Amazon S3 có nhiều tính năng mà bạn có thể sử dụng để tổ chức và quản lý dữ liệu nhằm hỗ trợ các trường hợp sử dụng cụ thể, đạt hiệu quả về chi phí, thực thi bảo mật và đáp ứng các yêu cầu về tuân thủ. Dữ liệu được lưu trữ dưới dạng đối tượng trong tài nguyên gọi là “bộ chứa” và một đối tượng có thể có kích thước tối đa là 5 terabyte. Các tính năng của S3 bao gồm khả năng gắn thẻ siêu dữ liệu cho đối tượng, di chuyển và lưu trữ dữ liệu trên Các lớp lưu trữ S3, đặt cấu hình và thực thi kiểm soát truy cập dữ liệu, ngăn không cho người dùng trái phép truy cập dữ liệu, chạy phân tích dữ liệu lớn và giám sát dữ liệu ở cấp độ đối tượng và bộ chứa. Các đối tượng có thể được truy cập thông qua Điểm truy cập S3 hoặc trực tiếp thông qua tên máy chủ bộ chứa.

Quản lý và giám sát lưu trữ

Cấu trúc phẳng không theo cấp bậc và nhiều tính năng quản lý khác nhau của Amazon S3 đang hỗ trợ khách hàng thuộc mọi quy mô và lĩnh vực tổ chức dữ liệu theo những cách thức có giá trị đối với doanh nghiệp và đội ngũ của họ. Tất cả đối tượng được lưu trữ trong bộ chứa S3 và có thể được tổ chức với tên chung gọi là tiền tố. Bạn có thể bổ sung tối đa 10 cặp khóa-giá trị gọi là thẻ đối tượng S3 cho mỗi đối tượng, có thể tạo, cập nhật và xóa các cặp này trong toàn bộ vòng đời của một đối tượng. Để theo dõi các đối tượng và thẻ tương ứng của chúng, bộ chứa và tiền tố, bạn có thể sử dụng báo cáo Kho S3 liệt kê các đối tượng được lưu trữ của bạn trong một bộ chứa S3 hoặc với một tiền tố cụ thể, cùng với siêu dữ liệu và trạng thái mã hóa tương ứng của chúng. Có thể cấu hình Kho S3 để tạo báo cáo hàng ngày hoặc hàng tuần.

Quản lý lưu trữ

Với tên vùng lưu trữ S3, tiền tố, thẻ đối tượng và Kho S3, bạn có nhiều cách để phân loại và báo cáo về dữ liệu của mình, từ đó có thể đặt cấu hình các tính năng khác của S3 để thực hiện thao tác. S3 Batch Operations giúp bạn dễ dàng quản lý dữ liệu trong Amazon S3 ở mọi quy mô, cho dù bạn lưu trữ hàng nghìn hay một tỷ đối tượng. Với S3 Batch Operations, bạn có thể sao chép đối tượng giữa các vùng lưu trữ, thay thế tập thẻ, sửa đổi kiểm soát truy cập và khôi phục đối tượng được lưu trữ từ Amazon S3 Glacier, với một yêu cầu API S3 hoặc vài cú nhấp chuột trong Bảng điều khiển quản lý Amazon S3. Bạn cũng có thể sử dụng S3 Batch Operations để chạy hàm AWS Lambda trên các đối tượng của mình để thực thi logic kinh doanh tùy chỉnh, chẳng hạn như xử lý dữ liệu hoặc chuyển mã tệp hình ảnh. Để bắt đầu, hãy chỉ định một danh sách đối tượng mục tiêu bằng cách sử dụng báo cáo Kho S3 hoặc cung cấp danh sách tùy chỉnh, sau đó chọn thao tác mong muốn từ menu điền sẵn. Khi thực hiện một yêu cầu S3 Batch Operation, bạn sẽ nhận được thông báo và báo cáo hoàn thành của tất cả những thay đổi đã thực hiện. Tìm hiểu thêm về S3 Batch Operations bằng cách xem video hướng dẫn

