Tính năng của Amazon S3

Amazon S3 có nhiều tính năng mà bạn có thể sử dụng để tổ chức và quản lý dữ liệu nhằm hỗ trợ các trường hợp sử dụng cụ thể, đạt hiệu quả về chi phí, thực thi bảo mật và đáp ứng các yêu cầu về tuân thủ. Dữ liệu được lưu trữ dưới dạng đối tượng trong các tài nguyên gọi là “vùng lưu trữ”; một đối tượng có thể có kích thước tối đa là 5 terabyte. Các tính năng của S3 bao gồm khả năng gắn thẻ siêu dữ liệu cho đối tượng, di chuyển và lưu trữ dữ liệu trên các Lớp lưu trữ của S3, cấu hình và thực thi các quy tắc kiểm soát truy cập dữ liệu, ngăn người dùng trái phép truy cập vào dữ liệu, chạy phân tích dữ liệu lớn, giám sát dữ liệu ở cấp độ đối tượng và vùng lưu trữ, cũng như xem xu hướng hoạt động và sử dụng dung lượng lưu trữ trong tổ chức của bạn. Các đối tượng có thể được truy cập thông qua các Điểm truy cập S3 hoặc truy cập trực tiếp qua tên máy chủ vùng lưu trữ.

Cấu trúc phẳng không theo cấp bậc và nhiều tính năng quản lý khác nhau của Amazon S3 đang hỗ trợ khách hàng thuộc mọi quy mô và lĩnh vực tổ chức dữ liệu theo những cách thức có giá trị đối với doanh nghiệp và đội ngũ của họ. Tất cả đối tượng được lưu trữ trong bộ chứa S3 và có thể được tổ chức với tên chung gọi là tiền tố. Bạn có thể bổ sung tối đa 10 cặp khóa-giá trị gọi là thẻ đối tượng S3 cho mỗi đối tượng, có thể tạo, cập nhật và xóa các cặp này trong toàn bộ vòng đời của một đối tượng. Để theo dõi các đối tượng và thẻ tương ứng của chúng, bộ chứa và tiền tố, bạn có thể sử dụng báo cáo Kho S3 liệt kê các đối tượng được lưu trữ của bạn trong một bộ chứa S3 hoặc với một tiền tố cụ thể, cùng với siêu dữ liệu và trạng thái mã hóa tương ứng của chúng. Có thể cấu hình Kho S3 để tạo báo cáo hàng ngày hoặc hàng tuần.

Với tên vùng lưu trữ S3, tiền tố, thẻ đối tượng và Kho S3, bạn có nhiều cách để phân loại và báo cáo về dữ liệu của mình, từ đó có thể cấu hình các tính năng khác của S3 để thực hiện thao tác. Thao tác hàng loạt trong S3 giúp bạn dễ dàng quản lý dữ liệu trong Amazon S3 ở mọi quy mô, cho dù bạn lưu trữ hàng nghìn hay một tỷ đối tượng. Với Thao tác hàng loạt trong S3, bạn có thể sao chép đối tượng giữa các vùng lưu trữ, thay thế tập thẻ đối tượng, sửa đổi kiểm soát quyền truy cập và khôi phục đối tượng được lưu trữ từ các lớp lưu trữ S3 Glacier truy xuất linh hoạt và S3 Glacier lưu trữ sâu, với một yêu cầu API S3 duy nhất hoặc chỉ với vài bước trong bảng điều khiển S3. Bạn cũng có thể sử dụng Thao tác hàng loạt trong S3 để chạy hàm AWS Lambda trên các đối tượng của mình nhằm chạy logic kinh doanh tùy chỉnh, chẳng hạn như xử lý dữ liệu hoặc chuyển mã tệp hình ảnh. Để bắt đầu, hãy chọn một vùng lưu trữ nguồn và các bộ lọc hoặc chỉ định một danh sách đối tượng mục tiêu bằng báo cáo Kiểm kê S3 hoặc bằng cách cung cấp một danh sách tùy chỉnh, rồi chọn thao tác mong muốn từ menu điền sẵn. Khi một yêu cầu Thao tác hàng loạt trong S3 được hoàn thành, bạn sẽ nhận được thông báo và một báo cáo hoàn thành bao gồm tất cả thay đổi đã được thực hiện. Hãy tìm hiểu thêm về Thao tác hàng loạt trong S3 bằng cách xem video hướng dẫn. 

Amazon S3 cũng hỗ trợ các tính năng giúp duy trì quyền kiểm soát phiên bản dữ liệu, ngăn việc xóa ngẫu nhiên và sao chép dữ liệu trong cùng một khu vực hoặc sang Khu vực AWS khác. Với Lập phiên bản S3, bạn có thể duy trì, truy xuất và khôi phục mọi phiên bản của một đối tượng được lưu trữ trong Amazon S3, điều này cho phép bạn phục hồi từ các hoạt động vô tình của người dùng và sự cố ứng dụng. Để ngăn việc xóa vô tình, hãy bật Xóa bằng xác thực nhiều yếu tố (MFA) trên một vùng lưu trữ S3. Nếu bạn tìm cách xóa một đối tượng được lưu trữ trong vùng lưu trữ hỗ trợ Xóa MFA, việc này yêu cầu hai hình thức xác thực: thông tin đăng nhập tài khoản AWS của bạn và chuỗi chữ số sê-ri hợp lệ, khoảng trắng và mã sáu chữ số hiển thị trên thiết bị xác thực được phê duyệt, chẳng hạn như chuỗi khóa phần cứng hoặc khóa bảo mật Universal 2nd Factor (U2F).

