無與倫比的安全、合規和稽核功能

將資料存放在 Amazon S3,以加密功能和存取管理工具避免未經授權的存取。S3 是唯一允許您封鎖公開存取儲存貯體中您的所有物件,或具有 S3 區塊公開存取的帳戶層級的物件儲存服務。S3 遵守合規計劃,例如 PCI-DSS、HIPAA/HITECH、FedRAMP、歐盟資料保護指令和 FISMA,協助您符合法規要求。AWS 還支援許多稽核功能,以監控對 S3 資源的存取請求。

大規模管理 Simple Storage Service (Amazon S3) 安全性 (34:56)

Amazon S3 安全和存取管理

為了在 Amazon S3 保護您的資料,系統預設使用者只能存取他們建立的 S3 資源。您可以使用下列其中一個存取管理功能或其組合,將存取權授與其他使用者:AWS Identity and Access Management (IAM),用來建立使用者並管理其各自存取權;存取控制清單 (ACL),用來使個別物件可供授權使用者使用;儲存貯體政策,用來針對單一 S3 儲存貯體內的所有物件設定許可;以及查詢字串身份驗證,用來利用暫時 URL 將有時間限制的存取權授與其他使用者。Amazon S3 也支援稽核日誌,其中列出針對 S3 資源提出的請求,讓您完全掌握誰正在存取什麼資料。

區塊公用存取

區塊公用存取

只需在 S3 管理主控台按幾下滑鼠,即可將 S3 封鎖公開存取套用於帳戶中的每個儲存貯體 – 包括現有的儲存貯體以及未來建立的任何新儲存貯體 – 並確保任何物件都不會被公開存取。S3 封鎖公開存取設定會覆寫允許公開存取的 S3 許可,讓帳戶管理員可以輕鬆設定集中控制,以避免不同的安全組態,無論物件的新增方式或儲存貯體的建立方式為何。

Object Lock

Object Lock

Amazon S3 Object Lock 可阻擋在客戶定義的保留期內刪除物件版本,讓您能夠執行保留政策,為資料增加另一層的保護或符合法規規定。您可以從現有的單寫多讀 (WORM) 系統移轉工作負載至Amazon S3,並在物件與貯體等級中設定 S3 Object Lock 防止物件版本在預設的保留期限或法律保留期限前被刪除。

物件擁有權

物件擁有權

Amazon S3 物件擁有權可停用存取控制清單 (ACL),將所有物件的擁有權變更為儲存貯體擁有者,並簡化對存放在 S3 中資料的存取管理。 在您設定 S3 物件擁有權強制執行儲存貯體擁有者時,ACL 將不再影響您的儲存貯體及其中物件的許可。所有存取控制都會使用以資源為基礎的政策、使用者政策,或這些政策的某種組合來定義。如需詳細資訊,請參閱控制物件擁有權

Identity and Access Management

Identity and Access Management

依預設,所有 Amazon S3 資源 (儲存貯體、物件和相關子資源) 均為私有:僅資源擁有者 (即建立它的 AWS 帳戶) 可存取該資源。Amazon S3 提供廣泛分類為資源型政策和使用者政策的存取政策選項。您可以選擇使用資源型政策、使用者政策或這些政策的一些組合,來管理 Amazon S3 資源的許可。 依預設,S3 物件歸建立該物件的帳戶擁有,包括該帳戶與儲存貯體擁有者不同的情況。您可以使用 S3 物件擁有權,停用存取控制清單並變更此行為。如果這樣做,儲存貯體中的每個物件都歸儲存貯體擁有者所擁有。 如需詳細資訊,請參閱 Amazon S3 中的 Identity and Access Management

Amazon Macie

Amazon Macie

使用 Amazon Macie 大規模探索和保護 Amazon S3 中的敏感資料。Macie 透過掃描儲存貯體來識別和將資料分類,自動為您提供 S3 儲存貯體的完整庫存。您會收到可行的安全發現結果,其中列舉適合這些敏感資料類型的所有資料,包括個人身分資訊 (PII) (例如,客戶名稱和信用卡號),以及隱私權法規 (例如 GDPR 和 HIPAA) 定義的類別。Macie 還會自動和持續評估未加密、可公開存取,或與組織外的帳戶共用的任何儲存貯體的儲存貯體層預防性控制,從而讓您快速應對儲存貯體上的意外設定。

加密

加密

針對上傳資料,Amazon S3 同時支援伺服器端加密 (具有三個金鑰管理選項:SSE-KMS、SSE-C、SSE-S3) 和用戶端加密。Amazon S3 提供彈性的安全功能,以防止未獲授權的使用者存取您的資料。使用 VPC 端點從 Amazon Virtual Private Cloud (Amazon VPC) 連接至 S3 資源。使用 S3 Inventory 來檢查 S3 物件的加密狀態 (如需 S3 Inventory 的詳細資訊,請參閱儲存管理)。

