Возможности Amazon S3

С помощью Объектива хранения данных Amazon S3 пользователь может получить наглядное представление об использовании объектного хранилища, тенденциях активности в масштабах организации, а также практические рекомендации по повышению рентабельности и применению передовых методов защиты данных. Объектив хранения данных Amazon S3 – это первый инструмент для аналитической обработки данных облачного хранилища, с помощью которого можно получить единое представление об использовании и активности объектного хранилища в сотнях или даже тысячах учетных записей организации, а также детальные данные для составления аналитических оценок на уровне учетной записи, сегмента или даже префикса. В основу Объектива хранения данных S3 положено более 16 лет опыта помощи клиентам в оптимизации хранения данных. Благодаря этому он выполняет анализ количественных показателей в масштабах всей организации и предоставляет ситуативные рекомендации относительно снижения затрат на хранение и применения передовых методов защиты данных. 

Amazon S3 Storage Class Analysis анализирует шаблоны доступа к хранилищам, благодаря чему вы сможете решить, когда переносить определенные данные в хранилище более подходящего класса. Возможность Amazon S3 позволяет изучить шаблоны доступа к данным и определить, когда нужно перевести хранилища, которые используются менее часто, в класс хранилища с меньшей стоимостью. Результат можно использовать для улучшения политик жизненного цикла S3. Аналитику классов хранилищ можно настроить таким образом, чтобы осуществлялся анализ всех объектов в корзине. Также можно настроить фильтры, благодаря которым объекты для анализа будут группироваться по общему префиксу, тэгу объекта или по обоим параметрам сразу. Подробные сведения см. на странице со статистикой и аналитикой хранения данных.

Таблицы Amazon S3 – это первое облачное хранилище объектов со встроенной поддержкой формата открытых таблиц и самый простой способ хранения табличных данных в нужном масштабе. Таблицы S3 оптимизированы для аналитических рабочих нагрузок и способны обеспечивать втрое большую производительность запросов и обрабатывать в 10 раз больше транзакций в секунду, чем самостоятельно управляемые таблицы. Таблицы S3 поддерживают стандарт Apache Iceberg и легко запрашиваются популярными движками запросов AWS и сторонних разработчиков. Кроме того, в Таблицах S3 предусмотрено непрерывное обслуживание таблиц для автоматической оптимизации эффективности запросов и затрат на хранение с течением времени даже в условиях масштабирования и развития озера данных. Доступна ознакомительная версия интеграции Таблиц S3 с каталогом данных AWS Glue, которая позволяет передавать, запрашивать и визуализировать данные, включая таблицы метаданных S3, с использованием аналитических сервисов AWS, таких как Amazon Data Firehose, Amazon Athena, Amazon Redshift, Amazon EMR и Amazon QuickSight.

В таблицах S3 используются сегменты таблиц – тип корзины, специально созданный для хранения табличных данных. С помощью сегментов таблиц можно легко создавать таблицы и настраивать разрешения на уровне таблиц для управления доступом к озеру данных. После этого в таблицы можно загружать данные и запрашивать их с помощью стандартного SQL, а также использовать расширенные аналитические возможности Apache Iceberg, такие как транзакции на уровне строк, снимки с возможностью запроса, развитие схем и многое другое. В корзинах таблиц также доступно обслуживание таблиц на основе политик, что помогает автоматизировать такие эксплуатационные задачи, как сжатие, управление снимками и удаление файлов без ссылок.

Amazon S3 поддерживает локализацию и изоляцию данных, когда необходимо их хранение в определенном периметре. Если ваши требования к локализации данных не могут быть выполнены в существующем регионе AWS, вы можете использовать классы хранилищ S3 для выделенных локальных зон AWS или S3 на стойках Outposts для хранения данных в определенном периметре. Это расширяет наше Обязательство AWS по цифровому суверенитету, в соответствии с которым мы предоставляем клиентам AWS наиболее совершенный инструментарий и функции для контроля суверенитета данных в облаке.

Для защиты данных в Amazon S3 по умолчанию пользователям предоставляется доступ только к созданным ими ресурсам S3. Вы можете предоставить доступ другим пользователям с помощью одной из следующих возможностей управления доступом или их сочетания: Управление идентификацией и доступом AWS (IAM) для создания пользователей и управления их доступом, списки контроля доступа (ACL) для предоставления доступа к отдельным объектам авторизованным пользователям, политики корзины для настройки разрешений для всех объектов в одной корзине S3, точки доступа S3 для упрощения управления доступом к наборам общих данных путем создания точек доступа с именами и разрешениями для каждого приложения или набора приложений, разрешения на доступ к S3 для масштабирования разрешений данных путем автоматического предоставления конечным пользователям доступ к S3 в соответствии с особенностями организации, а также аутентификация строки запроса для предоставления ограниченного во времени доступа другим пользователям с помощью временных URL-адресов. Amazon S3 также поддерживает журналы аудита, которые сохраняют запросы к ресурсам S3 для контроля действий пользователей и данных, которые они запрашивают.

