刪除物件版本,讓您能夠執行保留政策,為資料增加另一層的保護或符合法規規定。您可以從現有的單寫多讀 (WORM) 系統移轉工作負載至 Amazon S3,並在物件與貯體等級中設定 S3 Object Lock 防止物件版本在預設的保留期限或法律保留期限前被刪除。

Amazon S3 物件擁有權可停用存取控制清單 (ACL),將所有物件的擁有權變更為儲存貯體擁有者,並簡化對存放在 S3 中資料的存取管理。 在您設定 S3 物件擁有權強制執行儲存貯體擁有者時,ACL 將不再影響您的儲存貯體及其中物件的許可。所有存取控制都會使用以資源為基礎的政策、使用者政策,或這些政策的某種組合來定義。新儲存貯體的 ACL 會自動停用。遷移至以 IAM 為基礎的儲存貯體政策時,您可以使用 S3 庫存來檢閱儲存貯體中的 ACL 使用情況,然後再啟用 S3 物件擁有權。如需詳細資訊,請參閱控制物件擁有權

依預設,所有 Amazon S3 資源 (儲存貯體、物件和相關子資源) 均為私有:僅資源擁有者 (即建立它的 AWS 帳戶) 可存取該資源。Amazon S3 提供廣泛分類為資源型政策和使用者政策的存取政策選項。您可以選擇使用資源型政策、使用者政策或這些政策的一些組合,來管理 Amazon S3 資源的許可。 依預設,S3 物件歸建立該物件的帳戶擁有,包括該帳戶與儲存貯體擁有者不同的情況。您可以使用 S3 物件擁有權,停用存取控制清單並變更此行為。如果這樣做,儲存貯體中的每個物件都歸儲存貯體擁有者所擁有。 如需詳細資訊,請參閱 Amazon S3 中的 Identity and Access Management

更多功能

藉助 Amazon Macie 大規模探索和保護 Amazon S3 中的敏感資料。Macie 透過掃描儲存貯體來識別和將資料分類,自動為您提供 S3 儲存貯體的完整庫存。您會收到可行的安全發現結果,其中列舉適合這些敏感資料類型的所有資料,包括個人身分資訊 (PII) (例如,客戶名稱和信用卡號),以及隱私權法規 (例如 GDPR 和 HIPAA) 定義的類別。Macie 還會自動和持續評估未加密、可公開存取,或與組織外的帳戶共用的任何儲存貯體的儲存貯體層預防性控制,從而讓您快速應對儲存貯體上的意外設定。

Amazon S3 會自動加密上傳至所有儲存貯體的所有物件。針對物件上傳,Amazon S3 支援具有四個金鑰管理選項的伺服器端加密:SSE-S3 (基本加密級別)、SSE-KMS、DSSE-KMS 和 SSE-C,以及用戶端加密。Amazon S3 提供彈性的安全功能,以防止未獲授權的使用者存取您的資料。使用 VPC 端點從 Amazon Virtual Private Cloud (Amazon VPC) 連接至 S3 資源。使用 S3 Inventory 來檢查 S3 物件的加密狀態 (如需 S3 Inventory 的詳細資訊,請參閱儲存管理)。

影片:Amazon S3 資料加密概述 »

Trusted Advisor 會檢查您的 AWS 環境,然後在機會出現時提供建議,協助消除安全漏洞。 

Trusted Advisor 會執行以下 Amazon S3 相關檢查:記錄 Amazon S3 儲存貯體的組態、針對具有公有存取許可的 Amazon S3 儲存貯體的安全檢查、以及針對未啟用版本控制或版本控制已暫停的 Amazon S3 儲存貯體的容錯能力檢查。

使用 AWS PrivateLink for S3 直接作為安全虛擬網絡中的私有端點存取 Amazon S3。透過使用 Virtual Private Cloud (VPC) 中的私有 IP 地址從內部部署或雲端連接至 S3,來簡化您的網路架構。您不再需要使用公有 IP,設定防火牆規則,或設定網際網路閘道,即可從內部部署存取 S3。

從四種受支援的檢查總和演算法 (SHA-1、SHA-256、CRC32 或 CRC32C) 中進行選擇,以對上傳和下載請求進行資料完整性檢查。在您從 Simple Storage Service (Amazon S3) 存放或擷取資料時自動計算和驗證檢查總和,並且可以隨時使用 GetObjectAttributes S3 API 或 S3 庫存報告存取檢查總和資訊。

S3 資料完整性檢查入門教學

技術講座:使用 Amazon S3 中的檢查總和進行資料完整性檢查入門

部落格:建置可擴展的檢查總和

部落格:啟用並驗證 Amazon S3 中現有物件的附加檢查總和

運作方式

  • AWS PrivateLink for Amazon S3

  • 建立從內部部署至 Amazon S3 的直接私有連線。若要開始使用,請閱讀 AWS PrivateLink for S3 文件。 

    使用 AWS PrivateLink for S3 保護安全
  • Amazon Macie

  • 大規模探索及保護您的敏感資料。若要開始使用 Amazon Macie,請造訪網站

    使用 Amazon Macie 保護安全
  • S3 封鎖公開存取

  • 封鎖現在或未來所有對 Amazon S3 進行的公開存取。若要進一步了解 S3 封鎖公開存取,請造訪網頁

    使用 S3 封鎖公開存取保護安全
  • Amazon GuardDuty for S3

  • 使用智慧威脅偵測、持續監控和惡意軟體掃描來保護 Amazon S3 資料。若要進一步了解 Amazon GuardDuty for Amazon S3,請造訪網頁

    使用 Amazon GuardDuty for S3 保護安全