Tính năng của Amazon S3

Ống kính lưu trữ S3 mang lại khả năng hiển thị trên toàn tổ chức về việc sử dụng kho lưu trữ đối tượng, xu hướng hoạt động và đưa ra các đề xuất có thể thực hiện được để cải thiện hiệu quả chi phí và áp dụng các biện pháp tốt nhất về bảo vệ dữ liệu. Ống kính lưu trữ S3 là giải pháp phân tích lưu trữ đám mây đầu tiên mang lại một cái nhìn duy nhất về hoạt động và việc sử dụng kho lưu trữ đối tượng trên hàng trăm, thậm chí hàng nghìn tài khoản trong một tổ chức, với các chi tiết để tạo thông tin chuyên sâu về tài khoản, vùng lưu trữ hoặc thậm chí cấp độ tiền tố. Đúc kết từ hơn 16 năm kinh nghiệm giúp khách hàng tối ưu hóa dung lượng lưu trữ của họ, Ống kính lưu trữ S3 phân tích các chỉ số trong toàn tổ chức để đưa ra các đề xuất theo bối cảnh nhằm tìm cách giảm chi phí lưu trữ và áp dụng các phương pháp tốt nhất về bảo vệ dữ liệu. 

Amazon S3 Storage Class Analysis phân tích các kiểu truy cập dung lượng lưu trữ nhằm giúp bạn quyết định thời điểm chuyển đúng dữ liệu sang lớp lưu trữ phù hợp. Tính năng này của Amazon S3 quan sát các kiểu truy cập dữ liệu để giúp bạn xác định thời điểm chuyển dung lượng lưu trữ truy cập kém thường xuyên hơn sang lớp lưu trữ có chi phí thấp hơn. Bạn có thể sử dụng kết quả để góp phần cải thiện chính sách S3 Lifecycle của mình. Bạn có thể định cấu hình phân tích lớp lưu trữ để phân tích tất cả các đối tượng trong một vùng lưu trữ. Hoặc, bạn có thể định cấu hình bộ lọc nhằm nhóm các đối tượng lại với nhau để phân tích theo tiền tố chung, theo thẻ đối tượng hoặc theo cả tiền tố và thẻ. Để tìm hiểu thêm, hãy truy cập trang thông tin chuyên sâu và phân tích về dung lượng lưu trữ.

Bảng Amazon S3 cung cấp kho đối tượng đám mây đầu tiên với hỗ trợ định dạng bảng mở tích hợp và là cách dễ nhất để lưu trữ dữ liệu dạng bảng ở quy mô lớn. Bảng S3 được tối ưu hóa đặc biệt cho khối lượng công việc phân tích, dẫn đến hiệu suất truy vấn nhanh hơn tới 3 lần và giao dịch mỗi giây cao hơn tới 10 lần so với các bảng tự quản lý. Bảng S3 hỗ trợ tiêu chuẩn Apache Iceberg và dễ dàng truy vấn bởi AWS phổ biến và các công cụ truy vấn của bên thứ ba. Ngoài ra, Bảng S3 được thiết kế để thực hiện bảo trì bảng liên tục để tự động tối ưu hóa hiệu quả truy vấn và chi phí lưu trữ theo thời gian, ngay cả khi hồ dữ liệu của bạn mở rộng và phát triển. Tích hợp Bảng S3 với Danh mục dữ liệu AWS Glue đang ở chế độ xem trước, cho phép bạn truyền phát, truy vấn và trực quan hóa dữ liệu—bao gồm bảng Siêu dữ liệu S3— bằng cách sử dụng các dịch vụ phân tích AWS như Amazon Data Firehose, Amazon Athena, Amazon Redshift, Amazon EMR và Amazon QuickSight.