AWS Trusted Advisor

AWS Trusted Advisor

Trusted Advisor 會檢查您的 AWS 環境,然後在機會出現時提供建議,協助消除安全漏洞。 

Trusted Advisor 會執行以下 Amazon S3 相關檢查:記錄 Amazon S3 儲存貯體的組態、針對具有公有存取許可的 Amazon S3 儲存貯體的安全檢查、以及針對未啟用版本控制或版本控制已暫停的 Amazon S3 儲存貯體的容錯能力檢查。

AWS PrivateLink for S3

使用 AWS PrivateLink for S3 直接作為安全虛擬網絡中的私有端點存取 Amazon S3。透過使用 Virtual Private Cloud (VPC) 中的私有 IP 地址從內部部署或雲端連接至 S3,來簡化您的網路架構。您不再需要使用公有 IP,設定防火牆規則,或設定網際網路閘道,即可從內部部署存取 S3。

驗證資料完整性

驗證資料完整性

從四種受支援的檢查總和演算法 (SHA-1、SHA-256、CRC32 或 CRC32C) 中進行選擇,以對上傳和下載請求進行資料完整性檢查。在您從 Simple Storage Service (Amazon S3) 存放或擷取資料時自動計算和驗證檢查總和,並且可以隨時使用 GetObjectAttributes S3 API 或 S3 庫存報告存取檢查總和資訊。

運作方式

  • AWS PrivateLink for Amazon S3
  • Amazon Macie
  • S3 封鎖公開存取
  • Amazon GuardDuty for S3
  • AWS PrivateLink for Amazon S3
  • 建立從內部部署至 Amazon S3 的直接私有連線。若要開始使用,請閱讀 AWS PrivateLink for S3 文件。 

    使用 AWS PrivateLink for S3 保護安全
  • Amazon Macie
  • 大規模探索及保護您的敏感資料。若要開始使用 Amazon Macie,請造訪網站

    使用 Amazon Macie 保護安全
  • S3 封鎖公開存取
  • 封鎖現在或未來所有對 Amazon S3 進行的公開存取。若要進一步了解 S3 封鎖公開存取,請造訪網頁

    使用 S3 封鎖公開存取保護安全
  • Amazon GuardDuty for S3
  • 使用智慧威脅偵測和持續監控保護 Amazon S3 資料。若要進一步了解 Amazon GuardDuty for Amazon S3,請造訪網頁

    使用 Amazon GuardDuty for S3 保護安全

安全與存取管理最佳實務和教學

所有 S3 資源於建立時預設皆為私有,只能由資源擁有者或帳戶管理員存取。此安全性設計能讓您設定精細的存取政策,以符合組織、政府、安全性及合規性上的要求。您可用 S3 區塊公用存取來限制所有對資料的存取要求。S3 還能讓您選擇不同的加密選項。請觀賞以下影片以進一步了解。

Amazon S3 安全與存取管理最佳實務 (28:08)

存取管理與安全

S3 存取管理與安全性簡介 (1:43)

S3 加密選項

S3 加密選項 (1:22)

開發人員指南:使用加密功能保護資料 »
(含伺服器端和用戶端選項的詳細資訊)

S3 安全性部落格

AWS 新聞部落格


Amazon Macie 現在的定價大幅降低

Amazon Macie 是一種全受管服務,可協助您探索和保護敏感資料,其使用機器學習自動為您發現資料並分類。 現在具有簡化的定價:現在會根據評估的 S3 儲存貯體的數量、針對敏感資料探索任務處理的資料量收費。 

閱讀部落格 »

AWS 新聞部落格


S3 封鎖公開存取 – 為帳戶和儲存貯體提供保護

Amazon S3 封鎖公開存取提供更高等級的保護,適用於帳戶層級,也適用於個別的儲存貯體,包括您未來可能建立的帳戶或儲存貯體。您可封鎖現有的公開存取 (無論是由 ACL 或政策指定),並確保公開存取僅授予給新建立的項目。

閱讀部落格 »

Werner Vogel 的部落格


透過自動推理提供大規模安全性

Zelkova 為 Amazon S3 封鎖公開存取功能提供強大效能。封鎖公開存取可停用 Amazon S3 中儲存貯體和物件的公開存取控制清單 (ACL)。也可停用允許公開存取的儲存貯體政策。針對允許公開存取的現有政策,此功能將禁止從儲存貯體帳戶之外存取。

閱讀部落格 »

AWS 儲存部落格


Amazon S3 封鎖公開存取和 S3 Object Lock

S3 能如此成功的原因之一,是因為我們從一開始便專注於資料安全性。我們透過不斷投資,提升儲存的安全等級,並與客戶合作,以滿足日益提高的安全需求,同時堅持我們提供簡易儲存的使命。

閱讀部落格 »
Standard Product Icons (Features) Squid Ink
進一步了解 Amazon S3

進一步了解 Amazon S3 功能。

進一步了解 
Sign up for a free account
註冊免費帳戶

立即存取 AWS 免費方案。 

註冊 
Standard Product Icons (Start Building) Squid Ink
開始在主控台進行建置

開始在 AWS 管理主控台使用 Amazon S3 進行建置。

登入