Kemampuan keamanan, kepatuhan, dan audit tak tertandingi

Simpan data Anda di Amazon S3 dan lindungi dari akses tidak sah dengan fitur enkripsi serta alat manajemen akses. S3 mengenkripsi semua unggahan objek ke semua bucket. S3 adalah satu-satunya layanan penyimpanan objek yang memungkinkan Anda untuk memblokir akses publik ke semua objek Anda pada tingkat bucket atau akun dengan S3 Block Public Access. S3 mengelola program kepatuhan, seperti PCI-DSS, HIPAA/HITECH, FedRAMP, EU Data Protection Directive, dan FISMA, untuk membantu Anda memenuhi persyaratan hukum. AWS juga mendukung berbagai kemampuan audit untuk memantau permintaan akses ke sumber daya S3 Anda.

Pengantar manajemen & keamanan akses Amazon S3 (3:05)

Keamanan dan pengelolaan akses Amazon S3

Untuk melindungi data Anda di Amazon S3, secara default, pengguna hanya dapat mengakses ke sumber daya S3 yang dibuatnya. Anda dapat mengizinkan pengguna lain dengan menggunakan salah satu atau kombinasi fitur pengelolaan akses berikut: AWS Identity and Access Management (IAM) untuk membuat pengguna dan mengelola aksesnya masing-masing; Access Control Lists (ACL) agar masing-masing objek dapat diakses pengguna sah; kebijakan bucket untuk mengonfigurasi izin bagi semua objek di dalam satu bucket S3; dan Otentikasi String Permintaan untuk mengizinkan akses berbatas waktu kepada yang lain dengan URL sementara. Amazon S3 juga mendukung Log Audit yang membuat daftar permintaan terhadap sumber daya S3 Anda untuk visibilitas lengkap tentang siapa yang mengakses data apa.

Blokir Akses Publik S3

Blokir Akses Publik

Dengan beberapa klik di konsol manajemen S3, Anda dapat menerapkan Blokir Akses Publik S3 pada setiap bucket di akun Anda—baik bucket yang sudah ada maupun bucket baru yang akan dibuat—dan pastikan tidak ada akses publik ke objek apa pun. Semua bucket baru mengaktifkan Blokir Akses Publik secara default. Untuk membatasi akses ke semua bucket yang ada di akun, Anda dapat mengaktifkan Blokir Akses Publik di tingkat akun. Pengaturan Blokir Akses Publik S3 mengesampingkan izin S3 yang mengizinkan akses publik sehingga memudahkan administrator akun untuk menyiapkan kontrol terpusat guna mencegah variasi konfigurasi keamanan terlepas dari cara objek ditambahkan atau bucket dibuat.

Kunci Objek S3

Kunci Objek

Kunci Objek Amazon S3 memblokir penghapusan versi objek selama periode retensi yang ditentukan pelanggan sehingga Anda dapat memberlakukan kebijakan retensi sebagai lapisan perlindungan data tambahan atau untuk kepatuhan terhadap peraturan. Anda dapat memindahkan beban kerja dari sistem tulis-sekali-baca-banyak (WORM) yang ada ke dalam Amazon S3 serta mengonfigurasikan Kunci Objek S3 pada tingkat objek dan bucket untuk mencegah penghapusan versi objek sebelum Tanggal Tahan atau Tanggal Penahanan Legal yang telah ditetapkan sebelumnya.

Kepemilikan Objek S3

Kepemilikan Objek

Amazon S3 Object Ownership menonaktifkan Daftar Kontrol Akses (ACL), mengubah kepemilikan semua objek ke pemilik bucket dan menyederhanakan manajemen akses untuk data yang disimpan di S3. Saat Anda mengonfigurasi pengaturan yang diterapkan pemilik Bucket S3 Object Ownership, ACL tidak akan lagi memengaruhi izin untuk bucket Anda dan objek di dalamnya. Seluruh kontrol akses akan ditetapkan menggunakan kebijakan berbasis sumber daya, kebijakan pengguna, atau beberapa kombinasi dari keduanya. ACL secara otomatis dinonaktifkan untuk bucket baru. Anda dapat menggunakan S3 Inventory untuk meninjau penggunaan ACL di bucket sebelum mengaktifkan S3 Object Ownership saat bermigrasi ke kebijakan bucket berbasis IAM. Untuk informasi selengkapnya, lihat Mengontrol Object Ownership.