Bảng S3 sử dụng các vùng lưu trữ dạng bảng, một loại bảng lưu trữ được xây dựng theo mục đích để lưu trữ dữ liệu dạng bảng. Với vùng lưu trữ dạng bảng, bạn có thể dễ dàng tạo bảng và thiết lập quyền truy cập ở cấp độ bảng để quản lý quyền truy cập vào hồ dữ liệu của bạn. Sau đó, bạn có thể tải và truy vấn dữ liệu trong bảng của mình bằng SQL tiêu chuẩn và tận dụng các khả năng phân tích nâng cao của Apache Iceberg như giao dịch cấp độ hàng, ảnh chụp nhanh có thể truy vấn, thay đổi lược đồ và hơn thế nữa. Vùng lưu trữ dạng bảng cũng cung cấp bảo trì dạng bảng theo chính sách, giúp bạn tự động hóa các tác vụ vận hành như nén chặt, quản lý ảnh chụp nhanh và loại bỏ tệp không tham chiếu.

Amazon S3 hỗ trợ các trường hợp sử dụng về vị trí lưu dữ liệu và cô lập dữ liệu khi bạn cần lưu trữ dữ liệu trong một vành đai dữ liệu cụ thể. Nếu bạn có yêu cầu về vị trí lưu dữ liệu mà Khu vực AWS hiện có không thể đáp ứng, bạn có thể sử dụng các lớp lưu trữ S3 cho Vùng địa phương dành riêng của AWS hoặc S3 trên tủ mạng Outposts để lưu trữ dữ liệu của mình trong một vành đai dữ liệu cụ thể. Điều này làm rõ thêm về Cam kết về chủ quyền kỹ thuật số của AWS, cam kết của chúng tôi trong việc cung cấp bộ tính năng và biện pháp kiểm soát chủ quyền tiên tiến nhất trên đám mây.

Để bảo vệ dữ liệu của bạn trong Amazon S3, theo mặc định, người dùng chỉ có quyền truy cập vào tài nguyên S3 mà họ tạo. Bạn có thể cấp quyền truy cập cho người dùng khác bằng cách sử dụng một hoặc một tổ hợp các tính năng quản lý quyền truy cập sau: AWS Identity and Access Management (IAM) để tạo người dùng và quản lý quyền truy cập tương ứng của họ; Danh sách kiểm soát truy cập (ACL) để cho phép người dùng được ủy quyền truy cập vào từng đối tượng; chính sách vùng lưu trữ để cấu hình quyền cho tất cả đối tượng trong một vùng lưu trữ S3 duy nhất; Điểm truy cập S3 để đơn giản hóa việc quản lý quyền truy cập dữ liệu vào các tập dữ liệu dùng chung bằng cách tạo các điểm truy cập có tên và quyền cụ thể cho từng ứng dụng hoặc tập ứng dụng; Cấp quyền truy cập trong S3 để quản lý quyền dữ liệu trên quy mô lớn bằng cách tự động cấp quyền truy cập S3 cho người dùng cuối dựa trên danh tính công ty của họ; và Xác thực chuỗi truy vấn để cấp quyền truy cập trong thời gian giới hạn cho người khác bằng URL tạm thời. Amazon S3 cũng hỗ trợ Bản ghi kiểm tra liệt kê các yêu cầu được đưa ra đối với tài nguyên S3 để bạn có được cái nhìn toàn diện về đối tượng truy cập và dữ liệu được truy cập.

Amazon S3 cung cấp các tính năng bảo mật linh hoạt để chặn người dùng trái phép truy cập dữ liệu của bạn. Sử dụng điểm cuối VPC để kết nối với tài nguyên S3 từ Amazon Virtual Private Cloud (Amazon VPC) và môi trường tại chỗ. Amazon S3 mã hóa tất cả dữ liệu mới tải lên vùng lưu trữ (tính đến 5 tháng 1 năm 2023). Amazon S3 hỗ trợ cả mã hóa phía máy chủ (với bốn tùy chọn quản lý khóa) và mã hóa phía máy khách để tải lên dữ liệu (xem Hướng dẫn sử dụng Amazon S3 để biết thêm thông tin về mã hóa dữ liệu với S3). Sử dụng Kiểm kê S3 để kiểm tra trạng thái mã hóa của các đối tượng S3 (xem quản lý lưu trữ để biết thêm thông tin về Kiểm kê S3).

