Amazon S3 安全和存取管理

Infographic:S3 安全和存取管理
S3 安全最佳實務和文件

無與倫比的安全、合規和稽核功能

將資料存放在 Amazon S3,以加密功能和存取管理工具避免未經授權的存取。S3 是唯一允許您封鎖公開存取儲存貯體中您的所有物件,或具有 S3 區塊公開存取的帳戶層級的物件儲存服務。S3 遵守合規計劃,例如 PCI-DSS、HIPAA/HITECH、FedRAMP、歐盟資料保護指令和 FISMA,協助您符合法規要求。AWS 還支援許多稽核功能,以監控對 S3 資源的存取請求。

深入了解 Amazon S3 安全和管理

Amazon S3 安全和存取管理

為了在 Amazon S3 保護您的資料,系統預設使用者只能存取他們建立的 S3 資源。您可以使用下列其中一個存取管理功能或其組合,將存取權授與其他使用者:AWS Identity and Access Management (IAM),用來建立使用者並管理其各自存取權;存取控制清單 (ACL),用來使個別物件可供授權使用者使用;儲存貯體政策,用來針對單一 S3 儲存貯體內的所有物件設定許可;以及查詢字串身份驗證,用來利用暫時 URL 將有時間限制的存取權授與其他使用者。Amazon S3 也支援稽核日誌,其中列出針對 S3 資源提出的請求,讓您完全掌握誰正在存取什麼資料。

區塊公用存取

SiteMerch-CastleBlack_Editorial

只需在 S3 管理主控台按幾下滑鼠,即可將 S3 封鎖公開存取套用於帳戶中的每個儲存貯體 – 包括現有的儲存貯體以及未來建立的任何新儲存貯體 – 並確保任何物件都不會被公開存取。S3 封鎖公開存取設定會覆寫允許公開存取的 S3 許可,讓帳戶管理員可以輕鬆設定集中控制,以避免不同的安全組態,無論物件的新增方式或儲存貯體的建立方式為何。

Object Lock

SiteMerch-S3-Object Lock_Editorial

Amazon S3 Object Lock 可阻擋在客戶定義的保留期內刪除物件版本,讓您能夠執行保留政策,為資料增加另一層的保護或符合法規規定。您可以從現有的單寫多讀 (WORM) 系統將工作負載遷移至 Amazon S3,並在物件與儲存貯體等級中設定 S3 Object Lock 防止物件版本在預設的保留期限或法律保留期限前被刪除。

AWS Trusted Advisor

Site-Merch_Webinar_Security_Editorial

Trusted Advisor 會檢查您的 AWS 環境,然後在機會出現時提供建議,協助消除安全漏洞。 

Trusted Advisor 會執行以下 Amazon S3 相關檢查:記錄 Amazon S3 儲存貯體的組態、針對已公開存取權限的 Amazon S3 儲存貯體的安全檢查、針對未啟用版本控制或版本控制已暫停的 Amazon S3 儲存貯體的容錯檢查。

Amazon Macie

Site-Merch_Macie_Tile

使用 Amazon Macie 大規模探索和保護 Amazon S3 中的敏感資料。Macie 透過掃描儲存貯體來識別和將資料分類,自動為您提供 S3 儲存貯體的完整庫存。您會收到可行的安全發現結果,其中列舉適合這些敏感資料類型的所有資料,包括 PII (例如,客戶名稱和信用卡號),以及隱私權法規 (例如 GDPR 和 HIPAA) 定義的類別。Macie 還會自動和持續評估未加密、可公開存取,或與組織外的帳戶共用的任何儲存貯體的儲存貯體層預防性控制,從而讓您快速應對儲存貯體上的意外設定。

加密

cloud-security-identity-sso

針對上傳資料,Amazon S3 同時支援伺服器端加密 (具有三個金鑰管理選項:SSE-KMS、SSE-C、SSE-S3) 和用戶端加密。Amazon S3 提供彈性的安全功能,以防止未獲授權的使用者存取您的資料。使用 VPC 端點從 Amazon Virtual Private Cloud (Amazon VPC) 連接至 S3 資源。使用 S3 Inventory 來檢查 S3 物件的加密狀態 (如需 S3 Inventory 的詳細資訊,請參閱儲存管理)。

Identity and Access Management

cloud-security-identity-directoryservices

依預設,所有 Amazon S3 資源 (儲存貯體、物件和相關子資源) 均為私有:僅資源擁有者 (即建立它的 AWS 帳戶) 可存取該資源。Amazon S3 提供廣泛分類為資源型政策和使用者政策的存取政策選項。您可以選擇使用資源型政策、使用者政策或這些政策的一些組合,來管理 Amazon S3 資源的權限。如需詳細資訊,請參閱管理 Amazon S3 資源的存取權限簡介。 

安全和存取管理教學課程影片

所有 S3 資源於建立時預設皆為私有,只能由資源擁有者或帳戶管理員存取。此安全性設計能讓您設定精細的存取政策,以符合組織、政府、安全性及合規性上的要求。您可用 S3 區塊公用存取來限制所有對資料的存取要求。S3 也能讓您選擇不同的加密選項。請觀賞以下影片以進一步了解。

存取管理與安全性

S3 存取管理與安全性簡介

設定 S3 存取管理政策 »

S3 存取管理功能概觀 »

設定 S3 存取政策

設定存取管理政策

開發人員指南:管理存取許可 »

AWS Identity and Access Management »

開發人員指南:S3 區塊公用存取 »

S3 加密選項

S3 加密選項

開發人員指南:使用加密功能保護資料 »
(含伺服器端和用戶端選項的詳細資訊)

S3 安全性部落格

AWS 新聞部落格

Amazon Macie 現在的定價大幅降低

Amazon Macie 是一種全受管服務,可協助您探索和保護敏感資料,其使用機器學習自動為您發現資料並分類。 現在具有簡化的定價:現在會根據評估的 S3 儲存貯體的數量、針對敏感資料探索任務處理的資料量收費。 

閱讀部落格 »

AWS 新聞部落格

S3 封鎖公開存取 – 為帳戶和儲存貯體提供保護

Amazon S3 封鎖公開存取提供更高等級的保護,適用於帳戶層級,也適用於個別的儲存貯體,包括您未來可能建立的帳戶或儲存貯體。您可封鎖現有的公開存取 (無論是由 ACL 或政策指定),並確保公開存取僅授予給新建立的項目。

閱讀部落格 »

Werner Vogel 的部落格

透過自動推理提供大規模安全性

Zelkova 為 Amazon S3 封鎖公開存取功能提供強大效能。封鎖公開存取可停用 Amazon S3 中儲存貯體和物件的公開存取控制清單 (ACL)。也可停用允許公開存取的儲存貯體政策。針對允許公開存取的現有政策,此功能將禁止從儲存貯體帳戶之外存取。

閱讀部落格 »

AWS 儲存部落格

Amazon S3 封鎖公開存取和 S3 Object Lock

S3 能如此成功的原因之一,是因為我們從一開始便專注於資料安全性。我們透過不斷投資,提升儲存的安全等級,並與客戶合作,以滿足日益提高的安全需求,同時堅持我們提供簡易儲存的使命。

閱讀部落格 »
Product-Page_Standard-Icons_01_Product-Features_SqInk
進一步了解 Amazon S3

進一步了解 Amazon S3 功能。

進一步了解 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
註冊免費帳戶

立即存取 AWS 免費方案。 

註冊 
Product-Page_Standard-Icons_03_Start-Building_SqInk
開始在主控台進行建置

開始在 AWS 管理主控台使用 Amazon S3 進行建置。

登入