Identity and Access Management

Identity and Access Management

Secara default, semua sumber daya Amazon S3—bucket, objek, dan sub-sumber daya terkait—bersifat privat: hanya pemilik sumber daya, akun AWS yang membuatnya, yang dapat mengakses sumber daya. Amazon S3 menawarkan opsi kebijakan akses yang secara luas dikategorikan sebagai kebijakan berbasis sumber daya dan kebijakan pengguna. Anda dapat memilih untuk menggunakan kebijakan berbasis sumber daya, kebijakan pengguna, atau beberapa kombinasi dari keduanya untuk mengelola izin ke sumber daya Amazon S3 Anda. Dengan default, sebuah objek S3 dimiliki oleh akun yang membuat objek tersebut, termasuk saat akun tersebut berbeda dengan pemilik bucket. Anda dapat menggunakan S3 Object Ownership untuk menonaktifkan Daftar Kontrol Akses dan mengubah perilaku ini. Jika Anda melakukannya, setiap objek di bucket dimiliki oleh pemilik bucket. Untuk informasi selengkapnya, lihat  Identity and access management di Amazon S3.

Amazon Macie

Amazon Macie

Temukan dan lindungi data sensitif dalam skala besar di Amazon S3 dengan Amazon Macie. Macie secara otomatis memberi Anda inventaris bucket S3 yang lengkap dengan memindai bucket untuk mengidentifikasi dan mengategorikan data. Anda menerima temuan keamanan yang dapat ditindaklanjuti yang menghitung data apa pun yang sesuai dengan tipe data sensitif ini, termasuk PII (mis. nama pelanggan dan nomor kartu kredit), dan kategori yang ditentukan oleh aturan privasi, seperti GDPR dan HIPAA. Macie juga secara otomatis dan terus-menerus mengevaluasi kontrol pencegahan tingkat bucket untuk setiap bucket yang tidak dienkripsi, dapat diakses publik, atau dibagikan dengan akun di luar organisasi Anda, sehingga Anda dapat dengan cepat menangani pengaturan yang tidak diinginkan pada bucket.

Enkripsi

Enkripsi

Amazon S3 secara otomatis akan mengenkripsi semua unggahan objek ke semua bucket. Untuk unggahan objek, Amazon S3 mendukung enkripsi di sisi server dengan empat opsi manajemen kunci: SSE-S3 (tingkat dasar enkripsi), SSE-KMS, DSSE-KMS, dan SSE-C, serta enkripsi di sisi klien. Amazon S3 menawarkan fitur keamanan fleksibel untuk memblokir pengguna tidak sah agar tidak mengakses data Anda. Gunakan titik akhir VPC untuk terhubung ke sumber daya S3 dari Amazon Virtual Private Cloud (Amazon VPC) Anda. Gunakan S3 Inventory untuk memeriksa status enkripsi objek S3 Anda (lihat manajemen penyimpanan untuk info mengenai S3 Inventory selengkapnya).

Video: Gambaran umum enkripsi data Amazon S3 »

AWS Trusted Advisor

AWS Trusted Advisor

Trusted Advisor menginspeksi lingkungan AWS Anda lalu membuat rekomendasi saat terdapat peluang untuk membantu menutup celah keamanan. 

Trusted Advisor memiliki pemeriksaan terkait Amazon S3 berikut: konfigurasi pencatatan bucket Amazon S3, pemeriksaan keamanan untuk bucket Amazon S3 yang memiliki izin akses terbuka, dan pemeriksaan toleransi kesalahan untuk bucket Amazon S3 yang tidak memiliki versioning yang diaktifkan, atau memiliki versioning yang ditangguhkan.

AWS PrivateLink untuk S3

Akses Amazon S3 secara langsung sebagai endpoint pribadi di jaringan virtual Anda yang aman dengan AWS PrivateLink untuk S3. Sederhanakan arsitektur jaringan Anda dengan menghubungkan ke S3 secara on-premise atau di cloud menggunakan alamat IP pribadi dari Virtual Private Cloud (VPC). Anda tidak perlu lagi menggunakan IP publik, mengonfigurasi aturan firewall, atau mengonfigurasi gateway internet untuk mengakses S3 dari on-premise.

Verifikasi integritas data

Verifikasi integritas data

Secara default, AWS SDK terbaru secara otomatis menghitung checksum berbasis CRC yang efisien untuk semua unggahan. S3 secara independen memverifikasi checksum tersebut dan hanya menerima objek setelah mengonfirmasi bahwa integritas data terjaga saat bergerak melalui internet publik. Jika versi SDK yang tidak menyediakan checksum yang telah dihitung sebelumnya digunakan untuk mengunggah objek, S3 menghitung checksum berbasis CRC dari seluruh objek, bahkan untuk unggahan multi-bagian. Checksum disimpan dalam metadata objek dan oleh karena itu tersedia untuk memverifikasi integritas data kapan saja. Pilih dari lima algoritma checksum yang didukung (SHA-1, SHA-256, CRC32, CRC32C atau CRC64NVME) untuk memeriksa integritas data pada permintaan unggahan dan unduhan Anda. Hitung dan verifikasi checksum secara otomatis saat Anda menyimpan atau mengambil data dari Amazon S3, serta akses informasi checksum kapan pun menggunakan API S3 HeadObject, API S3 GetObjectAttributes, atau laporan Inventaris S3.

