无与伦比的安全性、合规性和审核功能
将您的数据存储在 Amazon S3 中,并使用加密功能和访问管理工具保护数据不受未经授权的访问。S3 会加密上传到所有存储桶的所有对象。S3 是唯一可使您通过 S3 数据块公有访问在存储桶或账户级别阻止对您的所有对象进行公有访问的对象存储服务。S3 维护合规性计划(如 PCI-DSS、HIPAA/HITECH、FedRAMP、欧盟数据保护指令和 FISMA)以帮助您满足法规要求。AWS 还支持很多审计功能,可用于监控对 S3 资源的访问请求。
Amazon S3 安全与访问管理
为了保护您在 Amazon S3 中的数据,默认情况下用户只对自己所创建 S3 资源拥有访问权限。您可以使用以下访问管理功能之一或者功能组合来向其他用户授予访问权限:AWS Identity and Access Management (IAM)(创建用户并管理其相应的访问权限);访问控制列表 (ACL)(使单独的对象可供授权用户访问);存储桶策略(配置单个 S3 存储桶中所有对象的访问权限);以及查询字符串身份验证(通过临时 URL 向其他用户授予限时访问权限)。Amazon S3 还支持审核日志,其中列出对您 S3 资源发出的请求,从而清楚地了解谁访问了哪些数据。
S3 屏蔽公共访问权限
只需在 S3 管理控制台中点击几下,您就可以将 S3 屏蔽公共访问权限应用到账户中的每一个存储桶(包括现有以及未来创建的任何新的存储桶),确保屏蔽对任何对象的公共访问权限。默认情况下,所有新存储桶都启用了“屏蔽公共访问权限”。要限制对账户中所有现有存储桶的访问权限,可以在账户级别启用阻止公共访问。S3 屏蔽公共访问权限设置优先于允许公共访问的 S3 权限,从而让账户管理员可以轻松设置集中控制,以防止安全性配置的变动,而不考虑对象的添加方式或存储桶的创建方式。
S3 对象锁定
Amazon S3 对象锁定功能可以在客户定义的保留期内阻止删除对象版本,让您能够通过实施保留策略来进一步保护数据或满足监管要求。您可将工作负载从现有的一次写入多次读取(WORM)系统迁移到 Amazon S3,并在对象级别或存储桶级别配置 S3 对象锁定,防止在预定义的保留到期日期或依法保留日期之前删除对象版本。
S3 对象所有权
Amazon S3 对象所有权禁用了访问控制列表 (ACL),将所有对象的所有权更改为存储桶拥有者,并简化了对存储在 S3 中的数据的访问管理。 当您配置 S3 对象所有权存储桶拥有者强制设置时,ACL 将不再影响您的存储桶及其中对象的权限。所有访问控制都将使用基于资源的策略、用户策略或这些策略的某种组合来定义。自动禁用新存储桶的 ACL。在迁移到基于 IAM 的存储桶策略时,您可以在启用 S3 对象所有权之前使用 S3 清单来查看存储桶中的 ACL 使用情况。有关更多信息,请参阅控制对象所有权。
身份和访问管理
默认情况下,所有 Amazon S3 资源(存储桶、对象和相关的子资源)都是私有的:只有资源拥有者、创建资源的 AWS 账户才能访问资源。Amazon S3 提供广泛分类为基于资源的策略和用户策略的访问策略选项。您可以选择使用基于资源的策略、用户策略或这些策略的组合来管理对 Amazon S3 资源的权限。 默认情况下,S3 对象归创建该对象的账户所有,包括该账户与存储桶拥有者不同的情况。您可以使用 S3 对象所有权禁用访问控制列表并更改此行为。如果这样做,存储桶中的每个对象都归存储桶所有者所有。 如需更多信息,请参阅 Amazon S3 中的身份和访问管理。
Amazon Macie
使用 Amazon Macie 大规模探索和保护 Amazon S3 中的敏感数据。Macie 通过扫描存储桶来识别和分类数据,从而自动为您提供完整的 S3 存储桶清单。您将收到列举符合这些敏感数据类型的任何数据的可行性的安全发现,包括个人身份信息 (PII)(例如客户姓名和信用卡号码)和隐私法规(如 GDPR 和 HIPAA)定义的类别。Macie 还可以自动并持续评估任何未加密、可公开访问或与组织外的账户共享的存储桶的存储桶级预防控制措施,从而使您可以快速解决存储桶上的意外设置。
