無與倫比的安全、合規和稽核功能
將資料存放在 Amazon S3,以加密功能和存取管理工具避免未經授權的存取。S3 可加密上傳至所有儲存貯體的所有物件。S3 是唯一允許您封鎖公開存取儲存貯體中您的所有物件,或具有 S3 區塊公開存取的帳戶層級的物件儲存服務。S3 遵守合規計劃,例如 PCI-DSS、HIPAA/HITECH、FedRAMP、歐盟資料保護指令和 FISMA,協助您符合法規要求。AWS 還支援許多稽核功能,以監控對 S3 資源的存取請求。
Amazon S3 安全和存取管理
為了在 Amazon S3 保護您的資料,系統預設使用者只能存取他們建立的 S3 資源。您可以使用下列其中一個存取管理功能或其組合,將存取權授與其他使用者:AWS Identity and Access Management (IAM),用來建立使用者並管理其各自存取權;存取控制清單 (ACL),用來使個別物件可供授權使用者使用;儲存貯體政策,用來針對單一 S3 儲存貯體內的所有物件設定許可;以及查詢字串身份驗證,用來利用暫時 URL 將有時間限制的存取權授與其他使用者。Amazon S3 也支援稽核日誌,其中列出針對 S3 資源提出的請求,讓您完全掌握誰正在存取什麼資料。
S3 封鎖公開存取
只需在 S3 管理主控台按幾下滑鼠,即可將 S3 封鎖公開存取套用於帳戶中的每個儲存貯體 – 包括現有的儲存貯體以及未來建立的任何新儲存貯體 – 並確保任何物件都不會被公開存取。所有新的儲存貯體預設都會啟用「封鎖公開存取」。若要限制對帳戶中所有現有儲存貯體的存取,您可以在帳戶層級啟用「封鎖公開存取」。S3 封鎖公開存取設定會覆寫允許公開存取的 S3 許可,讓帳戶管理員可以輕鬆設定集中控制,以避免不同的安全組態,無論物件的新增方式或儲存貯體的建立方式為何。
S3 Object Lock
Amazon S3 Object Lock 可阻擋在客戶定義的保留期內刪除物件版本,讓您能夠執行保留政策,為資料增加另一層的保護或符合法規規定。您可以從現有的單寫多讀 (WORM) 系統移轉工作負載至 Amazon S3,並在物件與貯體等級中設定 S3 Object Lock 防止物件版本在預設的保留期限或法律保留期限前被刪除。
S3 物件擁有權
Amazon S3 物件擁有權可停用存取控制清單 (ACL),將所有物件的擁有權變更為儲存貯體擁有者,並簡化對存放在 S3 中資料的存取管理。 在您設定 S3 物件擁有權強制執行儲存貯體擁有者時,ACL 將不再影響您的儲存貯體及其中物件的許可。所有存取控制都會使用以資源為基礎的政策、使用者政策,或這些政策的某種組合來定義。新儲存貯體的 ACL 會自動停用。遷移至以 IAM 為基礎的儲存貯體政策時,您可以使用 S3 庫存來檢閱儲存貯體中的 ACL 使用情況,然後再啟用 S3 物件擁有權。如需詳細資訊,請參閱控制物件擁有權。
Identity and Access Management
依預設,所有 Amazon S3 資源 (儲存貯體、物件和相關子資源) 均為私有:僅資源擁有者 (即建立它的 AWS 帳戶) 可存取該資源。Amazon S3 提供廣泛分類為資源型政策和使用者政策的存取政策選項。您可以選擇使用資源型政策、使用者政策或這些政策的一些組合,來管理 Amazon S3 資源的許可。 依預設,S3 物件歸建立該物件的帳戶擁有,包括該帳戶與儲存貯體擁有者不同的情況。您可以使用 S3 物件擁有權,停用存取控制清單並變更此行為。如果這樣做,儲存貯體中的每個物件都歸儲存貯體擁有者所擁有。 如需詳細資訊,請參閱 Amazon S3 中的 Identity and Access Management。
Amazon Macie