Tech Talk: Get Started with Checksums in Amazon S3 for Data Integrity Checking » Blog: Membangun checksum yang dapat diskalakan » Blog: Mengaktifkan dan memvalidasi checksum tambahan pada objek yang sudah ada di Amazon S3 »

Cara kerja

  • AWS PrivateLink untuk Amazon S3
  • Buat koneksi pribadi langsung secara on-premise ke Amazon S3. Untuk memulai, silakan baca dokumentasi AWS PrivateLink untuk S3

    Keamanan dengan AWS PrivateLink untuk S3
  • Amazon Macie
  • Temukan dan lindungi data sensitif Anda sesuai skala. Untuk memulai Amazon Macie, kunjungi situs webnya.

    Keamanan dengan Amazon Macie
  • S3 Block Public Access
  • Blokir semua akses publik ke Amazon S3 sekarang dan di kemudian hari. Untuk mempelajari selengkapnya tentang S3 Block Public Access, kunjungi situs webnya.

    Keamanan dengan S3 Block Public Access
  • Amazon GuardDuty untuk S3
  • Lindungi data Amazon S3 Anda dengan deteksi ancaman cerdas, pemantauan terus-menerus, dan pemindaian malware. Untuk mempelajari selengkapnya tentang Amazon GuardDuty untuk Amazon S3, kunjungi situs webnya.

    Keamanan dengan Amazon GuardDuty untuk S3

Sumber daya keamanan, manajemen akses, enkripsi, dan perlindungan data Amazon S3

Baca eBook Keamanan dan Perlindungan Data Amazon S3 untuk mempelajari alat dan praktik terbaik untuk manajemen akses, pengauditan dan pemantauan, serta perlindungan data.

Dalam video gambaran umum perlindungan data Amazon S3 ini, Anda akan belajar tentang fitur perlindungan data native di Amazon S3 termasuk Versioning S3, Kunci Objek S3, dan Replikasi S3. Anda akan memperoleh gambaran umum singkat mengenai tiap fitur perlindungan data S3 ini, mempelajari bagaimana fitur tersebut dapat membantu Anda memenuhi tujuan perlindungan data, dan memperoleh tip berguna mengenai cara melindungi data menggunakan Amazon S3.

Gambaran umum perlindungan data Amazon S3 - Versioning, Penguncian Objek, dan Replikasi (7:41)

Organisasi terus membuat dan memigrasikan aset digital yang penting untuk bisnis ke Amazon S3. Sambil memigrasikan dan menggunakan aset di seluruh alur kerja, Anda perlu memastikan bahwa file tetap tidak berubah karena kerusakan jaringan, kegagalan hard drive, atau masalah yang tidak disengaja lainnya. Algoritma digunakan untuk memindai file bita demi bita untuk menghasilkan sidik jari yang unik bagi file tersebut, yang dikenal sebagai checksum. Dalam obrolan teknologi ini, pelajari cara menggunakan checksum untuk memverifikasi bahwa aset tidak diubah ketika disalin. Jelajahi beberapa opsi checksum Amazon S3 untuk mempercepat pemeriksaan integritas data, dan temukan cara mengonfirmasi bahwa setiap bita ditransfer tanpa pengubahan, yang memungkinkan Anda untuk memelihara integritas data ujung ke ujung.

Mulai checksum di Amazon S3 untuk pemeriksaan integritas data (30:14)

Kepatuhan yang kuat terhadap praktik terbaik dan kontrol proaktif arsitektur adalah dasar dari keamanan penyimpanan dan kontrol akses. Dalam video ini, pelajari praktik terbaik untuk keamanan data di Amazon S3. Tinjau dasar-dasar arsitektur keamanan Amazon S3 dan selami lebih dalam peningkatan terbaru dalam kegunaan dan fungsionalitas. Pertimbangkan opsi untuk enkripsi, kontrol akses, pemantauan keamanan, audit, dan remediasi.

Praktik terbaik keamanan dan kontrol akses Amazon S3 (45:47)

Amazon S3 secara otomatis akan mengenkripsi semua unggahan objek ke semua bucket. Untuk unggahan objek, Amazon S3 mendukung enkripsi di sisi server dengan empat opsi manajemen kunci: SSE-S3 (tingkat dasar enkripsi), SSE-KMS, DSSE-KMS, dan SSE-C, serta enkripsi di sisi klien. Amazon S3 menawarkan kontrol akses terperinci yang sesuai dengan beban kerja apa pun. Dalam video ini, pelajari praktik terbaik enkripsi dan kontrol akses Amazon S3. 