加密
Amazon S3 会自动加密上传到所有存储桶的所有对象。对于对象上传,Amazon S3 支持具有四个密钥管理选项(SSE-S3(基本加密级别)、SSE-KMS、DSSE-KMS 和 SSE-C 的服务器端加密,以及客户端加密。Amazon S3 提供了灵活的安全功能,用于阻止未经授权的用户访问数据。使用 VPC 端点从您的 Amazon Virtual Private Cloud (Amazon VPC) 连接到 S3 资源。使用 S3 清单可以检查 S3 对象的加密状态(有关 S3 清单的更多信息,请参阅存储管理)。
AWS Trusted Advisor
Trusted Advisor 可检查您的 AWS 环境,并在有机会帮助弥补安全漏洞时为您提供建议。
Trusted Advisor 具有以下与 Amazon S3 相关的检查:Amazon S3 存储桶的日志记录配置、具有开放访问权限的 Amazon S3 存储桶的安全检查以及未启用版本控制或版本控制暂停的 Amazon S3 存储桶的容错检查。
适用于 S3 的 AWS PrivateLink
使用适用于 S3 的 AWS PrivateLink 在您的安全虚拟网络中将 Amazon S3 直接作为私有终端节点直接访问。使用 Virtual Private Cloud (VPC) 中的私有 IP 地址从本地或云中连接 S3,以此简化您的网络架构。您不再需要使用公有 IP、配置防火墙规则,或配置互联网网关以从本地访问 S3。
验证数据完整性
默认情况下,最新的 AWS SDK 会自动为所有上传计算有效的基于 CRC 的校验和。S3 会独立验证该校验和,并且仅在确认在公共互联网上传输时保持了数据完整性后才接受对象。如果使用不提供预先计算的校验和的 SDK 版本上传对象,S3 会计算整个对象基于 CRC 的校验和,即使是分段上传也不例外。校验和存储在对象元数据中,因此可随时用于验证数据完整性。从五种受支持的校验和算法(SHA-1、SHA-256、CRC32、CRC32C 或 CRC64NVME)中进行选择,以检查上传和下载请求的数据完整性。在 Amazon S3 中存储或检索数据时自动计算和验证校验和,并随时使用 HeadObject S3 API、GetObjectAttributes S3 API 或 S3 Inventory 报告访问校验和信息。
工作原理
-
适用于 Amazon S3 的 AWS PrivateLink
-
Amazon Macie
-
S3 阻止公有访问
-
适用于 S3 的 Amazon GuardDuty
-
适用于 Amazon S3 的 AWS PrivateLink
-
建立从本地到 Amazon S3 的直接私有连接。要开始使用,请阅读适用于 S3 的 AWS PrivateLink 文档。
-
Amazon Macie
-
大规模发现和保护您的敏感数据。要开始使用 Amazon Macie,请访问网站。
-
S3 阻止公有访问
-
现在和将来阻止所有对 Amazon S3 的公有访问。要了解有关 S3 阻止公有访问的更多信息,请访问网页。
-
适用于 S3 的 Amazon GuardDuty
Amazon S3 安全、访问管理、加密和数据保护资源
阅读 Amazon S3 安全与数据保护电子书,了解用于进行访问管理、审计和监控以及数据保护的工具和最佳实践。
在此 Amazon S3 数据保护概述视频中,您将了解 Amazon S3 中的原生数据保护功能,包括 S3 版本控制、S3 对象锁定和 S3 复制。您将简要了解这些 S3 数据保护功能,了解这些功能如何帮助您实现数据保护目标,并获得有关如何使用 Amazon S3 保护数据的有用提示。