Amazon S3 предоставляет гибкие возможности обеспечения безопасности для предотвращения доступа неавторизованных пользователей к данным. С помощью адреса VPC можно подключаться к ресурсам S3 из Amazon Virtual Private Cloud (Amazon VPC) и из локальной среды. Amazon S3 шифрует все новые данные, загруженные в любую корзину (по состоянию на 5 января 2023 года). Amazon S3 поддерживает шифрование на стороне сервера (с четырьмя вариантами управления ключами) и шифрование на стороне клиента для загрузки данных (дополнительные сведения о шифровании данных с помощью S3 см. в Руководстве пользователя Amazon S3). Используйте S3 Inventory для проверки статуса шифрования объектов S3 (подробнее об S3 Inventory см. в разделе об управлении хранилищем).

S3 Block Public Access – это набор механизмов контроля безопасности, который позволяет запретить публичный доступ к корзинам и объектам S3. По умолчанию Block Public Access включен во всех новых корзинах. Достаточно нескольких нажатий клавиш в консоли Amazon S3, чтобы применить параметры S3 Block Public Access ко всем корзинам аккаунта AWS или только к некоторым корзинам S3. После того как параметры применены к аккаунту AWS, все существующие или новые корзины и объекты, связанные с этим аккаунтом, будут наследовать параметры, запрещающие публичный доступ. Параметры Amazon S3 Block Public Access переопределяют другие разрешения S3. Благодаря этому администратору аккаунта легко обеспечить применение политики «Запрет публичного доступа» независимо от способа добавления объекта или создания корзины или существующих разрешений доступа. Механизмы контроля S3 Block Public Access поддерживают аудит, что предоставляет дополнительный уровень контроля, и используют проверки разрешений корзины AWS Trusted Advisor, журналы AWS CloudTrail и предупреждения Amazon CloudWatch. Необходимо включить параметр блокирования публичного доступа для всех аккаунтов и корзин, которые не должны быть общедоступными.

S3 Object Ownership – это возможность, которая отключает списки контроля доступа (ACL) и назначает владельца корзины владельцем всех объектов в ней, что позволяет упростить управление доступом к данным, сохраненным в S3. Когда вы настраиваете в S3 Object Ownership параметр Принудительное назначение владельца корзины, для этой корзины и размещенных в ней объектов более не применяются разрешения, заданные списками контроля доступа. Любой контроль доступа после этого определяется политиками на основе ресурсов, пользовательскими политиками или их сочетанием. Перед тем как отключать списки контроля доступа, ознакомьтесь с соответствующими списками для корзины и объекта. Чтобы определить запросы Amazon S3, требующие для авторизации списки контроля доступа, используйте поле aclRequired в или .

Используя точки доступа S3 для сервиса Виртуальное частное облако (VPC), можно легко защитить брандмауэром данные S3 в своей частной сети. Кроме того, с помощью политик управления сервисами AWS можно требовать, чтобы для всех новых точек доступа S3 в организации действовало ограничение, разрешающее доступ только из VPC.

IAM Access Analyzer для S3 – это возможность, которая упрощает управление разрешениями по мере назначения, проверки и уточнения политик для точек доступа и корзин S3. Access Analyzer для S3 выполняет мониторинг существующих политик доступа к корзинам и предоставляет к ресурсам S3 исключительно требуемый доступ. Access Analyzer для S3 оценивает политики доступа к корзинам, что позволяет быстро отключить нежелательный доступ к любой корзине. При проверке результатов, указывающих на возможный общий доступ к корзине, можно заблокировать публичный доступ к корзине одним нажатием в консоли S3. В целях аудита результаты работы сервиса Access Analyzer для S3 можно загрузить в виде CSV‑отчета. Кроме того, по мере авторизации политик S3 на консоли S3 отображаются предупреждения, ошибки и предложения в разрезе безопасности от IAM Access Analyzer. Консоль автоматически проводит более 100 проверок политик для подтверждения ваших политик. Эти проверки экономят ваше время, а также предоставляют возможность исправить ошибки и применить рекомендации в отношении безопасности.