Amazon S3 cũng hỗ trợ các tính năng giúp duy trì kiểm soát phiên bản dữ liệu, ngăn việc xóa ngẫu nhiên và sao chép dữ liệu trong cùng một khu vực hoặc vào Khu vực AWS khác. Với S3 Versioning, bạn có thể dễ dàng duy trì, truy xuất và khôi phục mọi phiên bản của một đối tượng được lưu trữ trong Amazon S3, điều này cho phép bạn khôi phục từ các hoạt động vô tình của người dùng và sự cố ứng dụng. Để ngăn việc xóa vô tình, hãy bật Xóa bằng Multi-Factor Authentication (MFA) trên một bộ chứa S3. Nếu bạn tìm cách xóa một đối tượng được lưu trữ trong vùng lưu trữ hỗ trợ Xóa bằng MFA, việc này yêu cầu hai hình thức xác thực: thông tin đăng nhập tài khoản AWS của bạn và chuỗi chữ số sê-ri hợp lệ, khoảng trắng và mã 6 chữ số hiển thị trên thiết bị xác thực được phê duyệt, chẳng hạn như chuỗi khóa phần cứng hoặc khóa bảo mật Universal 2nd Factor (U2F).

Với Sao chép S3, bạn có thể sao chép đối tượng (cùng với siêu dữ liệu và thẻ đối tượng tương ứng của đối tượng) vào trong cùng một khu vực hoặc vào Khu vực AWS khác để giảm độ trễ, đảm bảo tính tuân thủ, bảo mật, khôi phục sau thảm họa và phục vụ các trường hợp sử dụng khác. Sao chép trên nhiều khu vực (CRR) S3 được cấu hình cho một vùng lưu trữ S3 nguồn và sao chép đối tượng vào một bộ chứa đích trong Khu vực AWS khác. Tính năng Sao chép cùng khu vực (SRR) S3 của Amazon S3 cho phép sao chép đối tượng giữa các vùng lưu trữ trong cùng một khu vực. Tính năng Kiểm soát thời gian sao chép Amazon S3 (S3 RTC) giúp bạn đáp ứng các yêu cầu tuân thủ để sao chép dữ liệu bằng cách cung cấp SLA và khả năng hiển thị vào thời gian sao chép.

Bạn cũng có thể thực thi các chính sách ghi một lần đọc nhiều lần (write-once-read-many - WORM) với S3 Object Lock. Tính năng quản lý mới này của S3 ngăn chặn việc xóa phiên bản đối tượng trong một khoảng thời gian lưu giữ do khách hàng xác định, cho phép bạn thực thi các chính sách lưu giữ như một lớp bảo vệ dữ liệu bổ sung hoặc nhằm thực hiện các nghĩa vụ tuân thủ. Bạn có thể di chuyển khối lượng công việc từ hệ thống WORM vào Amazon S3 và cấu hình S3 Object Lock ở cấp đối tượng và bộ chứa để ngăn việc xóa phiên bản đối tượng trước khi đến Giữ lại tới ngày xác định sẵn hoặc Ngày lưu giữ theo pháp lý. Các đối tượng có S3 Object Lock lưu giữ tùy chọn bảo vệ WORM, ngay cả khi được di chuyển sang lớp lưu trữ khác với chính sách Vòng đời S3. Để biết đối tượng nào có S3 Object Lock, bạn có thể tham khảo báo cáo Kho S3, trong đó có nêu trạng thái WORM của các đối tượng. S3 Object Lock có thể được cấu hình ở một trong hai chế độ. Khi triển khai ở Chế độ quản lý, các tài khoản AWS có các quyền IAM cụ thể có thể xóa S3 Object Lock khỏi một đối tượng. Nếu yêu cầu khả năng không thay đổi mạnh hơn để tuân thủ quy định, thì bạn có thể sử dụng Chế độ tuân thủ. Ở Chế độ tuân thủ, bất kỳ người dùng nào, kể cả tài khoản gốc đều không thể xóa được tùy chọn bảo vệ này.