组织不断创建关键业务数字资产并将其迁移到 Amazon S3。由于资产会跨工作流迁移和使用,因此务必确保文件不会因为网络损坏、硬盘驱动器故障或其他意外问题而更改。算法用于逐字节扫描文件,为它们生成唯一的指纹,称为校验和。在此技术讲座中,了解如何使用校验和来验证资产在复制时未被更改。探索用于加速数据完整性检查的多个 Amazon S3 校验和选项,并了解如何确认每个字节都在未更改的情况下传输,从而使您能够保持端到端的数据完整性。
严格遵守架构最佳实践和主动控制是存储安全和访问控制的基础。在此视频中,了解 Amazon S3 中数据安全的最佳实践。查看 Amazon S3 安全架构的基础知识并深入了解可用性和功能的最新增强。考虑加密、访问控制、安全监控、审计和修复的选项。
Amazon S3 会自动加密上传到所有存储桶的所有对象。对于对象上传,Amazon S3 支持具有四个密钥管理选项(SSE-S3(基本加密级别)、SSE-KMS、DSSE-KMS 和 SSE-C 的服务器端加密,以及客户端加密。Amazon S3 提供精细的访问控制,以适应任何工作负载。在本视频中,学习 Amazon S3 加密与访问控制最佳实践。
在创建时,默认情况下,所有 S3 资源都是私有的,并且只能由资源所有者或账户管理员访问。借助此安全性设计,您可以配置精细调整过的访问策略,以符合组织、监管、安全性和合规性要求。在此视频中,了解使用 AWS Identity and Access Management (AWS IAM) 和 S3 存储桶策略对数据访问的不同管理方式。
S3 专为获得 11 个 9 的持久性、强大的弹性和高可用性而设计。然而,即使是最持久的存储也无法防止无意或意外删除。此外,勒索软件事件是评估对关键数据的额外保护的主要原因。了解提供额外保护层的 S3 功能,包括 S3 版本控制、S3 Cross-Region Replication (CRR) 和 S3 对象锁定。
S3 安全博客
AWS 新闻博客
Amazon S3 默认加密新对象
Amazon S3 默认加密所有新对象。自 2023 年 1 月 5 日起,除非您指定不同的加密选项,否则 S3 会自动为每个新对象应用服务器端加密(SSE-S3)。此更改会使另一个安全最佳实践自动生效 — 这不会对性能产生任何影响,您也无需采取任何行动。
AWS 新闻博客
提醒:Amazon S3 安全更改将于 2023 年 4 月发布
从 2023 年 4 月开始,我们将对 Amazon S3 进行两项更改,以使我们最新的存储桶安全最佳实践自动生效。一旦更改对目标区域生效,该区域中所有新创建的存储桶都将默认启用 S3 阻止公共访问并禁用 ACL。
AWS 新闻博客
简化对存储在 Amazon S3 中的数据的访问管理
已实施新的 Amazon S3 对象所有权设置存储桶拥有者,让您可以禁用与存储桶及其中的对象关联的所有 ACL。当您应用此存储桶级别设置时,存储桶中的所有对象都归创建该存储桶的 AWS 账户所有,并且不再使用 ACL 授予访问权限。
AWS 新闻博客
新增功能 — 使用存储在 AWS 密钥管理服务(DSSE-KMS)中的密钥进行 Amazon S3 双层服务器端加密
客户现在可以对 Amazon S3 中的对象应用两个独立的服务器端加密层。使用存储在 AWS Key Management Service (DSSE-KMS) 中的密钥进行双层服务器端加密旨在满足国家安全局 CNSSP 15 的 FIPS 合规性标准以及静态数据功能包 (DAR CP) 5.0 版针对两层 CNSA 加密的指导意见。Amazon S3 是唯一一项允许客户在对象级别应用两层加密并控制用于两个加密层的数据密钥的云对象存储服务。