Mức độ bảo mật, tính tuân thủ và khả năng kiểm tra vô song

Lưu trữ dữ liệu của bạn trong Amazon S3 và ngăn chặn hành vi truy cập dữ liệu trái phép với các tính năng mã hóa và công cụ quản lý truy cập. S3 là dịch vụ lưu trữ đối tượng duy nhất cho phép bạn chặn quyền truy cập công cộng vào tất cả đối tượng trong bộ chứa hoặc ở cấp tài khoản bằng tính năng Chặn quyền truy cập công cộng S3. Dịch vụ S3 duy trì các chương trình tuân thủ, chẳng hạn như PCI-DSS, HIPAA/HITECH, FedRAMP, Chỉ thị bảo vệ dữ liệu của Liên minh châu Âu và FISMA, để giúp bạn đáp ứng các yêu cầu về quy định. AWS cũng hỗ trợ nhiều khả năng kiểm tra để giám sát các yêu cầu truy cập vào tài nguyên S3 của bạn.

Quản lý khả năng bảo mật của Amazon S3 trên quy mô lớn (34:56)

Khả năng quản lý bảo mật và truy cập của Amazon S3

Để bảo vệ dữ liệu của bạn trong Amazon S3, theo mặc định, người dùng chỉ có quyền truy cập vào tài nguyên S3 mà họ tạo. Bạn có thể cấp quyền truy cập cho người dùng khác bằng cách sử dụng một hoặc kết hợp các tính năng quản lý truy cập sau: AWS Identity and Access Management (IAM) để tạo người dùng và quản lý quyền truy cập tương ứng của họ; Danh sách kiểm soát truy cập (ACL) để cấp phép cho người dùng truy cập vào từng đối tượng; chính sách vùng lưu trữ  để định cấu hình quyền cho tất cả đối tượng trong một vùng lưu trữ S3 và Xác thực chuỗi ký tự truy vấn để cấp quyền truy cập trong thời gian giới hạn cho người khác bằng URL tạm thời. Amazon S3 cũng hỗ trợ Nhật ký kiểm tra liệt kê các yêu cầu được tạo đối với tài nguyên S3 để bạn có được cái nhìn toàn diện về đối tượng truy cập và dữ liệu được truy cập.

Block Public Access

Block Public Access

Chỉ cần một vài lần nhấp trong bảng điều khiển quản lý S3, bạn có thể áp dụng S3 Block Public Access cho mọi vùng lưu trữ trong tài khoản của mình – cả vùng lưu trữ hiện có và bất kỳ vùng lưu trữ mới nào được tạo trong tương lai – đồng thời đảm bảo rằng không có quyền truy cập công cộng vào bất kỳ đối tượng nào. Các cài đặt S3 Block Public Access thay thế quyền S3 cho phép truy cập công cộng, giúp quản trị viên tài khoản dễ dàng thiết lập hoạt động kiểm soát tập trung để ngăn chặn sự thay đổi trong cấu hình bảo mật, bất kể cách thêm đối tượng hay cách tạo vùng lưu trữ.

Object Lock

Object Lock

Amazon S3 Object Lock chặn việc xóa phiên bản đối tượng trong một khoảng thời gian lưu giữ do khách hàng xác định, cho phép bạn thực thi các chính sách lưu giữ như một lớp bảo vệ dữ liệu bổ sung hoặc nhằm tuân thủ quy định. Bạn có thể di chuyển khối lượng công việc từ hệ thống ghi một lần đọc nhiều lần (WORM) vào Amazon S3 và định cấu hình S3 Object Lock ở cấp độ đối tượng và vùng lưu trữ để ngăn việc xóa phiên bản đối tượng trước Ngày hết hạn lưu giữ hoặc Ngày hết hạn lưu giữ vì mục đích pháp lý đã xác định sẵn.