Giám sát lưu trữ

Ngoài các khả năng quản lý này, bạn có thể sử dụng các tính năng S3 và dịch vụ AWS khác để giám sát và kiểm soát cách các tài nguyên S3 của mình đang được sử dụng. Bạn có thể áp dụng thẻ cho bộ chứa S3 để phân bổ chi phí ở nhiều mảng kinh doanh (chẳng hạn như trung tâm chi phí, tên ứng dụng hoặc chủ sở hữu), sau đó sử dụng Báo cáo phân bổ chi phí AWS để xem mức sử dụng và chi phí do các thẻ bộ chứa tổng hợp. Bạn cũng có thể sử dụng Amazon CloudWatch để theo dõi tình trạng vận hành của các tài nguyên AWS và cấu hình thông báo thanh toán được gửi cho bạn khi khoản phí ước tính đạt đến một ngưỡng do người dùng xác định. Một dịch vụ giám sát AWS khác là AWS CloudTrail, theo dõi và báo cáo các hoạt động ở cấp độ bộ chứa và đối tượng. Bạn có thể kích hoạt S3 Event Notifications để kích hoạt quy trình công việc, thông báo và gọi AWS Lambda khi một thay đổi cụ thể được thực hiện đối với tài nguyên S3 của bạn. Thông báo sự kiện S3 có thể được sử dụng để tự động chuyển mã tệp phương tiện khi các tệp này được tải lên Amazon S3, xử lý tệp phương tiện khi khả dụng hoặc đồng bộ hóa đối tượng với các kho dữ liệu khác.

Lớp lưu trữ

Với Amazon S3, bạn có thể lưu trữ dữ liệu ở nhiều Lớp lưu trữ S3 khác nhau: S3 Standard, S3 Intelligent-Tiering, S3 Standard-Infrequent Access (S3 Standard-IA), S3 One Zone-Infrequent Access (S3 One Zone-IA), Amazon S3 Glacier (S3 Glacier)Amazon S3 Glacier Deep Archive (S3 Glacier Deep Archive), và S3 Outposts.

Mỗi Lớp lưu trữ S3 đều hỗ trợ một cấp độ truy cập dữ liệu cụ thể với chi phí hoặc vị trí địa lý tương ứng. Điều này có nghĩa là bạn có thể lưu trữ dữ liệu sản xuất tối quan trọng trong S3 Standard để truy cập thường xuyên, tiết kiệm chi phí bằng cách lưu trữ dữ liệu không truy cập thường xuyên trong S3 Standard-IA hoặc S3 One Zone-IA, và lưu trữ dữ liệu với chi phí thấp nhất trong các lớp lưu trữ – S3 Glacier và S3 Glacier Deep Archive. Nếu Khu vực AWS hiện có không thể đáp ứng yêu cầu về lưu trú dữ liệu của bạn, bạn có thể sử dụng S3 Outposts để lưu trữ dữ liệu S3 tại chỗ bằng S3 trên Outposts. Bạn có thể sử dụng Phân tích lớp lưu trữ S3 để giám sát cấu trúc truy cập ở các đối tượng, từ đó khám phá dữ liệu cần di chuyển sang lớp lưu trữ có chi phí thấp hơn. Sau đó, bạn có thể sử dụng thông tin này để cấu hình một chính sách Vòng đời S3 nhằm thực hiện quá trình truyền dữ liệu. Chính sách Vòng đời S3 có thể dùng để kết thúc hiệu lực của đối tượng khi hết vòng đời của chúng. Bạn có thể khôi phục dữ liệu bằng các thói quen truy cập chưa biết hoặc đang thay đổi trong S3 Intelligent-Tiering, qua đó tự động di chuyển dữ liệu của bạn dựa trên các thói quen truy cập đang thay đổi giữa hai bậc truy cập độ trễ thấp đối với hoạt động truy cập thường xuyên và không thường xuyên. Khi một tập hợp con đối tượng ít khi được truy cập trong thời gian dài, bạn có thể kích hoạt một hoặc cả hai bậc truy cập mục lưu trữ được thiết kế dành cho việc truy cập không đồng bộ, giúp tối ưu hóa việc truy cập mục lưu trữ.