Với Sao chép trên S3, bạn có thể sao chép đối tượng (cùng siêu dữ liệu và thẻ đối tượng tương ứng) vào một hoặc nhiều vùng lưu trữ đích trong cùng hoặc sang Khu vực AWS khác để giảm độ trễ, đảm bảo tính tuân thủ, bảo mật, phục hồi sau thảm họa và trong các trường hợp sử dụng khác. Bạn có thể cấu hình Sao chép liên khu vực (CRR) S3 để sao chép các đối tượng từ một vùng lưu trữ S3 nguồn sang một hoặc nhiều vùng lưu trữ đích trong nhiều Khu vực AWS. Sao chép trong cùng khu vực (SRR) trên S3 sao chép các đối tượng giữa các vùng lưu trữ trong cùng Khu vực AWS. Mặc dù sao chép trực tiếp như CRR và SRR sẽ tự động sao chép các đối tượng mới được tải lên khi chúng được ghi vào vùng lưu trữ của bạn, Sao chép hàng loạt S3 cho phép bạn sao chép các đối tượng hiện có. Bạn có thể sử dụng Sao chép hàng loạt S3 để lấp đầy một vùng lưu trữ mới được tạo bằng các đối tượng hiện có, thử lại các đối tượng mà trước đây không sao chép được, di chuyển dữ liệu giữa các tài khoản hoặc thêm vùng lưu trữ mới vào hồ dữ liệu của bạn. Kiểm soát thời gian sao chép của Amazon S3 (S3 RTC) giúp bạn đáp ứng các yêu cầu tuân thủ để sao chép dữ liệu bằng cách cung cấp SLA và khả năng xem các lần sao chép.

Để truy cập các tập dữ liệu được sao chép trong vùng lưu trữ S3 trên các tài khoản và Khu vực AWS, hãy sử dụng Điểm truy cập đa khu vực Amazon S3 nhằm tạo một điểm cuối toàn cầu duy nhất để các ứng dụng và máy khách của bạn sử dụng bất kể vị trí của chúng. Điểm cuối toàn cầu này cho phép bạn thiết lập các ứng dụng đa Khu vực có cùng kiến trúc đơn giản để bạn sử dụng trong một Khu vực và sau đó chạy những ứng dụng này tại bất kỳ đâu trên thế giới. Điểm truy cập đa khu vực Amazon S3 có thể tăng hiệu năng lên đến 60% khi truy cập các tập dữ liệu được sao chép trên nhiều tài khoản và Khu vực AWS. Dựa trên Trình tăng tốc toàn cầu của AWS, Điểm truy cập đa khu vực S3 xem xét các yếu tố như tình trạng nghẽn mạng và vị trí của ứng dụng yêu cầu để định tuyến một cách linh hoạt các yêu cầu của bạn qua mạng AWS đến bản sao dữ liệu có độ trễ thấp nhất. Bằng cách sử dụng các biện pháp kiểm soát chuyển đổi dự phòng Điểm truy cập đa khu vực S3, bạn có thể chuyển đổi dự phòng giữa các tập dữ liệu được sao chép của mình trên các Khu vực AWS, cho phép bạn chuyển lưu lượng yêu cầu dữ liệu S3 của mình sang một Khu vực AWS thay thế trong vòng vài phút.

Bạn cũng có thể thực thi các chính sách ghi một lần đọc nhiều lần (WORM) với Khóa đối tượng S3. Tính năng quản lý mới này của S3 ngăn chặn việc xóa phiên bản đối tượng trong một khoảng thời gian lưu giữ do khách hàng xác định, cho phép bạn thực thi các chính sách lưu giữ như một lớp bảo vệ dữ liệu bổ sung hoặc nhằm thực hiện các nghĩa vụ tuân thủ. Bạn có thể di chuyển khối lượng công việc từ hệ thống WORM vào Amazon S3 và cấu hình S3 Object Lock ở cấp đối tượng và bộ chứa để ngăn việc xóa phiên bản đối tượng trước khi đến Giữ lại tới ngày xác định sẵn hoặc Ngày lưu giữ theo pháp lý. Các đối tượng có S3 Object Lock lưu giữ tùy chọn bảo vệ WORM, ngay cả khi được di chuyển sang lớp lưu trữ khác với chính sách Vòng đời S3. Để biết đối tượng nào có S3 Object Lock, bạn có thể tham khảo báo cáo Kho S3, trong đó có nêu trạng thái WORM của các đối tượng. S3 Object Lock có thể được cấu hình ở một trong hai chế độ. Khi triển khai ở Chế độ quản lý, các tài khoản AWS có các quyền IAM cụ thể có thể xóa S3 Object Lock khỏi một đối tượng. Nếu yêu cầu khả năng không thay đổi mạnh hơn để tuân thủ quy định, thì bạn có thể sử dụng Chế độ tuân thủ. Ở Chế độ tuân thủ, bất kỳ người dùng nào, kể cả tài khoản gốc đều không thể xóa được tùy chọn bảo vệ này.