Chặn truy cập công cộng trong S3 là một tập hợp các biện pháp kiểm soát bảo mật đảm bảo các vùng lưu trữ và đối tượng của S3 không cho phép truy cập công khai. Block Public Access được bật theo mặc định cho tất cả các vùng lưu trữ mới. Với vài cú nhấp chuột trong bảng điều khiển quản lý Amazon S3, bạn có thể áp dụng cài đặt S3 Block Public Access cho tất cả vùng lưu trữ trong tài khoản AWS của mình hoặc cho vùng lưu trữ S3 cụ thể. Khi cài đặt này được áp dụng cho một tài khoản AWS, tất cả vùng lưu trữ và đối tượng mới hoặc hiện có được liên kết với tài khoản đó sẽ kế thừa cài đặt này để ngăn chặn truy cập công khai. Cài đặt S3 Block Public Access ghi đè các quyền truy cập S3 khác, giúp quản trị viên tài khoản dễ dàng thực thi chính sách “không truy cập công khai”, bất kể cách thức thêm đối tượng, cách tạo vùng lưu trữ hoặc có quyền truy cập hiện tại hay không. Kiểm soát S3 Block Public Access có thể kiểm tra được, cung cấp một lớp kiểm soát bổ sung và sử dụng các mục kiểm tra quyền bộ chứa AWS Trusted Advisor, nhật ký AWS CloudTrail và cảnh báo Amazon CloudWatch. Bạn nên bật tính năng Block Public Access cho tất cả tài khoản và vùng lưu trữ mà bạn không muốn cho truy cập công khai.

Quyền sở hữu đối tượng trong S3 là tính năng giúp vô hiệu hóa Danh sách kiểm soát truy cập (ACL), thay đổi quyền sở hữu cho tất cả đối tượng thành chủ sở hữu vùng lưu trữ và đơn giản hóa hoạt động quản lý quyền truy cập đối với dữ liệu được lưu trữ trong S3. Khi bạn cấu hình chế độ cài đặt Do chủ sở hữu vùng lưu trữ thực thi trong Quyền sở hữu đối tượng trong S3, ACL sẽ không còn ảnh hưởng đến quyền đối với vùng lưu trữ của bạn và các đối tượng trong đó. Toàn bộ việc kiểm soát truy cập sẽ được xác định bằng các chính sách dựa trên tài nguyên, chính sách người dùng hoặc kết hợp những chính sách này. Trước khi tắt ACL, hãy xem lại ACL vùng lưu trữ và đối tượng của bạn. Để xác định các yêu cầu Amazon S3 cần có ACL để cấp quyền, bạn có thể sử dụng trường aclRequired trong bản ghi truy cập máy chủ Amazon S3 hoặc AWS CloudTrail.

Khi sử dụng Điểm truy cập S3 được giới hạn ở một Đám mây riêng ảo (VPC), bạn có thể dễ dàng tạo tường lửa cho dữ liệu S3 trong mạng riêng của mình. Ngoài ra, bạn cũng có thể dùng Chính sách kiểm soát dịch vụ AWS để yêu cầu giới hạn mọi Điểm truy cập S3 mới trong tổ chức của bạn chỉ được truy cập vào VPC.