Object Ownership

Object Ownership

Amazon S3 Object Ownership vô hiệu hóa Danh sách kiểm soát truy cập (ACL), thay đổi quyền sở hữu tất cả đối tượng thành chủ sở hữu vùng lưu trữ và đơn giản hóa quy trình quản lý quyền truy cập cho dữ liệu được lưu trữ trong S3. Khi bạn cấu hình chế độ cài đặt Do chủ sở hữu vùng lưu trữ thực thi trong S3 Object Ownership, ACL sẽ không còn ảnh hưởng đến quyền đối với vùng lưu trữ của bạn và các đối tượng trong đó. Toàn bộ việc kiểm soát truy cập sẽ được xác định bằng các chính sách dựa trên tài nguyên, chính sách người dùng hoặc kết hợp những chính sách này. Để biết thêm thông tin, vui lòng xem phần Kiểm soát Object Ownership.

Quản lý danh tính và truy cập

Quản lý danh tính và truy cập

Theo mặc định, tất cả tài nguyên Amazon S3 – vùng lưu trữ, đối tượng và các tài nguyên phụ có liên quan – đều được đặt là riêng tư: chỉ có chủ sở hữu tài nguyên (tài khoản AWS tạo ra tài nguyên đó) mới có thể truy cập tài nguyên. Amazon S3 cung cấp các tùy chọn chính sách truy cập được phân loại theo phạm vi rộng là chính sách dựa trên tài nguyên và chính sách người dùng. Bạn có thể chọn sử dụng chính sách dựa trên tài nguyên, chính sách người dùng hoặc kết hợp những chính sách này để quản lý quyền đối với tài nguyên Amazon S3 của mình. Theo mặc định, một đối tượng S3 thuộc sở hữu của tài khoản đã tạo đối tượng, kể cả khi tài khoản đó không phải chủ sở hữu vùng lưu trữ. Bạn có thể dùng S3 Object Ownership để vô hiệu hoá Danh sách kiểm soát truy cập và thay đổi hành vi này. Nếu bạn làm như vậy, mỗi đối tượng trong một vùng lưu trữ sẽ thuộc sở hữu của chủ sở hữu vùng lưu trữ. Để biết thêm thông tin, hãy xem phần Quản lý danh tính và quyền truy cập trong Amazon S3.

Amazon Macie

Amazon Macie

Phát hiện và bảo vệ dữ liệu nhạy cảm trên quy mô lớn trong Amazon S3 bằng Amazon Macie. Macie tự động cung cấp cho bạn bản kê đầy đủ về vùng lưu trữ S3 bằng cách quét các vùng lưu trữ để xác định và phân loại dữ liệu. Bạn nhận được kết quả phát hiện về bảo mật có thể hành động, trong đó liệt kê mọi dữ liệu khớp với các loại dữ liệu nhạy cảm này, bao gồm cả thông tin nhận dạng cá nhân (PII) (ví dụ: tên khách hàng và số thẻ tín dụng), và các danh mục được xác định theo các quy định về quyền riêng tư, chẳng hạn như GDPR và HIPAA. Macie cũng tự động và liên tục đánh giá các biện pháp kiểm soát phòng ngừa cấp độ vùng lưu trữ cho bất kỳ vùng lưu trữ nào đang không được mã hóa, có thể truy cập công cộng hoặc được chia sẻ với các tài khoản bên ngoài tổ chức của bạn, cho phép bạn nhanh chóng xác định các cài đặt không mong muốn trên các vùng lưu trữ.

Mã hóa

Mã hóa

Amazon S3 hỗ trợ cả mã hóa phía máy chủ (với 3 tùy chọn quản lý khóa: SSE-KMS, SSE-C, SSE-S3) và mã hóa phía máy khách để tải dữ liệu lên. Amazon S3 cung cấp các tính năng bảo mật linh hoạt để ngăn không cho người dùng trái phép truy cập dữ liệu của bạn. Bạn có thể kết nối với tài nguyên S3 từ Amazon Virtual Private Cloud (Amazon VPC) bằng cách sử dụng điểm cuối VPC. Sử dụng Kho S3 để kiểm tra trạng thái mã hóa của đối tượng S3 (xem quản lý lưu trữ để biết thêm thông tin về Kho S3).