Ngoài các khả năng quản lý này, bạn có thể sử dụng các tính năng Amazon S3 và dịch vụ AWS khác để giám sát và kiểm soát cách các tài nguyên S3 của mình. Áp dụng thẻ cho vùng lưu trữ S3 để phân bổ chi phí ở nhiều mảng kinh doanh (chẳng hạn như trung tâm chi phí, tên ứng dụng hoặc chủ sở hữu), sau đó sử dụng Báo cáo phân bổ chi phí AWS để xem mức sử dụng và chi phí do các thẻ vùng lưu trữ tổng hợp. Bạn cũng có thể sử dụng Amazon CloudWatch để theo dõi tình trạng vận hành của các tài nguyên AWS và định cấu hình thông báo thanh toán khi khoản phí ước tính đạt đến một ngưỡng do người dùng xác định. Sử dụng AWS CloudTrail để theo dõi và báo cáo các hoạt động trong vùng lưu trữ và cấp đối tượng cũng như định cấu hình Thông báo sự kiện S3 để kích hoạt quy trình làm việc và các thông báo hoặc gọi AWS Lambda khi thực hiện thay đổi cụ thể với các tài nguyên S3 của bạn. Thông báo sự kiện S3 tự động chuyển mã tệp phương tiện khi các tệp này được tải lên S3, xử lý tệp dữ liệu khi khả dụng và đồng bộ hóa đối tượng với các kho dữ liệu khác. Thêm vào đó, bạn có thể xác minh tính toàn vẹn của dữ liệu được chuyển tới và gửi đi từ Amazon S3, đồng thời truy cập thông tin về giá trị tổng kiểm bất cứ lúc nào bằng S3 API GetObjectAttributes hoặc báo cáo Kho S3. Bạn có thể lựa chọn từ 4 thuật toán giá trị tổng kiểm được hỗ trợ (SHA-1, SHA-256, CRC32 hoặc CRC32C) để kiểm tra tính toàn vẹn của dữ liệu trong yêu cầu tải lên và tải xuống của bạn, tùy thuộc vào nhu cầu ứng dụng của bạn.

Tìm hiểu thêm về quản lý và giám sát lưu trữ S3 »

Ống kính lưu trữ S3 mang lại khả năng hiển thị trong toàn tổ chức về việc sử dụng kho lưu trữ đối tượng, xu hướng hoạt động và đưa ra các đề xuất có thể thực hiện được để cải thiện hiệu quả chi phí và áp dụng các phương pháp tốt nhất về bảo vệ dữ liệu. Ống kính lưu trữ S3 là giải pháp phân tích lưu trữ đám mây đầu tiên mang lại một cái nhìn duy nhất về hoạt động và việc sử dụng kho lưu trữ đối tượng trên hàng trăm, thậm chí hàng nghìn tài khoản trong một tổ chức, với các chi tiết để tạo thông tin chuyên sâu về tài khoản, vùng lưu trữ hoặc thậm chí cấp độ tiền tố. Đúc kết từ hơn 16 năm kinh nghiệm giúp khách hàng tối ưu hóa dung lượng lưu trữ của họ, Ống kính lưu trữ S3 phân tích các chỉ số trong toàn tổ chức để đưa ra các đề xuất theo bối cảnh nhằm tìm cách giảm chi phí lưu trữ và áp dụng các phương pháp tốt nhất về bảo vệ dữ liệu. 

Amazon S3 Storage Class Analysis phân tích các kiểu truy cập dung lượng lưu trữ nhằm giúp bạn quyết định thời điểm chuyển đúng dữ liệu sang lớp lưu trữ phù hợp. Tính năng này của Amazon S3 quan sát các kiểu truy cập dữ liệu để giúp bạn xác định thời điểm chuyển dung lượng lưu trữ truy cập kém thường xuyên hơn sang lớp lưu trữ có chi phí thấp hơn. Bạn có thể sử dụng kết quả để góp phần cải thiện chính sách S3 Lifecycle của mình. Bạn có thể định cấu hình phân tích lớp lưu trữ để phân tích tất cả các đối tượng trong một vùng lưu trữ. Hoặc, bạn có thể định cấu hình bộ lọc nhằm nhóm các đối tượng lại với nhau để phân tích theo tiền tố chung, theo thẻ đối tượng hoặc theo cả tiền tố và thẻ. Để tìm hiểu thêm, hãy truy cập trang thông tin chuyên sâu và phân tích về dung lượng lưu trữ.

Với Amazon S3, bạn có thể lưu trữ dữ liệu ở nhiều lớp lưu trữ S3 được xây dựng có mục đích cho các trường hợp sử dụng và kiểu truy cập cụ thể: S3 phân bậc thông minh, S3 tiêu chuẩn, S3 nhanh một vùng, S3 tiêu chuẩn – truy cập không thường xuyên (S3 tiêu chuẩn – IA), S3 một vùng – truy cập không thường xuyên (S3 một vùng – IA), S3 Glacier truy xuất tức thì, S3 Glacier truy xuất linh hoạt, S3 Glacier lưu trữ sâu và S3 Outposts.

Mỗi lớp lưu trữ S3 đều hỗ trợ một cấp độ truy cập dữ liệu cụ thể với chi phí hoặc vị trí địa lý tương ứng. 