Trình phân tích truy cập của IAM cho S3 là tính năng giúp bạn đơn giản hóa hoạt động quản lý quyền khi bạn thiết lập, xác minh và tinh chỉnh các chính sách cho vùng lưu trữ và điểm truy cập S3 của mình. Access Analyzer for S3 giám sát các chính sách truy cập vùng lưu trữ hiện có của bạn để xác minh rằng chúng chỉ cung cấp quyền truy cập cần thiết vào tài nguyên S3 của bạn. Access Analyzer for S3 đánh giá các chính sách truy cập vùng lưu trữ của bạn để bạn có thể nhanh chóng khắc phục mọi vùng lưu trữ có hoạt động truy cập không cần thiết. Khi xem xét kết quả và nhận thấy có khả năng tồn tại quyền truy cập chung vào vùng lưu trữ, bạn có thể áp dụng tính năng Block Public Access chỉ với một cú nhấp chuột trong bảng điều khiển S3. Để phục vụ mục đích kiểm tra, bạn có thể tải các kết quả phát hiện của Access Analyzer for S3 xuống dưới dạng báo cáo CSV. Ngoài ra, bảng điều khiển S3 sẽ báo cáo các cảnh báo, lỗi và đề xuất bảo mật từ IAM Access Analyzer khi bạn tạo các chính sách S3 của mình. Bảng điều khiển tự động chạy hơn 100 lượt kiểm tra chính sách để xác thực các chính sách của bạn. Việc kiểm tra này giúp bạn tiết kiệm thời gian, hướng dẫn bạn xử lý lỗi và hỗ trợ bạn áp dụng các phương pháp bảo mật tốt nhất.

IAM giúp bạn phân tích quyền truy cập và giảm quyền một cách dễ dàng hơn để đạt được đặc quyền tối thiểu bằng cách cung cấp dấu thời gian về lần gần đây nhất một người dùng hoặc vai trò sử dụng S3 và các thao tác có liên quan. Hãy sử dụng thông tin “lần truy cập gần nhất” này để phân tích truy cập S3, xác định quyền không được sử dụng và tự tin loại bỏ các quyền này. Để tìm hiểu thêm, hãy xem Tinh chỉnh quyền bằng dữ liệu của lần truy cập gần nhất.

Bạn có thể dùng Amazon Macie để khám phá và bảo vệ dữ liệu nhạy cảm được lưu trữ trong Amazon S3. Macie tự động tập hợp một kho S3 hoàn chỉnh và liên tục đánh giá tất cả các vùng lưu trữ để cảnh báo những vùng lưu trữ có thể truy cập công khai, vùng lưu trữ không được mã hóa hoặc vùng lưu trữ được chia sẻ hay trùng với tài khoản AWS bên ngoài tổ chức của bạn. Sau đó, Macie áp dụng các kỹ thuật máy học và đối chiếu kiểu với các vùng lưu trữ bạn chọn để xác định và cảnh báo bạn về những dữ liệu nhạy cảm, chẳng hạn như thông tin nhận dạng cá nhân (PII). Ngay khi tạo, các kết quả phát hiện về bảo mật sẽ được đẩy ra Sự kiện Amazon CloudWatch để dễ dàng tích hợp với các hệ thống quy trình công việc hiện có, cũng như kích hoạt chế độ khắc phục tự động qua các dịch vụ như AWS Step Functions để thực hiện hành động như đóng vùng lưu trữ công khai hoặc thêm thẻ tài nguyên.

AWS PrivateLink dành cho S3 cung cấp kết nối riêng tư giữa Amazon S3 và môi trường tại chỗ. Bạn có thể cung cấp điểm cuối VPC giao diện cho S3 trong VPC của mình để kết nối các ứng dụng tại chỗ của bạn trực tiếp với S3 qua AWS Direct Connect hoặc AWS VPN. Các yêu cầu tới điểm cuối VPC giao diện cho S3 được tự động chuyển đến S3 qua mạng Amazon. Bạn có thể đặt các nhóm bảo mật và cấu hình chính sách điểm cuối VPC cho điểm cuối VPC giao diện của mình để tăng thêm kiểm soát truy cập.

Tìm hiểu thêm bằng cách truy cập quản lý quyền truy cập và bảo mật S3, sách điện tử về bảo mật và bảo vệ dữ liệu S3 và bảo vệ dữ liệu trong Amazon S3.