Quản lý truy cập và bảo mật

Quản lý truy cập

Để bảo vệ dữ liệu của bạn trong Amazon S3, theo mặc định, người dùng chỉ có quyền truy cập vào tài nguyên S3 mà họ tạo. Bạn có thể cấp quyền truy cập cho người dùng khác bằng cách sử dụng một hoặc kết hợp các tính năng quản lý truy cập sau: AWS Identity and Access Management (IAM) để tạo người dùng và quản lý quyền truy cập tương ứng của họ; Danh sách kiểm soát truy cập (ACL) để cho phép người dùng được ủy quyền truy cập vào từng đối tượng; chính sách bộ chứa để đặt cấu hình quyền cho tất cả đối tượng trong một vùng lưu trữ S3; Điểm truy cập S3 để đơn giản hóa việc quản lý quyền truy cập dữ liệu vào các bộ dữ liệu được chia sẻ bằng cách tạo các điểm truy cập có tên và quyền cụ thể cho từng ứng dụng hoặc bộ ứng dụng và Xác thực chuỗi ký tự truy vấn để cấp quyền truy cập trong thời gian giới hạn cho người khác bằng URL tạm thời. Amazon S3 cũng hỗ trợ Nhật ký kiểm tra liệt kê các yêu cầu được thực hiện đối với tài nguyên S3 để bạn có thể quan sát toàn diện đối tượng đang truy cập dữ liệu của bạn.

Bảo mật

Amazon S3 cung cấp các tính năng bảo mật linh hoạt để ngăn không cho người dùng trái phép truy cập dữ liệu của bạn. Bạn có thể kết nối với tài nguyên S3 từ Amazon Virtual Private Cloud (Amazon VPC) bằng cách sử dụng điểm cuối VPC. Amazon S3 hỗ trợ cả mã hóa phía máy chủ (với 3 tùy chọn quản lý khóa) và mã hóa phía máy khách để tải dữ liệu lên. Sử dụng Kho S3 để kiểm tra trạng thái mã hóa của đối tượng S3 (xem quản lý lưu trữ để biết thêm thông tin về Kho S3).

S3 Block Public Access
là một tập hợp những biện pháp kiểm soát bảo mật đảm bảo các vùng lưu trữ và đối tượng của S3 không cho phép truy cập công khai. Với vài cú nhấp chuột trong Bảng điều khiển quản lý Amazon S3, bạn có thể áp dụng cài đặt S3 Block Public Access cho tất cả vùng lưu trữ trong tài khoản AWS của mình hoặc cho vùng lưu trữ S3 cụ thể. Khi cài đặt này được áp dụng cho một tài khoản AWS, mọi bộ chứa và đối tượng mới hoặc hiện có được liên kết với tài khoản đó sẽ kế thừa cài đặt này để ngăn chặn truy cập công khai. Cài đặt S3 Block Public Access ghi đè các quyền truy cập S3 khác, giúp quản trị viên tài khoản dễ dàng thực thi chính sách “không truy cập công khai”, bất kể cách thức thêm đối tượng, bộ chứa hoặc có quyền truy cập hiện tại hay không. Kiểm soát S3 Block Public Access có thể kiểm tra được, cung cấp một lớp kiểm soát bổ sung và sử dụng các mục kiểm tra quyền bộ chứa AWS Trusted Advisor, nhật ký AWS CloudTrail và cảnh báo Amazon CloudWatch. Bạn nên bật tính năng Block Public Access với tất cả các tài khoản và bộ chứa mà bạn không muốn cho truy cập công khai.

Việc sử dụng Điểm truy cập S3 được giới hạn ở một Virtual Private Cloud (VPC), bạn có thể dễ dàng tạo tường lửa cho dữ liệu S3 trong mạng riêng của mình. Ngoài ra, bạn cũng có thể dùng Chính sách kiểm soát dịch vụ AWS để yêu cầu giới hạn bất kỳ Điểm truy cập S3 mới nào trong tổ chức của bạn chỉ được truy cập vào VPC.

Trình phân tích truy cập cho S3 là một tính năng mới theo dõi các chính sách truy cập vùng lưu trữ, đảm bảo rằng các chính sách chỉ cung cấp quyền truy cập dự định vào tài nguyên S3 của bạn. Trình phân tích truy cập cho S3 đánh giá các chính sách truy cập vùng lưu trữ của bạn, đồng thời cho phép bạn khám phá và lập tức khắc phục các vùng lưu trữ có khả năng bị truy cập ngoài dự kiến. Khi xem xét các kết quả cho thấy có khả năng tồn tại quyền truy cập được chia sẻ vào bộ chứa, bạn có thể Chặn tất cả quyền truy cập công khai vào bộ chứa chỉ với một thao tác nhấp trong Bảng điều khiển quản lý S3. Để phục vụ mục đích kiểm tra, bạn có thể tải xuống các phát hiện của Trình phân tích truy cập cho S3 dưới dạng báo cáo CSV. 