Đối với dữ liệu có các kiểu truy cập thay đổi, không xác định hoặc không thể đoán trước, chẳng hạn như hồ dữ liệu, nội dung phân tích hoặc ứng dụng mới, hãy dùng S3 Intelligent-Tiering để tự động tối ưu hóa chi phí lưu trữ. S3 Intelligent-Tiering tự động di chuyển dữ liệu của bạn giữa ba bậc truy cập có độ trễ thấp, được tối ưu hóa cho việc truy cập thường xuyên, không thường xuyên và hiếm khi xảy ra. Khi tập con các đối tượng được lưu trữ theo thời gian, bạn có thể kích hoạt bậc truy cập lưu trữ được thiết kế cho kiểu truy cập không đồng bộ.

Với các kiểu truy cập dễ dự đoán hơn, bạn có thể lưu trữ dữ liệu sản xuất tối quan trọng trong S3 tiêu chuẩn cho truy cập thường xuyên, tăng tốc các ứng dụng quan trọng về hiệu năng bằng cách lưu trữ dữ liệu được truy cập thường xuyên nhất của bạn trong S3 nhanh một vùng, tiết kiệm chi phí bằng cách lưu trữ dữ liệu truy cập không thường xuyên trong S3 tiêu chuẩn – IA hoặc S3 một vùng – IA và lưu trữ dữ liệu với chi phí thấp nhất trong các lớp lưu trữ – S3 Glacier truy xuất tức thì, S3 Glacier truy xuất linh hoạt và S3 Glacier lưu trữ sâu. Bạn có thể dùng Phân tích lớp lưu trữ S3 để theo dõi kiểu truy cập trên các đối tượng, từ đó phát hiện dữ liệu cần di chuyển sang lớp lưu trữ có chi phí thấp hơn. Sau đó, bạn có thể sử dụng thông tin này để cấu hình một chính sách Vòng đời S3 thực hiện quá trình truyền dữ liệu. Chính sách S3 Lifecycle có thể dùng để kết thúc hiệu lực của đối tượng khi hết vòng đời của chúng. 

Nếu Khu vực AWS hiện có không thể đáp ứng yêu cầu lưu trữ dữ liệu của bạn, thì bạn có thể dùng lớp lưu trữ S3 Outposts để lưu trữ dữ liệu S3 tại chỗ qua S3 trên Outposts.

Tìm hiểu thêm bằng cách xem về S3 Storage Classes, S3 Storage Class Analysis và quản lý S3 Lifecycle »

Để bảo vệ dữ liệu của bạn trong Amazon S3, theo mặc định, người dùng chỉ có quyền truy cập vào tài nguyên S3 mà họ tạo. Bạn có thể cấp quyền truy cập cho người dùng khác bằng cách sử dụng một hoặc kết hợp các tính năng quản lý quyền truy cập sau: Quản lý danh tính và truy cập (IAM) trong AWS để tạo người dùng và quản lý quyền truy cập tương ứng của họ; Danh sách kiểm soát truy cập (ACL) để cho phép người dùng được ủy quyền truy cập vào từng đối tượng; chính sách vùng lưu trữ để cấu hình quyền cho tất cả đối tượng trong một vùng lưu trữ S3; Điểm truy cập S3 để đơn giản hóa việc quản lý quyền truy cập dữ liệu vào các tập dữ liệu dùng chung bằng cách tạo các điểm truy cập có tên và quyền cụ thể cho từng ứng dụng hoặc tập ứng dụng; S3 Access Grants để quản lý quyền dữ liệu trên quy mô lớn bằng cách tự động cấp quyền truy cập S3 cho người dùng cuối dựa trên danh tính công ty của họ; và Xác thực chuỗi ký tự truy vấn để cấp quyền truy cập trong thời gian giới hạn cho người khác bằng URL tạm thời. Amazon S3 cũng hỗ trợ Bản ghi kiểm tra liệt kê các yêu cầu được thực hiện đối với tài nguyên S3 để bạn có được cái nhìn toàn diện về đối tượng đang truy cập và dữ liệu được truy cập.

Amazon S3 cung cấp các tính năng bảo mật linh hoạt để chặn người dùng trái phép truy cập dữ liệu của bạn. Bạn có thể kết nối với tài nguyên S3 từ Đám mây riêng ảo của Amazon (Amazon VPC) và tại chỗ bằng cách sử dụng điểm cuối VPC. Amazon S3 mã hóa tất cả dữ liệu mới tải lên vùng lưu trữ (tính đến 5 tháng 1 năm 2023). Amazon S3 hỗ trợ cả mã hóa phía máy chủ (với bốn tùy chọn quản lý khóa) và mã hóa phía máy khách để tải lên dữ liệu (xem Hướng dẫn sử dụng Amazon S3 để biết thêm thông tin về mã hóa dữ liệu với S3). Sử dụng Kho S3 để kiểm tra trạng thái mã hóa của đối tượng S3 (xem quản lý lưu trữ để biết thêm thông tin về Kho S3).