Trao đổi dữ liệu trên AWS dành cho Amazon S3 đẩy nhanh thời gian thu thập thông tin chuyên sâu bằng khả năng truy cập trực tiếp vào dữ liệu Amazon S3 của nhà cung cấp dữ liệu. Trao đổi dữ liệu trên AWS dành cho Amazon S3 giúp bạn dễ dàng tìm kiếm, đăng ký và sử dụng các tệp dữ liệu của bên thứ ba để tối ưu hóa chi phí lưu trữ, đơn giản hóa việc quản lý cấp phép dữ liệu, v.v. Dịch vụ này dành cho những người đăng ký muốn dễ dàng sử dụng các tệp dữ liệu của bên thứ ba để phân tích dữ liệu cùng các dịch vụ AWS mà không cần tạo hoặc quản lý các bản sao dữ liệu. Tính năng này cũng có ích cho các nhà cung cấp dữ liệu muốn cấp quyền truy cập tại chỗ vào dữ liệu được lưu trữ trong vùng lưu trữ Amazon S3 của họ.

Khi người đăng ký dữ liệu được cấp quyền truy cập tập dữ liệu Trao đổi dữ liệu trên AWS dành cho Amazon S3, họ có thể bắt đầu phân tích dữ liệu mà không phải thiết lập vùng lưu trữ S3 của riêng mình, sao chép tệp dữ liệu vào các vùng lưu trữ S3 đó hoặc trả phí lưu trữ liên quan. Bạn có thể phân tích dữ liệu cùng các dịch vụ AWS như Amazon Athena, Cửa hàng tính năng của Amazon SageMaker hoặc Amazon EMR. Người đăng ký sẽ truy cập vào cùng các đối tượng S3 được nhà cung cấp dữ liệu duy trì, do đó họ sẽ luôn sử dụng dữ liệu mới nhất hiện có mà không cần thiết kế hay vận hành bổ sung. Các nhà cung cấp dữ liệu có thể dễ dàng thiết lập dịch vụ Trao đổi dữ liệu trên AWS dành cho Amazon S3 trên các vùng lưu trữ S3 hiện có để chia sẻ quyền truy cập trực tiếp vào toàn bộ vùng lưu trữ S3 hoặc các loại tiền tố và đối tượng S3 cụ thể. Sau khi thiết lập, dịch vụ Trao đổi dữ liệu trên AWS sẽ tự động quản lý các gói đăng ký, cấp quyền, tính phí và thanh toán.

Amazon S3 cung cấp hiệu năng hàng đầu trong ngành cho lưu trữ đối tượng đám mây. Amazon S3 hỗ trợ các yêu cầu song song, có nghĩa là bạn có thể mở rộng quy mô hiệu năng S3 của mình theo cụm điện toán mà không cần thực hiện bất kỳ tùy chỉnh nào đối với ứng dụng của bạn. Hiệu năng mở rộng quy mô cho mỗi tiền tố, vì vậy bạn có thể sử dụng song song nhiều tiền tố tùy ý để đạt được thông lượng cần thiết. Không có giới hạn về số lượng tiền tố. Hiệu năng của Amazon S3 hỗ trợ ít nhất 3.500 yêu cầu mỗi giây để thêm dữ liệu và 5.500 yêu cầu mỗi giây để truy xuất dữ liệu. Mỗi tiền tố S3 có thể hỗ trợ các tỷ lệ yêu cầu này, giúp dễ dàng tăng hiệu năng một cách đáng kể.

Để đạt được hiệu năng tỷ lệ yêu cầu S3 này, bạn không cần chọn ngẫu nhiên các tiền tố đối tượng để đạt được hiệu năng nhanh hơn. Điều đó có nghĩa là bạn có thể sử dụng các kiểu đặt tên logic hoặc tuần tự trong đặt tên đối tượng S3 mà không có bất kỳ tác động nào lên hiệu năng. Tham khảo Hướng dẫn về hiệu năng cho Amazon S3 và Mẫu thiết kế hiệu năng cho Amazon S3 để biết thông tin mới nhất về tối ưu hóa hiệu năng cho Amazon S3.