使用 Amazon Macie 大規模探索和保護 Amazon S3 中的敏感資料。Macie 透過掃描儲存貯體來識別和將資料分類,自動為您提供 S3 儲存貯體的完整庫存。您會收到可行的安全發現結果,其中列舉適合這些敏感資料類型的所有資料,包括個人身分資訊 (PII) (例如,客戶名稱和信用卡號),以及隱私權法規 (例如 GDPR 和 HIPAA) 定義的類別。Macie 還會自動和持續評估未加密、可公開存取,或與組織外的帳戶共用的任何儲存貯體的儲存貯體層預防性控制,從而讓您快速應對儲存貯體上的意外設定。
加密
Amazon S3 會自動加密上傳至所有儲存貯體的所有物件。針對物件上傳,Amazon S3 支援具有四個金鑰管理選項的伺服器端加密:SSE-S3 (基本加密級別)、SSE-KMS、DSSE-KMS 和 SSE-C,以及用戶端加密。Amazon S3 提供彈性的安全功能,以防止未獲授權的使用者存取您的資料。使用 VPC 端點從 Amazon Virtual Private Cloud (Amazon VPC) 連接至 S3 資源。使用 S3 Inventory 來檢查 S3 物件的加密狀態 (如需 S3 Inventory 的詳細資訊,請參閱儲存管理)。
AWS Trusted Advisor
Trusted Advisor 會檢查您的 AWS 環境,然後在機會出現時提供建議,協助消除安全漏洞。
Trusted Advisor 會執行以下 Amazon S3 相關檢查:記錄 Amazon S3 儲存貯體的組態、針對具有公有存取許可的 Amazon S3 儲存貯體的安全檢查、以及針對未啟用版本控制或版本控制已暫停的 Amazon S3 儲存貯體的容錯能力檢查。
AWS PrivateLink for S3
使用 AWS PrivateLink for S3 直接作為安全虛擬網絡中的私有端點存取 Amazon S3。透過使用 Virtual Private Cloud (VPC) 中的私有 IP 地址從內部部署或雲端連接至 S3,來簡化您的網路架構。您不再需要使用公有 IP,設定防火牆規則,或設定網際網路閘道,即可從內部部署存取 S3。
驗證資料完整性
依預設,最新的 AWS SDK 會自動計算所有上傳的高效率 CRC 型檢查總和。S3 會獨立驗證這些檢查總和,並且僅會在確認資料於公用網際網路傳輸中依然維持完整性後接受物件。如果使用不提供預先計算的檢查總和的 SDK 版本來上傳物件,則 S3 會計算整個物件的 CRC 型檢查總和,即使是分段上傳。檢查總和儲存在物件中繼資料中,因此可以隨時驗證資料完整性。從五種受支援的檢查總和演算法 (SHA-1、SHA-256、CRC32、CRC32C 或 CRC64NVME) 中進行選擇,以對上傳和下載請求進行資料完整性檢查。在您從 Simple Storage Service (Amazon S3) 存放或擷取資料時自動計算和驗證檢查總和,並且可以隨時使用 HeadObject S3 API、GetObjectAttributes S3 API 或 S3 庫存報告存取檢查總和資訊。
運作方式
-
AWS PrivateLink for Amazon S3
-
Amazon Macie
-
S3 封鎖公開存取
-
Amazon GuardDuty for S3
-
AWS PrivateLink for Amazon S3
-
建立從內部部署至 Amazon S3 的直接私有連線。若要開始使用,請閱讀 AWS PrivateLink for S3 文件。
-
Amazon Macie
-
大規模探索及保護您的敏感資料。若要開始使用 Amazon Macie,請造訪網站。
-
S3 封鎖公開存取
-
封鎖現在或未來所有對 Amazon S3 進行的公開存取。若要進一步了解 S3 封鎖公開存取,請造訪網頁。
-
Amazon GuardDuty for S3
Amazon S3 安全、存取管理、加密和資料保護資源
閱讀《Amazon S3 安全性與資料保護》電子書,了解存取管理、稽核與監控及資料保護的工具和最佳實務。