Chặn truy cập công cộng trong S3 là một tập hợp biện pháp kiểm soát bảo mật đảm bảo các vùng lưu trữ và đối tượng của S3 không cho phép truy cập công khai. Block Public Access được bật theo mặc định cho tất cả các vùng lưu trữ mới. Với vài cú nhấp chuột trong bảng điều khiển quản lý Amazon S3, bạn có thể áp dụng cài đặt S3 Block Public Access cho tất cả vùng lưu trữ trong tài khoản AWS của mình hoặc cho vùng lưu trữ S3 cụ thể. Khi cài đặt này được áp dụng cho một tài khoản AWS, tất cả vùng lưu trữ và đối tượng mới hoặc hiện có được liên kết với tài khoản đó sẽ kế thừa cài đặt này để ngăn chặn truy cập công khai. Cài đặt S3 Block Public Access ghi đè các quyền truy cập S3 khác, giúp quản trị viên tài khoản dễ dàng thực thi chính sách “không truy cập công khai”, bất kể cách thức thêm đối tượng, cách tạo vùng lưu trữ hoặc có quyền truy cập hiện tại hay không. Kiểm soát S3 Block Public Access có thể kiểm tra được, cung cấp một lớp kiểm soát bổ sung và sử dụng các mục kiểm tra quyền bộ chứa AWS Trusted Advisor, nhật ký AWS CloudTrail và cảnh báo Amazon CloudWatch. Bạn nên bật tính năng Block Public Access cho tất cả tài khoản và vùng lưu trữ mà bạn không muốn cho truy cập công khai.

S3 Object Ownership là tính năng giúp vô hiệu hóa Danh sách kiểm soát truy cập (ACL), thay đổi quyền sở hữu cho tất cả đối tượng thành chủ sở hữu vùng lưu trữ và đơn giản hóa hoạt động quản lý quyền truy cập đối với dữ liệu được lưu trữ trong S3. Khi bạn cấu hình chế độ cài đặt Do chủ sở hữu vùng lưu trữ thực thi trong S3 Object Ownership, ACL sẽ không còn ảnh hưởng đến quyền đối với vùng lưu trữ của bạn và các đối tượng trong đó. Toàn bộ việc kiểm soát truy cập sẽ được xác định bằng các chính sách dựa trên tài nguyên, chính sách người dùng hoặc kết hợp những chính sách này. Trước khi tắt ACL, hãy xem lại ACL vùng lưu trữ và đối tượng của bạn. Để xác định các yêu cầu Amazon S3 cần có ACL để cấp quyền, bạn có thể sử dụng trường aclRequired trong bản ghi truy cập máy chủ Amazon S3 hoặc AWS CloudTrail.

Khi sử dụng Điểm truy cập S3 được giới hạn ở một Đám mây riêng ảo (VPC), bạn có thể dễ dàng tạo tường lửa cho dữ liệu S3 trong mạng riêng của mình. Ngoài ra, bạn cũng có thể dùng Chính sách kiểm soát dịch vụ AWS để yêu cầu giới hạn mọi Điểm truy cập S3 mới trong tổ chức của bạn chỉ được truy cập vào VPC.

IAM Access Analyzer for S3 là tính năng giúp bạn đơn giản hóa hoạt động quản lý quyền khi bạn thiết lập, xác minh và tinh chỉnh các chính sách cho vùng lưu trữ và điểm truy cập S3 của mình. Access Analyzer for S3 giám sát các chính sách truy cập vùng lưu trữ hiện có của bạn để xác minh rằng chúng chỉ cung cấp quyền truy cập cần thiết vào tài nguyên S3 của bạn. Access Analyzer for S3 đánh giá các chính sách truy cập vùng lưu trữ của bạn để bạn có thể nhanh chóng khắc phục mọi vùng lưu trữ có hoạt động truy cập không cần thiết. Khi xem xét kết quả và nhận thấy có khả năng tồn tại quyền truy cập chung vào vùng lưu trữ, bạn có thể áp dụng tính năng Block Public Access chỉ với một cú nhấp chuột trong bảng điều khiển S3. Để phục vụ mục đích kiểm tra, bạn có thể tải các kết quả phát hiện của Access Analyzer for S3 xuống dưới dạng báo cáo CSV. Ngoài ra, bảng điều khiển S3 sẽ báo cáo các cảnh báo, lỗi và đề xuất bảo mật từ IAM Access Analyzer khi bạn tạo các chính sách S3 của mình. Bảng điều khiển tự động chạy hơn 100 lượt kiểm tra chính sách để xác thực các chính sách của bạn. Việc kiểm tra này giúp bạn tiết kiệm thời gian, hướng dẫn bạn xử lý lỗi và hỗ trợ bạn áp dụng các phương pháp bảo mật tốt nhất.

IAM giúp bạn phân tích quyền truy cập và giảm quyền một cách dễ dàng hơn để đạt được đặc quyền tối thiểu bằng cách cung cấp dấu thời gian về lần gần đây nhất một người dùng hoặc vai trò sử dụng S3 và các thao tác có liên quan. Hãy sử dụng thông tin “lần truy cập gần nhất” này để phân tích truy cập S3, xác định quyền không được sử dụng và tự tin loại bỏ các quyền này. Để tìm hiểu thêm, hãy xem hướng dẫn Tinh chỉnh quyền bằng dữ liệu của lần truy cập gần nhất.