AWS Trusted Advisor

AWS Trusted Advisor

Trusted Advisor kiểm tra môi trường AWS của bạn rồi đưa ra các đề xuất khi có cơ hội để hỗ trợ khắc phục lỗ hổng bảo mật. 

Trusted Advisor có các hoạt động kiểm tra liên quan đến Amazon S3 như sau: ghi nhật ký cấu hình của vùng lưu trữ Amazon S3, kiểm tra bảo mật cho các vùng lưu trữ Amazon S3 có quyền truy cập mở, cũng như kiểm tra khả năng chịu lỗi của các vùng lưu trữ Amazon S3 không bật quản lý phiên bản hoặc đang tạm dừng quản lý phiên bản.

AWS PrivateLink dành cho S3

Truy cập trực tiếp vào Amazon S3 dưới dạng một điểm cuối riêng tư trong mạng ảo an toàn của bạn với AWS PrivateLink dành cho S3. Đơn giản hóa kiến trúc mạng của bạn bằng cách kết nối với S3 tại chỗ hoặc trên nền tảng đám mây bằng địa chỉ IP riêng từ Đám mây riêng ảo (VPC) của bạn. Bạn không còn cần phải dùng IP công cộng, định cấu hình quy tắc tường lửa hoặc định cấu hình cổng internet để truy cập S3 từ các vị trí tại chỗ.

Xác minh tính toàn vẹn của dữ liệu

Xác minh tính toàn vẹn của dữ liệu

Lựa chọn từ 4 thuật toán giá trị tổng kiểm được hỗ trợ (SHA-1, SHA-256, CRC32 hoặc CRC32C) để kiểm tra tính toàn vẹn của dữ liệu trong yêu cầu tải lên và tải xuống của bạn. Tự động tính toán và xác minh giá trị tổng kiểm khi bạn lưu trữ hoặc truy xuất dữ liệu từ Amazon S3, đồng thời truy cập thông tin về giá trị tổng kiểm bất cứ lúc nào bằng S3 API GetObjectAttributes hoặc báo cáo Kho S3.

Cách thức hoạt động

  • AWS PrivateLink dành cho Amazon S3
  • Amazon Macie
  • S3 Block Public Access
  • Amazon GuardDuty dành cho S3
  • AWS PrivateLink dành cho Amazon S3
  • Thiết lập kết nối riêng tư trực tiếp tại chỗ tới Amazon S3. Để bắt đầu, vui lòng đọc tài liệu hướng dẫn AWS PrivateLink dành cho S3

    Bảo mật với AWS PrivateLink dành cho S3
  • Amazon Macie
  • Phát hiện và bảo vệ dữ liệu nhạy cảm trên quy mô lớn. Để bắt đầu với Amazon Macie, vui lòng truy cập trang web.

    Bảo mật với Amazon Macie
  • S3 Block Public Access
  • Chặn tất cả các truy cập công khai vào Amazon S3 ngay bây giờ và trong tương lai. Để tìm hiểu thêm về S3 Block Public Access, vui lòng truy cập trang web.

    Bảo mật với S3 Block Public Access
  • Amazon GuardDuty dành cho S3
  • Bảo vệ dữ liệu Amazon S3 của bạn nhờ tính năng phát hiện mối đe dọa thông minh và giám sát liên tục. Để tìm hiểu thêm về Amazon GuardDuty dành cho Amazon S3, vui lòng truy cập trang web.

    Bảo mật với Amazon GuardDuty dành cho S3

Hướng dẫn và phương pháp tốt nhất để quản lý truy cập và bảo mật

Khi tạo và theo mặc định, tất cả tài nguyên S3 là riêng tư và chỉ chủ sở hữu tài nguyên hoặc quản trị viên tài khoản mới có thể truy cập. Thiết kế bảo mật này cho phép bạn định cấu hình các chính sách truy cập được điều chỉnh phù hợp với các yêu cầu về tổ chức, quản trị, bảo mật và tuân thủ. Bạn có thể sử dụng S3 Block Public Access để hạn chế tất cả các yêu cầu truy cập vào dữ liệu của mình. S3 cũng cho phép bạn chọn trong số các tùy chọn mã hóa khác nhau. Xem các video dưới đây để tìm hiểu thêm.