С помощью IAM легче анализировать доступ и уменьшить число разрешений для предоставления минимума полномочий путем проставления метки времени с информацией о том, когда пользователь или роль в последний раз использовали S3 и выполняли связанные с этим действия. Используйте информацию о последнем доступе, чтобы анализировать доступ к S3, идентифицировать неиспользованные разрешения и уверенно удалять их. Подробные сведения см. в разделе Refining Permissions Using Last Accessed Data.

Сервис Amazon Macie можно использовать для обнаружения и защиты конфиденциальных данных, которые хранятся в Amazon S3. Macie автоматически собирает полный реестр S3 и непрерывно оценивает каждую корзину, чтобы предупреждать о наличии любых общедоступных или незашифрованных корзин, а также корзин, совместно используемых с аккаунтами AWS за пределами организации или реплицируемых в такие аккаунты. Затем сервис Macie применяет методы машинного обучения и сопоставления с шаблонами к выбранным корзинам, чтобы распознавать конфиденциальные данные, например персональную информацию, и отправлять уведомления о них. По мере генерирования отчетов о безопасности рассылаются события Amazon CloudWatch, что облегчает интеграцию с существующими системами управления рабочими процессами, а также позволяет запустить автоматическое устранение неполадок с помощью сервисов типа AWS Step Functions и выполнять такие действия, как закрытие общедоступной корзины или добавление тегов ресурсов.

AWS PrivateLink для S3 обеспечивает частное подключение между Amazon S3 и локальной средой. Вы можете предоставить интерфейсные адреса VPC для S3 в VPC для подключения локальных приложений непосредственно к S3 по AWS Direct Connect или AWS VPN. Запросы к конечным точкам интерфейса VPC для S3 автоматически перенаправляются в S3 по сети Amazon. Вы можете создать группы безопасности и настроить политики конечных точек VPC для конечных точек интерфейса VPC, чтобы пользоваться дополнительными возможностями управления доступом.

Подробнее см. в разделах об управлении доступом и безопасности в S3, защите данных в Amazon S3, а также в электронной книге по безопасности и защите данных S3.

Обмен данными AWS для Amazon S3 ускоряет время получения информации благодаря прямому доступу к данным Amazon S3 от поставщиков данных. Обмен данными AWS для Amazon S3 помогает легко искать данные, подписываться на них и использовать файлы данных сторонних производителей для оптимизации затрат на хранение, упрощенного управления лицензированием данных и многого другого. Эта функция предназначена для абонентов, которые хотят легко использовать файлы данных сторонних производителей для анализа данных с помощью сервисов AWS без необходимости создавать копии данных или управлять ими. Это также полезно для поставщиков данных, которые хотят предложить доступ к данным, размещенным в корзинах Amazon S3.

Как только подписчики получают право на набор данных в сервисе обмена данными AWS для Amazon S3, они могут начать анализ данных без необходимости создавать собственные корзины S3, копировать файлы данных в эти корзины S3 или вносить соответствующую плату за хранение. Анализ данных можно проводить с помощью таких сервисов AWS, как Amazon Athena, «Хранилище функций Amazon SageMaker» или Amazon EMR. Подписчики получают доступ к тем же объектам S3, которые поддерживает поставщик данных, и поэтому всегда используют самые актуальные данные, без дополнительной инженерной или операционной работы. Поставщики данных могут легко установить сервис обмена данными AWS для Amazon S3 поверх существующих корзин S3 для предоставления прямого доступа ко всей корзине S3 или к определенным префиксам и объектам S3. После установки сервис обмена данными AWS автоматически управляет подписками, правами, выставлением счетов и оплатой.

В Amazon S3 предоставляется лучшая в отрасли производительность для хранения объектов в облаке. Amazon S3 поддерживает параллельные запросы, благодаря чему производительность S3 можно масштабировать с помощью коэффициента вычислительного кластера, не внося изменения в приложение. Производительность масштабируется для каждого префикса, благодаря чему для достижения необходимой пропускной способности можно параллельно использовать необходимое количество префиксов. Количество префиксов не ограничено. В Amazon S3 можно осуществлять не менее 3500 запросов в секунду на добавление данных и 5500 запросов в секунду на их извлечение. Каждый префикс S3 может обеспечивать такие значения, благодаря чему значительно повысить производительность довольно просто.

Для достижения такой скорости обработки запросов в S3 не нужно настраивать генерацию случайных префиксов объектов. Это означает, что можно использовать логический или последовательный шаблон присвоения имен объектам S3 без отрицательного влияния на производительность. Чтобы получить актуальную информацию об оптимизации производительности в Amazon S3, см. рекомендации по повышению производительности в Amazon S3 и шаблоны производительности в Amazon S3.