Características de Amazon S3

S3 Storage Lens ofrece visibilidad del uso de almacenamiento de objetos y las tendencias de actividad en toda la organización. También realiza recomendaciones prácticas para mejorar la rentabilidad y aplicar prácticas recomendadas de protección de datos. Lente de almacenamiento de S3 es la primera solución de análisis de almacenamiento en la nube que brinda una vista única del uso de almacenamiento de objetos y la actividad a través de cientos, e incluso miles, de cuentas en una organización, con desgloses para generar información a nivel de cuenta, bucket o incluso de prefijo. Con más de 16 años de experiencia en la optimización del almacenamiento para clientes, S3 Storage Lens analiza métricas a nivel organizacional para ofrecer recomendaciones contextuales que permitan identificar formas de reducir los costos de almacenamiento y aplicar prácticas recomendadas de protección de datos. 

El análisis de clases de almacenamiento de Amazon S3 analiza los patrones de acceso al almacenamiento para ayudarlo a decidir cuándo migrar los datos correctos a la clase de almacenamiento adecuado. Esta característica de Amazon S3 observa los patrones de acceso de datos para ayudarlo a determinar cuándo migrar el almacenamiento al cual se ha accedido con menos frecuencia a una clase de almacenamiento de menor costo. Puede utilizar los resultados para mejorar sus políticas del ciclo de vida de S3. Puede configurar el análisis de la clase de almacenamiento para analizar todos los objetos en un bucket. Por el contrario, puede configurar los filtros para agrupar los objetos para su análisis de acuerdo con el prefijo común, las etiquetas de objetos, o de acuerdo con ambos. Para obtener más información, visite la página de análisis e información de almacenamiento.

Las tablas de Amazon S3 ofrecen el primer almacén de objetos en la nube con compatibilidad integrada con el formato de tabla abierta y la forma más sencilla de almacenar datos tabulares a escala. Las tablas S3 están optimizadas específicamente para las cargas de trabajo de análisis, lo que se traduce en un rendimiento de consultas hasta 3 veces más rápido y hasta 10 veces más transacciones por segundo en comparación con las tablas autoadministradas. Las tablas S3 son compatibles con el estándar de Apache Iceberg y los populares motores de consulta de AWS y de terceros las consultan fácilmente. Además, las tablas de S3 están diseñadas para realizar un mantenimiento continuo de las tablas a fin de optimizar automáticamente la eficiencia de las consultas y los costos de almacenamiento a lo largo del tiempo, incluso a medida que su lago de datos se escala y evoluciona. La integración de tablas de S3 con el Catálogo de datos de AWS Glue está en versión preliminar, lo que permite transmitir, consultar y visualizar datos (incluidas las tablas de metadatos de S3) mediante los servicios de análisis de AWS, como Amazon Data Firehose, Amazon Athena, Amazon Redshift, Amazon EMR y Amazon QuickSight.

Las tablas de S3 utilizan buckets de tablas, un tipo de bucket diseñado específicamente para almacenar datos tabulares. Con los buckets de tablas, puede crear tablas fácilmente y configurar permisos a nivel de tabla para administrar el acceso a su lago de datos. A continuación, puede cargar y consultar datos en sus tablas con SQL estándar y aprovechar las capacidades avanzadas de análisis de Apache Iceberg, como las transacciones a nivel de fila, las instantáneas que pueden consultarse, la evolución de esquemas y más. Los buckets de tablas también proporcionan un mantenimiento de tablas basado en políticas, lo que ayuda a automatizar las tareas operativas, como la compactación, la administración de instantáneas y la eliminación de archivos sin referencia.

Amazon S3 es compatible con sus casos de uso de residencia y aislamiento de datos cuando necesita almacenar datos en un perímetro de datos específico. Si tiene requisitos de residencia de los datos que una región de AWS existente no puede cumplir, puede usar las clases de almacenamiento S3 para las zonas locales dedicadas de AWS o los racks S3 on Outposts para almacenar los datos en un perímetro de datos específico. Esto amplía el Compromiso de soberanía digital de AWS, nuestro compromiso de ofrecer el conjunto más avanzado de características y controles de soberanía en la nube.

Para proteger sus datos en Amazon S3, de forma predeterminada, los usuarios solo tienen acceso a los recursos de S3 que ellos mismos crean. Para conceder acceso a otros usuarios, utilice una de las características de administración de acceso siguientes o una combinación de ellas: AWS Identity and Access Management (IAM), para crear usuarios y administrar su correspondiente acceso; listas de control de acceso (ACL), para conceder acceso a objetos individuales a usuarios autorizados; políticas de bucket, destinadas a configurar permisos para todos los objetos de un único bucket de S3; puntos de acceso de S3 para simplificar la administración del acceso de datos a conjuntos de datos compartidos con la creación de puntos de acceso con nombres y permisos específicos para cada aplicación o conjuntos de aplicaciones; S3 Access Grants para administrar los permisos de datos a escala con la concesión automática de acceso a S3 a los usuarios finales según su identidad corporativa; y autenticación con cadena de consulta para conceder acceso a otros usuarios durante tiempo limitado con URL temporales. Amazon S3 también es compatible con los registros de auditoría, que enumeran las solicitudes realizadas a los recursos de S3 para obtener visibilidad total de quién obtiene acceso a los distintos datos.