Bạn có thể dùng Amazon Macie để phát hiện và bảo vệ dữ liệu nhạy cảm được lưu trữ trong Amazon S3. Macie tự động tập hợp một kho S3 hoàn chỉnh và liên tục đánh giá tất cả các vùng lưu trữ để cảnh báo những vùng lưu trữ có thể truy cập công khai, vùng lưu trữ không được mã hóa hoặc vùng lưu trữ được chia sẻ hay trùng với tài khoản AWS bên ngoài tổ chức của bạn. Sau đó, Macie áp dụng các kỹ thuật máy học và đối chiếu kiểu với các vùng lưu trữ bạn chọn để xác định và cảnh báo bạn về những dữ liệu nhạy cảm, chẳng hạn như thông tin nhận dạng cá nhân (PII). Ngay khi tạo, các kết quả phát hiện về bảo mật sẽ được đẩy ra Sự kiện Amazon CloudWatch để dễ dàng tích hợp với các hệ thống quy trình công việc hiện có, cũng như kích hoạt chế độ khắc phục tự động qua các dịch vụ như AWS Step Functions để thực hiện hành động như đóng vùng lưu trữ công khai hoặc thêm thẻ tài nguyên.

AWS PrivateLink dành cho S3 cung cấp kết nối riêng tư giữa Amazon S3 và hệ thống tại chỗ. Bạn có thể cung cấp điểm cuối VPC giao diện cho S3 trong VPC của mình để kết nối các ứng dụng tại chỗ của bạn trực tiếp với S3 qua AWS Direct Connect hoặc AWS VPN. Các yêu cầu tới điểm cuối VPC giao diện cho S3 được tự động chuyển đến S3 qua mạng Amazon. Bạn có thể đặt các nhóm bảo mật và cấu hình chính sách điểm cuối VPC cho điểm cuối VPC giao diện của mình để tăng thêm kiểm soát truy cập.

Tìm hiểu thêm bằng cách truy cập phần quản lý quyền truy cập và bảo mật S3, sách điện tử về bảo mật và bảo vệ dữ liệu S3 và bảo vệ dữ liệu trong Amazon S3 »

Với Lambda đối tượng S3, bạn có thể thêm mã của riêng mình vào các yêu cầu GET, HEAD và LIST S3 để sửa đổi và xử lý dữ liệu khi dữ liệu được trả về đến một ứng dụng. Bạn có thể sử dụng mã tùy chỉnh để sửa đổi dữ liệu mà các yêu cầu GET S3 tiêu chuẩn trả lại để lọc các hàng, linh hoạt thay đổi kích thước hình ảnh, loại bỏ dữ liệu bí mật và hơn thế nữa. Bạn cũng có thể sử dụng S3 Object Lambda để sửa đổi đầu ra của các yêu cầu S3 LIST để tạo chế độ xem tùy chỉnh về các đối tượng trong một vùng lưu trữ và các yêu cầu S3 HEAD để sửa đổi siêu dữ liệu đối tượng như tên và kích thước đối tượng. Được cung cấp bởi các hàm AWS Lambda, mã của bạn chạy trên cơ sở hạ tầng được AWS quản lý hoàn toàn, loại bỏ nhu cầu tạo và lưu trữ các bản sao phái sinh của dữ liệu hoặc nhu cầu chạy các proxy đắt tiền, tất cả đều không cần thay đổi bất cứ điều gì đối với các ứng dụng.

S3 Object Lambda sử dụng các hàm AWS Lambda để tự động xử lý đầu ra của một yêu cầu S3 GET, HEAD hoặc LIST tiêu chuẩn. AWS Lambda là một dịch vụ điện toán phi máy chủ chạy mã do khách hàng xác định mà không yêu cầu quản lý các tài nguyên điện toán cơ bản. Chỉ với một vài cú nhấp chuột trong Bảng điều khiển quản lý AWS, bạn có thể định cấu hình một hàm Lambda và gắn nó vào một Điểm truy cập S3 Object Lambda. Từ thời điểm đó trở đi, S3 sẽ tự động gọi hàm Lambda của bạn để xử lý bất kỳ dữ liệu nào được truy xuất thông qua Điểm truy cập S3 Object Lambda, trả kết quả đã chuyển đổi về ứng dụng. Bạn có thể tạo ra và thực thi các hàm Lambda tùy chỉnh của riêng mình, điều chỉnh quá trình chuyển đổi dữ liệu của Lambda đối tượng S3 cho phù hợp với trường hợp sử dụng cụ thể của bạn.

Amazon S3 có một tính năng tích hợp sẵn và các dịch vụ bổ sung giúp truy vấn dữ liệu mà không cần sao chép và tải dữ liệu vào một nền tảng phân tích riêng hay kho dữ liệu. Điều đó nghĩa là bạn có thể chạy phân tích dữ liệu lớn trực tiếp trên dữ liệu được lưu trữ trong Amazon S3. S3 Select là một tính năng của S3 được thiết kế để tăng hiệu suất truy vấn tới 400% và giảm chi phí truy vấn tới 80%. Công cụ này hoạt động bằng cách truy xuất một tập con dữ liệu của đối tượng (sử dụng biểu thức SQL đơn giản) thay vì toàn bộ đối tượng, có thể có kích thước tối đa là 5 terabyte.