在此 Amazon S3 資料保護概觀影片中,您將了解 Amazon S3 中的原生資料保護功能,包括 S3 版本控制、S3 物件鎖定和 S3 複寫。您將簡要了解這些 S3 資料保護功能,了解這些功能如何協助您實現資料保護目標,並獲得有關如何使用 Amazon S3 保護資料的有用提示。
組織不斷建立業務關鍵型數位資產並將其遷移至 Amazon S3。隨著資產在工作流程中遷移和使用,務必確保檔案不因網路損壞、硬碟故障或其他意外問題而更改。演算法用於逐位元組掃描檔案,以便為其產生不重複的指紋,稱為檢查總和。在這個技術講座中,了解如何使用檢查總和來驗證資產在複製時未被變更。探索用於加速資料完整性檢查的多個 Amazon S3 檢查總和選項,並了解如何確認每個位元組都在未變更的情況下傳輸,從而讓您能夠保持端對端的資料完整性。
嚴格遵守架構最佳實務和主動控制是儲存安全和存取控制的根本。在本影片中,了解 Amazon S3 中資料安全的最佳實務。檢閱 Amazon S3 安全架構的基礎知識,並深入了解可用性和功能的最新增強。考慮加密、存取控制、安全監控、稽核以及修復選項。
Amazon S3 會自動加密上傳至所有儲存貯體的所有物件。針對物件上傳,Amazon S3 支援具有四個金鑰管理選項的伺服器端加密:SSE-S3 (基本加密級別)、SSE-KMS、DSSE-KMS 和 SSE-C,以及用戶端加密。Amazon S3 提供精細的存取控制,以適應任何工作負載。在本影片中,了解 Amazon S3 加密與存取控制最佳實務。
所有 S3 資源於建立時預設皆為私有,只能由資源擁有者或帳戶管理員存取。此安全性設計能讓您設定精細的存取政策,以符合組織、政府、安全性及合規性上的要求。在這個影片中,您將了解使用 AWS Identity and Access Management (IAM) 和 S3 儲存貯體政策來管理資料存取的不同方式。
S3 專為 99.999999999% 的耐久性、強大的彈性和高可用性而設計。然而,即使是最持久的儲存也無法防止無意或意外刪除。此外,勒索軟體事件是評估對關鍵資料的額外保護的主要原因。了解提供額外保護層的 S3 功能,包括 S3 版本控制、S3 跨區域複製 (CRR) 和 S3 物件鎖定。
S3 安全性部落格
AWS 新聞部落格
Amazon S3 預設會加密新物件
Amazon S3 預設會加密所有新物件。自 2023 年 1 月 5 日起,除非您指定不同的加密選項,否則 S3 會自動為每個新物件套用伺服器端加密 (SSE-S3)。此變更會使另一個安全最佳實務自動生效,對效能沒有影響,您也無需採取任何動作。
AWS 新聞部落格
注意:Amazon S3 安全變更將於 2023 年 4 月推出
自 2023 年 4 月開始,我們將對 Amazon S3 進行兩項變更,以使我們最新的儲存貯體安全最佳實務自動生效。一旦變更對目標區域生效,該區域中所有新建立的儲存貯體將預設會啟用 S3 封鎖公有存取並停用 ACL。
AWS 新聞部落格
簡化存放在 Amazon S3 中資料的存取管理
強制執行儲存貯體擁有者是一項全新的 Amazon S3 Object Ownership 設定,可讓您停用與儲存貯體及其中物件關聯的所有 ACL。當您套用此儲存貯體級別設定時,儲存貯體中的所有物件都歸建立該儲存貯體的 AWS 帳戶所擁有,並且不再使用 ACL 授予存取權。
AWS 新聞部落格
新 – 使用存放在 AWS Key Management Service (DSSE-KMS) 中的金鑰進行 Amazon S3 雙層伺服器端加密
客戶現在可將兩個獨立的伺服器端加密層套用至 Amazon S3 中的物件。使用存放在 AWS Key Management Service (DSSE-KMS) 中的金鑰進行雙層伺服器端加密,旨在符合國家安全局 CNSSP 15 針對兩層 CNSA 加密的 FIPS 合規性和靜態資料功能套件 (DAR CP) 5.0 版指引。Amazon S3 是唯一可讓客戶在物件層級套用兩層加密,並控制用於兩層的資料金鑰的雲端物件儲存服務。