Amazon S3 ofrece características de seguridad flexibles para bloquear el acceso de usuarios no autorizados a sus datos. Utilice los puntos de enlace de VPC para conectarse a los recursos de S3 desde Amazon Virtual Private Cloud (Amazon VPC) y de manera local. Amazon S3 cifra todas las cargas de datos nuevas a cualquier bucket (al 5 de enero de 2023). Amazon S3 es compatible tanto con el cifrado en el servidor (con cuatro opciones de administración de claves) como con el cifrado en el cliente para la carga de datos (consulte la Guía del usuario de Amazon S3 para obtener más información sobre el cifrado de datos con S3). Utilice S3 Inventory para comprobar el estado de cifrado de sus objetos de S3 (consulte Administración del almacenamiento para obtener más información sobre S3 Inventory).

La solución Bloqueo del acceso público de S3 es un conjunto de controles de seguridad que garantiza que el acceso a los buckets y a los objetos de S3 no sea público. Bloqueo del acceso público se activa de forma predeterminada para todos los buckets nuevos. De manera sencilla desde la consola de Amazon S3, puede aplicar la configuración de Bloqueo del acceso público de S3 a todos los buckets de su cuenta de AWS o específicos de S3. Una vez que la configuración se aplica a una cuenta de AWS, todos los buckets y los objetos existentes o nuevos asociados a esa cuenta heredan la configuración que impide el acceso público. La configuración de S3 Block Public Access anula otros permisos de acceso de S3, lo que facilita al administrador de la cuenta la aplicación de una política de "no acceso público", independientemente de cómo se agrega un objeto o se crea un bucket o de si hay permisos de acceso existentes. Los controles de S3 Block Public Access se pueden auditar, proporcionan una capa de control adicional y utilizan las comprobaciones de permisos de bucket de AWS Trusted Advisor, los registros de AWS CloudTrail y las alarmas de Amazon CloudWatch. Debe habilitar Bloquear acceso público en todas las cuentas y los buckets a los que no quiere que se pueda acceder públicamente.

S3 Object Ownership es una característica que deshabilita las listas de control de acceso (ACL), lo que traslada la propiedad de todos los objetos al propietario del bucket y simplifica la administración del acceso para los datos almacenados en S3. Cuando define la configuración impuesta por el propietario del bucket de la propiedad del objeto de S3, las ACL ya no afectarán los permisos de su bucket y los objetos que contiene. Todo el control de acceso se definirá mediante políticas basadas en recursos, políticas de usuario o alguna combinación de estas. Antes de que desactive ACL, revise sus ACL de buckets y objetos. Para identificar solicitudes de Amazon S3 que requieren ACL para su autorización, puede utilizar el campo aclRequired en los registros de acceso de servidor de Amazon S3 o AWS CloudTrail.

Si usa los puntos de acceso de S3 restringidos a una nube privada virtual (VPC), puede establecer el firewall en sus datos de S3 dentro de su red privada con facilidad. Además, ahora puede usar las políticas de control de servicios de AWS para requerir que cualquier punto de acceso de S3 nuevo en su organización esté restringido a un acceso de la VPC solamente.

Analizador de acceso de IAM para S3 es una característica que ayuda a simplificar la administración de permisos mientras establece, verifica y ajusta las políticas para sus buckets y puntos de acceso de S3. El analizador de acceso para S3 monitorea sus políticas de acceso a los buckets existentes para verificar que proporcionen solo el acceso necesario a sus recursos de S3. El analizador de acceso para S3 evalúa sus políticas de acceso a los buckets de modo que pueda recuperar rápidamente aquellos cuyo acceso no sea necesario. Cuando revisa los resultados que muestran el acceso potencialmente compartido a un bucket, puede bloquear el acceso público a un bucket con un solo clic en la consola de S3. Para fines de auditoría, puede descargar los hallazgos del analizador de acceso para S3 como un informe CSV. Además, la consola de S3 brinda advertencias de seguridad, informa errores y ofrece sugerencias del analizador de acceso de IAM a medida que se crean las políticas de S3. La consola ejecuta automáticamente más de 100 verificaciones de políticas para validar sus políticas. Estas verificaciones permiten ahorrar tiempo, funcionan como guía para resolver errores y ayudan a aplicar las prácticas recomendadas de seguridad.