IAM giúp bạn phân tích truy cập và giảm quyền một cách dễ dàng hơn để đạt được đặc quyền tối thiểu bằng cách cung cấp dấu thời gian khi người dùng hoặc vai trò sử dụng S3 và các thao tác có liên quan lần gần nhất. Hãy sử dụng thông tin “lần truy cập gần nhất” này để phân tích truy cập S3, xác định quyền không được sử dụng và tự tin loại bỏ các quyền này. Để tìm hiểu thêm, hãy xem Tinh chỉnh quyền bằng dữ liệu lần truy cập gần nhất.

Bạn có thể sử dụng Amazon Macie để phát hiện và bảo vệ dữ liệu nhạy cảm được lưu trữ trong Amazon S3. Macie tự động tập hợp một kho S3 hoàn chỉnh và liên tục đánh giá tất cả các vùng lưu trữ để cảnh báo những vùng lưu trữ có thể truy cập công khai, vùng lưu trữ không được mã hóa hoặc vùng lưu trữ được chia sẻ hay trùng với tài khoản AWS bên ngoài tổ chức của bạn. Sau đó, Macie áp dụng kỹ thuật machine learning và đối chiếu mẫu cho các vùng lưu trữ được chọn để xác định và cảnh báo bạn những dữ liệu nhạy cảm, chẳng hạn như thông tin nhận dạng cá nhân (PII). Khi phát hiện bảo mật được tạo, chúng sẽ được đẩy ra Amazon CloudWatch Events để dễ dàng tích hợp với các hệ thống quy trình công việc hiện có và kích hoạt khắc phục tự động với các dịch vụ, như AWS Step Functions, để thực hiện hành động như đóng vùng lưu trữ công khai hoặc thêm thẻ tài nguyên.

Tìm hiểu thêm bằng cách truy cập phần bảo mật và quản lý truy cập S3bảo vệ dữ liệu trong Amazon S3 »

Truy vấn tại chỗ

Amazon S3 có một tính năng tích hợp sẵn và các dịch vụ bổ sung truy vấn dữ liệu mà không cần phải sao chép và tải dữ liệu vào một nền tảng phân tích riêng hay kho dữ liệu. Điều này có nghĩa là bạn có thể chạy phân tích dữ liệu lớn trực tiếp trên dữ liệu được lưu trữ trong Amazon S3. S3 Select là một tính năng của S3 được thiết kế để tăng hiệu suất truy vấn tới 400% và giảm chi phí truy vấn tới 80%. Công cụ này hoạt động bằng cách truy xuất một tập con dữ liệu của đối tượng (sử dụng biểu thức SQL đơn giản) thay vì toàn bộ đối tượng, có thể có kích thước tối đa là 5 terabyte.

Amazon S3 cũng tương thích với các dịch vụ phân tích AWS là Amazon Athena và Amazon Redshift Spectrum. Amazon Athena truy vấn dữ liệu của bạn trong Amazon S3 mà không cần trích xuất và tải dữ liệu vào một dịch vụ hay nền tảng riêng. Công cụ này sử dụng biểu thức SQL để phân tích dữ liệu của bạn, phân phối kết quả trong vài giây và thường dùng để khám phá dữ liệu đặc thù. Amazon Redshift Spectrum cũng chạy truy vấn SQL trực tiếp dựa trên dữ liệu ở trạng thái lưu trữ trong Amazon S3 và thích hợp hơn đối với truy vấn phức tạp và tập hợp dữ liệu lớn (lên tới đơn vị exabyte). Do Amazon Athena và Amazon Redshift chia sẻ định dạng dữ liệu và danh mục dữ liệu chung, nên bạn có thể sử dụng cả hai công cụ này với cùng tập hợp dữ liệu trong Amazon S3.