Các phương pháp tốt nhất để quản lý truy cập và bảo mật của Amazon S3 (28:08)

Quản lý truy cập và bảo mật

Giới thiệu về khả năng quản lý truy cập và bảo mật của S3 (1:43)

Đặt cấu hình cho chính sách truy cập của S3

Đặt cấu hình cho chính sách quản lý truy cập (6:28)

Tùy chọn mã hóa S3

Tùy chọn mã hóa S3 (1:22)

Hướng dẫn dành cho nhà phát triển: Bảo vệ dữ liệu bằng mã hóa »
(với các chi tiết cho các tùy chọn phía máy chủ và phía máy khách)

Blog về bảo mật của S3

Blog tin tức về AWS


Amazon Macie đã được định giá “nhẹ hơn” đáng kể

Amazon Macie là dịch vụ được quản lý toàn phần giúp bạn phát hiện và bảo vệ các dữ liệu nhạy cảm, sử dụng máy học để tự động phát hiện và phân loại dữ liệu cho bạn. Giờ đây, cách định giá đơn giản, bạn sẽ trả phí dựa trên số lượng vùng lưu trữ S3 được đánh giá và lượng dữ liệu được xử lý cho các tác vụ phát hiện dữ liệu nhạy cảm. 

Đọc blog »

Blog tin tức về AWS


S3 Block Public Access - Bảo vệ tài khoản và vùng lưu trữ

Amazon S3 Block Public Access cung cấp một cấp độ bảo vệ mới hoạt động ở cấp độ tài khoản và cả trên các vùng lưu trữ riêng lẻ, bao gồm cả các vùng lưu trữ mà bạn tạo trong tương lai. Bạn có thể chặn truy cập công cộng hiện có (cho dù quyền truy cập đó được chỉ định bởi ACL hay một chính sách) và đảm bảo rằng quyền truy cập công cộng không được cấp cho các mục mới được tạo.

Đọc blog »

Blog của Werner Vogels


Cung cấp bảo mật ở quy mô lớn bằng công nghệ suy luận tự động

Zelkova cung cấp tính năng Amazon S3 Block Public Access. Block Public Access vô hiệu hóa danh sách kiểm soát truy cập công cộng (ACL) trên các vùng lưu trữ và đối tượng trong Amazon S3. Block Public Access cũng ngăn chặn các chính sách vùng lưu trữ cho phép truy cập công cộng. Đối với các chính sách hiện tại cho phép truy cập công cộng, tính năng này không cho phép truy cập từ bên ngoài tài khoản của vùng lưu trữ.

Đọc blog »

Blog về lưu trữ AWS


Amazon S3 Block Public Access và S3 Object Lock

Một trong những lý do khiến S3 rất thành công là vì chúng tôi đã tập trung vào bảo mật dữ liệu ngay từ đầu. Chúng tôi liên tục đầu tư để nâng cao tính bảo mật cho việc lưu trữ và làm việc với khách hàng để đáp ứng nhu cầu bảo mật ngày càng tăng trong khi vẫn thực hiện đúng sứ mệnh của mình để giúp đơn giản hóa việc lưu trữ.

Đọc blog »
Standard Product Icons (Features) Squid Ink
Tìm hiểu thêm về Amazon S3

Tìm hiểu về các tính năng của Amazon S3.

Tìm hiểu thêm 
Sign up for a free account
Đăng ký tài khoản miễn phí

Nhận ngay quyền sử dụng Bậc miễn phí của AWS. 

Đăng ký 
Standard Product Icons (Start Building) Squid Ink
Bắt đầu xây dựng trong bảng điều khiển

Bắt đầu xây dựng với Amazon S3 trong Bảng điều khiển quản lý AWS.

Đăng nhập