Praktik terbaik enkripsi dan kontrol akses Amazon S3 (44:50)

Pada pembuatan dan secara default, semua sumber daya S3 bersifat privat dan hanya dapat diakses oleh pemilik sumber daya atau administrator akun. Desain keamanan ini memungkinkan Anda mengonfigurasi kebijakan akses yang diatur dengan baik yang selaras dengan persyaratan organisasi, tata kelola, keamanan, dan kepatuhan. Dalam video ini, pelajari berbagai cara untuk mengelola akses ke data menggunakan kebijakan AWS Identity and Access Management (IAM) dan bucket S3.

 

 

Amazon S3: Mengonfigurasi Kebijakan Akses (10:36)

S3 didesain untuk durabilitas 99,999999999% (sebelas angka 9), ketahanan yang kuat, dan ketersediaan tinggi. Namun, penyimpanan yang paling tahan lama sekalipun tidak dapat melindungi data dari penghapusan yang tidak diinginkan atau tidak disengaja. Selain itu, peristiwa ransomware adalah alasan utama untuk mengevaluasi perlindungan tambahan bagi data penting Anda. Pelajari berbagai fitur S3 yang menyediakan lapisan perlindungan tambahan, termasuk Versioning S3, Replikasi Lintas Wilayah (CRR) S3, dan Penguncian Objek S3.

Durabilitas di atas 99,999999999% (sebelas angka 9): Perlindungan data dengan Amazon S3 (54:59)

Blog Keamanan S3

Blog Berita AWS


Amazon S3 mengenkripsi objek baru secara default

Amazon S3 mengenkripsi semua objek baru secara default. Mulai 5 Januari 2023, S3 secara otomatis akan menerapkan enkripsi sisi server (SSE-S3) untuk setiap objek baru, kecuali Anda menentukan opsi enkripsi yang lain. Perubahan ini mengimplementasikan praktik terbaik keamanan lainnya secara otomatis—tanpa dampak pada performa dan Anda tidak perlu melakukan apa pun.

Baca blog »

Blog Berita AWS


Pemberitahuan: Perubahan keamanan Amazon S3 akan hadir pada April 2023

Mulai April 2023, kami akan melakukan dua perubahan pada Amazon S3 untuk mengimplementasikan praktik terbaik dan terbaru kami untuk keamanan bucket secara otomatis. Setelah perubahan diimplementasikan untuk Wilayah target, semua bucket yang baru dibuat di Wilayah tersebut akan secara default mengaktifkan Blokir Akses Publik S3 dan menonaktifkan ACL. 

Baca blog »

Blog Berita AWS


Sederhanakan manajemen akses untuk data yang disimpan di Amazon S3

Pengaturan Kepemilikan Objek Amazon S3, yang diterapkan pemilik Bucket, memungkinkan Anda menonaktifkan semua ACL yang terkait dengan bucket dan objek di dalamnya. Ketika Anda menerapkan pengaturan tingkat bucket ini, semua objek di dalam bucket akan menjadi milik akun AWS yang membuat bucket tersebut, dan ACL tidak akan lagi digunakan untuk mengizinkan akses. 

Baca blog »

BLOG BERITA AWS


Baru – Enkripsi di Sisi Server Lapis Ganda Amazon S3 dengan Kunci yang Disimpan di AWS Key Management Service (DSSE-KMS)

Sekarang, pelanggan dapat menerapkan dua lapisan independen dari enkripsi di sisi server ke objek di Amazon S3. Enkripsi di sisi server lapis ganda dengan kunci yang disimpan di AWS Key Management Service (DSSE-KMS) dirancang untuk memenuhi CNSSP 15 Badan Keamanan Nasional untuk kepatuhan FIPS dan panduan Data-at-Rest Capability Package (DAR CP) Versi 5.0 untuk dua lapisan enkripsi CNSA. Amazon S3 adalah satu-satunya layanan penyimpanan objek cloud tempat pelanggan dapat menerapkan dua lapisan enkripsi pada tingkat objek dan mengontrol kunci data yang digunakan untuk kedua lapisan tersebut.

Baca blog »
Pelajari selengkapnya tentang Amazon S3

Pelajari tentang fitur Amazon S3.

Pelajari selengkapnya 
Daftar untuk akun gratis

Dapatkan akses instan ke AWS Tingkat Gratis. 

Daftar 
Mulai membangun di konsol

Mulai merancang dengan Amazon S3 di AWS Management Console.

Masuk