Tìm hiểu thêm bằng cách truy cập phần xây dựng giải pháp lưu trữ dữ liệu lớnS3 Select »

Truyền dữ liệu

AWS cung cấp một hồ sơ gồm các dịch vụ truyền dữ liệu nhằm mang đến giải pháp thích hợp cho mọi dự án di chuyển dữ liệu. Mức độ kết nối là yếu tố chính trong việc di chuyển dữ liệu. AWS có các dịch vụ có thể xác định nhu cầu của bạn trong việc lưu trữ đám mây kết hợp, truyền dữ liệu trực tuyến và ngoại tuyến.

Lưu trữ đám mây kết hợp: AWS Storage Gateway là dịch vụ lưu trữ đám mây kết hợp cho phép bạn kết nối và mở rộng ứng dụng tại chỗ của mình đến Bộ lưu trữ AWS một cách liền mạch. Khách hàng sử dụng Storage Gateway để thay thế liền mạch thư viện băng từ bằng lưu trữ đám mây, cung cấp tính năng chia sẻ tệp dựa trên lưu trữ đám mây hoặc tạo bộ đệm có độ trễ thấp để truy cập vào dữ liệu trong AWS dành cho ứng dụng tại chỗ. 

Truyền dữ liệu trực tuyến: AWS DataSync giúp bạn dễ dàng truyền hàng trăm terabyte và hàng triệu tệp đến Amazon S3 một cách hiệu quả, nhanh hơn đến 10 lần so với các công cụ mã nguồn mở. DataSync tự động xử lý hoặc loại bỏ nhiều tác vụ thủ công, bao gồm tạo tập lệnh cho tác vụ sao chép, lập lịch trình và giám sát hoạt động truyền dữ liệu, xác thực dữ liệu và tối ưu hóa việc sử dụng mạng. Ngoài ra, bạn có thể sử dụng AWS DataSync để sao chép các đối tượng giữa một nhóm thuộc S3 trên Outposts và một vùng lưu trữ trong Khu vực AWS. AWS Transfer Family cho phép truyền tệp được quản lý đầy đủ, đơn giản và liền mạch sang Amazon S3 bằng SFTP, FTPS và FTP. Amazon S3 Transfer Acceleration cho phép truyền tệp một cách nhanh chóng qua khoảng cách lớn giữa máy khách và vùng lưu trữ Amazon S3 của bạn.

Truyền dữ liệu ngoại tuyến: AWS Snow Family được xây dựng chuyên để sử dụng tại các vị trí biên nơi công suất mạng bị hạn chế hoặc không tồn tại cũng như cung cấp các tính năng lưu trữ và điện toán trong môi trường khắc nghiệt. Dịch vụ AWS Snowball sử dụng các thiết bị lưu trữ di động bền bỉ và thiết bị điện toán biên để thu thập, xử lý và di chuyển dữ liệu. Khách hàng có thể vận chuyển thiết bị Snowball vật lý để di chuyển dữ liệu ngoại tuyến sang AWS. AWS Snowmobile là một dịch vụ truyền dữ liệu với quy mô exabyte được dùng để di chuyển các khối lượng dữ liệu khổng lồ lên đám mây, bao gồm các thư viện video, kho lưu trữ hình ảnh hoặc thậm chí là di chuyển toàn bộ một trung tâm dữ liệu.

Khách hàng cũng có thể làm việc với nhà cung cấp bên thứ ba từ Mạng lưới đối tác AWS (APN) để triển khai kiến trúc lưu trữ lai, tích hợp Amazon S3 vào ứng dụng và luồng công việc hiện có, cũng như truyền dữ liệu đến và từ Đám mây AWS.

Mục đích sử dụng và giới hạn

Khi sử dụng dịch vụ này, bạn phải tuân theo Thỏa thuận khách hàng Amazon Web Services »

Bạn đã sẵn sàng bắt đầu chưa?

Product-Page_Standard-Icons_01_Product-Features_SqInk
Tìm hiểu thêm về giá sản phẩm

Bạn chỉ phải trả tiền cho những gì bạn sử dụng. Không áp dụng mức phí tối thiểu.

Tìm hiểu thêm 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Đăng ký tài khoản miễn phí

Truy cập ngay vào Bậc miễn phí của AWS và bắt đầu trải nghiệm Amazon S3. 

Đăng ký 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Bắt đầu xây dựng trong bảng điều khiển

Bắt đầu xây dựng với Amazon S3 trên Bảng điều khiển AWS.

Bắt đầu