IAM facilita el análisis del acceso y reduce los permisos para lograr el privilegio mínimo mediante el ofrecimiento de la marca temporal cuando un usuario o un rol utilizó por última vez S3 y las acciones asociadas. Utilice esta información de “último acceso” a fin de analizar el acceso a S3, identificar los permisos que no se utilizaron y eliminarlos con confianza. Para obtener más información, consulte Ajuste de permisos con información sobre los últimos accesos.

Puede utilizar Amazon Macie para detectar y proteger los datos confidenciales almacenados en Amazon S3. Macie recopila automáticamente un inventario completo de S3 y evalúa continuamente todos los buckets para alertar si alguno tiene acceso público, está sin cifrar o se comparte o replica con cuentas de AWS fuera de su organización. Luego, Macie aplica las técnicas de machine learning y correspondencia de patrones en los buckets que seleccione para identificar la información confidencial y enviarle alertas sobre ella, como la información de identificación personal (PII). A medida que se generan resultados de seguridad, se entregan a Eventos de Amazon CloudWatch, lo que facilita la integración con los sistemas de flujo de trabajo existentes y activa la reparación automatizada con servicios como AWS Step Functions para tomar medidas, como cerrar un bucket público o agregar etiquetas de recursos.

AWS PrivateLink para S3 ofrece conectividad privada entre Amazon S3 y el sistema local. Puede aprovisionar sus puntos de conexión de VPC de interfaz para S3 en su VPC para conectar sus aplicaciones en las instalaciones directamente con S3 a través de AWS Direct Connect o la VPN de AWS. Las solicitudes de puntos de enlace de la VPC de interfaz para S3 se envían automáticamente a S3 a través de la red de Amazon. Puede establecer grupos de seguridad y configurar políticas de puntos de enlace de la VPC para sus puntos de enlace de la VPC de interfaz a fin de obtener controles de acceso adicionales.

Para obtener más información, consulte Administración de acceso y seguridad de Amazon S3, el libro electrónico sobre seguridad y protección de datos de S3 y Protección de los datos en Amazon S3.

AWS Data Exchange para Amazon S3 acelera el tiempo de obtención de información con el acceso directo a los datos de Amazon S3 de los proveedores de datos. AWS Data Exchange para Amazon S3 le permite encontrar archivos de datos externos, suscribirse a ellos y usarlos fácilmente a fin de optimizar los costos de almacenamiento, administrar licencias de datos de manera simplificada, etc. Está dirigido a los subscriptores que desean usar fácilmente archivos de datos externos para analizar datos con los servicios de AWS sin la necesidad de crear o administrar copias de datos. También es útil para los proveedores de datos que desean ofrecer acceso local a los datos alojados en sus buckets de Amazon S3.

Una vez que los suscriptores de datos tienen derecho a un conjunto de datos de AWS Data Exchange para Amazon S3, pueden comenzar a hacer el análisis correspondiente sin tener que configurar sus propios buckets de S3, copiar archivos de datos en ellos ni pagar las tarifas de almacenamiento asociadas. El análisis de datos se puede realizar con servicios de AWS como Amazon Athena, el Almacén de características de Amazon SageMaker o Amazon EMR. Los suscriptores acceden a los mismos objetos de S3 que mantiene el proveedor de datos y, por lo tanto, siempre utilizan los datos más actualizados disponibles, sin ingeniería ni trabajo operativo adicional. Los proveedores de datos pueden configurar fácilmente AWS Data Exchange para Amazon S3 sobre sus buckets de S3 existentes para compartir el acceso directo a un bucket completo o a prefijos y objetos específicos de S3. Después de la configuración, AWS Data Exchange administra automáticamente las suscripciones, los derechos, la facturación y el pago.

Amazon S3 proporciona un rendimiento líder en la industria para el almacenamiento de objetos en la nube. Amazon S3 admite solicitudes paralelas, lo que permite escalar el rendimiento de S3 en función del clúster de cómputo, sin tener que realizar ninguna personalización en la aplicación. El rendimiento se escala en función del prefijo, por lo que puede utilizar tantos prefijos en paralelo como necesite para lograr el rendimiento que haga falta. No existen límites para el número de prefijos. El rendimiento de Amazon S3 admite al menos 3500 solicitudes por segundo para agregar datos y 5500 solicitudes por segundo para recuperarlos. Cada prefijo S3 admite estas tasas de solicitud, lo que simplifica la tarea de incrementar significativamente el rendimiento.

Para alcanzar este rendimiento de la tasa de solicitudes en S3 no necesita aleatorizar prefijos de objetos para lograr un rendimiento más rápido. Esto significa que puede utilizar patrones de nomenclatura lógicos o secuenciales a la hora de nombrar objetos en S3 sin que el rendimiento se vea afectado. Consulte las pautas de rendimiento de Amazon S3 y los patrones de diseño de rendimiento para Amazon S3 para acceder a la información más actualizada sobre optimización de rendimiento para Amazon S3.