Amazon S3 cũng tương thích với các dịch vụ phân tích AWS là Amazon Athena và Amazon Redshift Spectrum. Amazon Athena truy vấn dữ liệu của bạn trong Amazon S3 mà không cần trích xuất và tải dữ liệu vào một dịch vụ hay nền tảng riêng. Công cụ này sử dụng biểu thức SQL để phân tích dữ liệu của bạn, phân phối kết quả trong vài giây và thường dùng để khám phá dữ liệu đặc thù. Amazon Redshift Spectrum cũng chạy truy vấn SQL trực tiếp dựa trên dữ liệu ở trạng thái lưu trữ trong Amazon S3 và thích hợp hơn đối với truy vấn phức tạp và tập hợp dữ liệu lớn (lên tới đơn vị exabyte). Do Amazon Athena và Amazon Redshift chia sẻ định dạng dữ liệu và danh mục dữ liệu chung, nên bạn có thể sử dụng cả hai công cụ này với cùng tập hợp dữ liệu trong Amazon S3.

Tìm hiểu thêm bằng cách truy cập phần xây dựng giải pháp lưu trữ dữ liệu lớn và S3 Select »

AWS cung cấp một hồ sơ gồm các dịch vụ truyền dữ liệu nhằm mang đến giải pháp thích hợp cho mọi dự án di chuyển dữ liệu. Mức độ kết nối là yếu tố chính trong việc di chuyển dữ liệu. AWS có các dịch vụ có thể xác định nhu cầu của bạn trong việc lưu trữ đám mây kết hợp, truyền dữ liệu trực tuyến và ngoại tuyến.

Lưu trữ đám mây kết hợp: Cổng lưu trữ AWS là dịch vụ lưu trữ đám mây kết hợp cho phép bạn kết nối và mở rộng ứng dụng tại chỗ của mình đến Bộ lưu trữ AWS một cách liền mạch. Khách hàng sử dụng Storage Gateway để thay thế liền mạch thư viện băng từ bằng lưu trữ đám mây, cung cấp tính năng chia sẻ tệp dựa trên lưu trữ đám mây hoặc tạo bộ đệm có độ trễ thấp để truy cập vào dữ liệu trong AWS dành cho ứng dụng tại chỗ. 

Truyền dữ liệu trực tuyến: AWS DataSync giúp bạn dễ dàng truyền hàng trăm terabyte và hàng triệu tệp đến Amazon S3 một cách hiệu quả, nhanh hơn đến 10 lần so với các công cụ nguồn mở. DataSync tự động xử lý hoặc loại bỏ nhiều tác vụ thủ công, bao gồm tạo tập lệnh cho tác vụ sao chép, lập lịch trình và giám sát hoạt động truyền dữ liệu, xác thực dữ liệu và tối ưu hóa việc sử dụng mạng. Ngoài ra, bạn có thể sử dụng AWS DataSync để sao chép các đối tượng giữa một nhóm thuộc S3 trên Outposts và một vùng lưu trữ trong Khu vực AWS. Bộ hỗ trợ truyền AWS cho phép truyền tệp được quản lý đầy đủ, đơn giản và liền mạch sang Amazon S3 bằng SFTP, FTPS và FTP. Tính năng tăng tốc truyền của Amazon S3 cho phép truyền tệp một cách nhanh chóng qua khoảng cách lớn giữa máy khách và vùng lưu trữ Amazon S3 của bạn.

Truyền dữ liệu ngoại tuyến/ít hoặc không có khả năng kết nối: Hệ thống AWS Snow được xây dựng chuyên để sử dụng tại các vị trí biên nơi công suất mạng bị hạn chế hoặc không tồn tại cũng như cung cấp các tính năng lưu trữ và điện toán trong môi trường khắc nghiệt. AWS Snowcone là một thiết bị vô cùng nhỏ, có tính di động cực cao, chắc chắn và bảo mật thuộc Hệ thống AWS Snow. Thiết bị này cung cấp khả năng điện toán biên, kho lưu trữ dữ liệu và truyền dữ liệu mọi lúc mọi nơi, trong môi trường khắc nghiệt với rất ít hoặc không có khả năng kết nối. Dịch vụ AWS Snowball sử dụng các thiết bị lưu trữ di động bền bỉ và thiết bị điện toán biên để thu thập, xử lý và di chuyển dữ liệu. Khách hàng có thể vận chuyển thiết bị Snowball vật lý để di chuyển dữ liệu ngoại tuyến sang AWS. 

Khách hàng cũng có thể làm việc với nhà cung cấp bên thứ ba từ Mạng lưới đối tác AWS (APN) để triển khai kiến trúc lưu trữ kết hợp, tích hợp Amazon S3 vào ứng dụng và quy trình làm việc hiện có, cũng như truyền dữ liệu đến và đi từ AWS.

Tìm hiểu thêm bằng cách truy cập Dịch vụ di chuyển dữ liệu lên đám mây AWS » , Cổng lưu trữ AWS » , AWS DataSync » ,  Bộ hỗ trợ truyền AWS » , Tính năng tăng tốc truyền của Amazon S3 » , Hệ thống AWS Snow »

Trao đổi dữ liệu trên AWS dành cho Amazon S3 tăng tốc thời gian thu được thông tin chuyên sâu bằng quyền truy cập trực tiếp vào dữ liệu Amazon S3 của nhà cung cấp dữ liệu. Trao đổi dữ liệu trên AWS dành cho Amazon S3 giúp bạn dễ dàng tìm kiếm, đăng ký và sử dụng các tệp dữ liệu của bên thứ ba để tối ưu hóa chi phí lưu trữ, đơn giản hóa việc quản lý cấp phép dữ liệu, v.v. Dịch vụ này dành cho những người đăng ký muốn dễ dàng sử dụng các tệp dữ liệu của bên thứ ba để phân tích dữ liệu cùng các dịch vụ AWS mà không cần tạo hoặc quản lý các bản sao dữ liệu. Trao đổi dữ liệu trên AWS dành cho Amazon S3 cũng rất có ích cho các nhà cung cấp dữ liệu muốn cấp quyền truy cập tại chỗ vào dữ liệu được lưu trữ trong vùng lưu trữ Amazon S3 của họ.

Khi người đăng ký dữ liệu được cấp quyền truy cập tập dữ liệu Trao đổi dữ liệu trên AWS dành cho Amazon S3, họ có thể bắt đầu phân tích dữ liệu mà không phải thiết lập vùng lưu trữ S3 của riêng mình, sao chép tệp dữ liệu vào các vùng lưu trữ S3 đó hoặc trả phí lưu trữ liên quan. Bạn có thể phân tích dữ liệu cùng các dịch vụ AWS như Amazon Athena, Cửa hàng tính năng của Amazon SageMaker hoặc Amazon EMR. Người đăng ký sẽ truy cập vào cùng các đối tượng S3 được nhà cung cấp dữ liệu duy trì, do đó họ sẽ luôn sử dụng dữ liệu mới nhất hiện có mà không cần thiết kế hay vận hành bổ sung. Các nhà cung cấp dữ liệu có thể dễ dàng thiết lập dịch vụ Trao đổi dữ liệu trên AWS dành cho Amazon S3 trên các vùng lưu trữ S3 hiện có để chia sẻ quyền truy cập trực tiếp vào toàn bộ vùng lưu trữ S3 hoặc các loại tiền tố và đối tượng S3 cụ thể. Sau khi thiết lập, dịch vụ Trao đổi dữ liệu trên AWS sẽ tự động quản lý các gói đăng ký, cấp quyền, tính phí và thanh toán.

Amazon S3 cung cấp hiệu năng hàng đầu trong ngành cho lưu trữ đối tượng đám mây. Amazon S3 hỗ trợ các yêu cầu song song, có nghĩa là bạn có thể mở rộng quy mô hiệu năng S3 của mình theo cụm điện toán mà không cần thực hiện bất kỳ tùy chỉnh nào đối với ứng dụng của bạn. Hiệu năng mở rộng quy mô cho mỗi tiền tố, vì vậy bạn có thể sử dụng song song nhiều tiền tố tùy ý để đạt được thông lượng cần thiết. Không có giới hạn về số lượng tiền tố. Hiệu năng của Amazon S3 hỗ trợ ít nhất 3.500 yêu cầu mỗi giây để thêm dữ liệu và 5.500 yêu cầu mỗi giây để truy xuất dữ liệu. Mỗi tiền tố S3 có thể hỗ trợ các tỷ lệ yêu cầu này, giúp dễ dàng tăng hiệu năng một cách đáng kể.

Để đạt được hiệu năng tỷ lệ yêu cầu S3 này, bạn không cần chọn ngẫu nhiên các tiền tố đối tượng để đạt được hiệu năng nhanh hơn. Điều đó có nghĩa là bạn có thể sử dụng các kiểu đặt tên logic hoặc tuần tự trong đặt tên đối tượng S3 mà không có bất kỳ tác động nào lên hiệu năng. Tham khảo Hướng dẫn về hiệu năng cho Amazon S3 và Mẫu thiết kế hiệu năng cho Amazon S3 để biết thông tin mới nhất về tối ưu hóa hiệu năng cho Amazon S3.

Amazon S3 tự động cung cấp tính nhất quán cao cho phép đọc sau khi ghi cho tất cả các ứng dụng mà không cần thay đổi hiệu năng hoặc tính khả dụng, không phải hy sinh khả năng cô lập theo khu vực cho các ứng dụng và không mất thêm phí. Với Tính nhất quán cao trên S3, S3 đơn giản hóa việc di chuyển khối lượng công việc phân tích tại chỗ bằng cách loại bỏ nhu cầu thực hiện thay đổi đối với ứng dụng và giảm chi phí bằng cách loại bỏ nhu cầu cần thêm cơ sở hạ tầng để cung cấp tính nhất quán cao.

Mọi yêu cầu về lưu trữ S3 đều nhất quán. Sau khi ghi thành công đối tượng mới hoặc ghi đè đối tượng hiện có, bất kỳ yêu cầu đọc tiếp theo nào sẽ ngay lập tức nhận được phiên bản mới nhất của đối tượng. S3 cũng cung cấp tính nhất quán cao cho các hoạt động trong danh sách, vì vậy sau khi ghi, bạn có thể thực hiện ngay việc lập niêm yết các đối tượng trong một vùng lưu trữ với bất kỳ thay đổi nào được phản ánh.

Khi sử dụng dịch vụ này, bạn phải tuân theo Thỏa thuận khách hàng Amazon Web Services »