Mức độ bảo mật, tính tuân thủ và khả năng kiểm tra vô song
Lưu trữ dữ liệu của bạn trong Amazon S3 và ngăn chặn hành vi truy cập dữ liệu trái phép với các tính năng mã hóa và công cụ quản lý truy cập. S3 mã hóa tất cả các lượt tải đối tượng lên tất cả các vùng lưu trữ. S3 là dịch vụ lưu trữ đối tượng duy nhất cho phép bạn chặn quyền truy cập công cộng vào tất cả đối tượng trong vùng lưu trữ hoặc ở cấp tài khoản bằng tính năng Chặn quyền truy cập công cộng S3. Dịch vụ S3 duy trì các chương trình tuân thủ, chẳng hạn như PCI-DSS, HIPAA/HITECH, FedRAMP, Chỉ thị bảo vệ dữ liệu của Liên minh châu Âu và FISMA, để giúp bạn đáp ứng các yêu cầu về quy định. AWS cũng hỗ trợ nhiều khả năng kiểm tra để giám sát các yêu cầu truy cập vào tài nguyên S3 của bạn.
Khả năng quản lý bảo mật và truy cập của Amazon S3
Để bảo vệ dữ liệu của bạn trong Amazon S3, theo mặc định, người dùng chỉ có quyền truy cập vào tài nguyên S3 mà họ tạo. Bạn có thể cấp quyền truy cập cho người dùng khác bằng cách sử dụng một hoặc kết hợp các tính năng quản lý truy cập sau: AWS Identity and Access Management (IAM) để tạo người dùng và quản lý quyền truy cập tương ứng của họ; Danh sách kiểm soát truy cập (ACL) để cấp phép cho người dùng truy cập vào từng đối tượng; chính sách vùng lưu trữ để định cấu hình quyền cho tất cả đối tượng trong một vùng lưu trữ S3 và Xác thực chuỗi ký tự truy vấn để cấp quyền truy cập trong thời gian giới hạn cho người khác bằng URL tạm thời. Amazon S3 cũng hỗ trợ Bản ghi kiểm tra liệt kê các yêu cầu được tạo đối với tài nguyên S3 để bạn có được cái nhìn toàn diện về đối tượng truy cập và dữ liệu được truy cập.
Chặn truy cập công cộng trong S3
Chỉ cần một vài cú nhấp chuột trong bảng điều khiển quản lý S3 để bạn có thể áp dụng tính năng Chặn truy cập công cộng trong S3 cho mọi vùng lưu trữ trong tài khoản của mình – cả vùng lưu trữ hiện có và bất kỳ vùng lưu trữ mới nào được tạo trong tương lai – đồng thời đảm bảo rằng không có truy cập công cộng vào bất kỳ đối tượng nào. Tất cả các vùng lưu trữ mới đều được bật Chặn truy cập công cộng theo mặc định. Để hạn chế truy cập vào tất cả các vùng lưu trữ hiện có trong tài khoản của mình, bạn có thể bật Chặn truy cập công cộng ở cấp độ tài khoản. Các cài đặt Chặn truy cập công cộng trong S3 thay thế quyền S3 cho phép truy cập công cộng, giúp quản trị viên tài khoản dễ dàng thiết lập hoạt động kiểm soát tập trung để ngăn chặn sự thay đổi trong cấu hình bảo mật, bất kể cách thêm đối tượng hay cách tạo vùng lưu trữ.
Khóa đối tượng S3
Khóa đối tượng Amazon S3 chặn việc xóa phiên bản đối tượng trong một khoảng thời gian lưu giữ do khách hàng xác định, cho phép bạn thực thi các chính sách lưu giữ như một lớp bảo vệ dữ liệu bổ sung hoặc nhằm tuân thủ quy định. Bạn có thể di chuyển khối lượng công việc từ hệ thống ghi một lần đọc nhiều lần (WORM) vào Amazon S3 và cấu hình Khóa đối tượng S3 ở cấp độ đối tượng và vùng lưu trữ để ngăn việc xóa phiên bản đối tượng trước Ngày hết hạn giữ lại hoặc Ngày hết hạn lưu giữ vì mục đích pháp lý đã xác định sẵn.
S3 Object Ownership
Amazon S3 Object Ownership vô hiệu hóa Danh sách kiểm soát truy cập (ACL), thay đổi quyền sở hữu tất cả đối tượng thành chủ sở hữu vùng lưu trữ và đơn giản hóa quy trình quản lý quyền truy cập cho dữ liệu được lưu trữ trong S3. Khi bạn cấu hình chế độ cài đặt Do chủ sở hữu vùng lưu trữ thực thi trong S3 Object Ownership, ACL sẽ không còn ảnh hưởng đến quyền đối với vùng lưu trữ của bạn và các đối tượng trong đó. Toàn bộ việc kiểm soát truy cập sẽ được xác định bằng các chính sách dựa trên tài nguyên, chính sách người dùng hoặc kết hợp những chính sách này. ACL tự động tắt cho các vùng lưu trữ mới. Bạn có thể sử dụng Kiểm kê S3 để đánh giá việc sử dụng ACL trong vùng lưu trữ của mình trước khi bật tính năng Quyền sở hữu đối tượng S3 khi chuyển sang các chính sách về vùng lưu trữ dựa trên IAM. Để biết thêm thông tin, hãy xem phần Kiểm soát quyền sở hữu đối tượng.
Quản lý danh tính và truy cập
Theo mặc định, tất cả tài nguyên Amazon S3 – vùng lưu trữ, đối tượng và các tài nguyên phụ có liên quan – đều được đặt là riêng tư: chỉ có chủ sở hữu tài nguyên (tài khoản AWS tạo ra tài nguyên đó) mới có thể truy cập tài nguyên. Amazon S3 cung cấp các tùy chọn chính sách truy cập được phân loại theo phạm vi rộng là chính sách dựa trên tài nguyên và chính sách người dùng. Bạn có thể chọn sử dụng chính sách dựa trên tài nguyên, chính sách người dùng hoặc kết hợp những chính sách này để quản lý quyền đối với tài nguyên Amazon S3 của mình. Theo mặc định, một đối tượng S3 thuộc sở hữu của tài khoản đã tạo đối tượng, kể cả khi tài khoản đó không phải chủ sở hữu vùng lưu trữ. Bạn có thể dùng S3 Object Ownership để vô hiệu hoá Danh sách kiểm soát truy cập và thay đổi hành vi này. Nếu bạn làm như vậy, mỗi đối tượng trong một vùng lưu trữ sẽ thuộc sở hữu của chủ sở hữu vùng lưu trữ. Để biết thêm thông tin, hãy xem phần Quản lý danh tính và quyền truy cập trong Amazon S3.
Amazon Macie
Phát hiện và bảo vệ dữ liệu nhạy cảm trên quy mô lớn trong Amazon S3 bằng Amazon Macie. Macie tự động cung cấp cho bạn bản kê đầy đủ về vùng lưu trữ S3 bằng cách quét các vùng lưu trữ để xác định và phân loại dữ liệu. Bạn nhận được kết quả phát hiện về bảo mật có thể hành động, trong đó liệt kê mọi dữ liệu khớp với các loại dữ liệu nhạy cảm này, bao gồm cả thông tin nhận dạng cá nhân (PII) (ví dụ: tên khách hàng và số thẻ tín dụng), và các danh mục được xác định theo các quy định về quyền riêng tư, chẳng hạn như GDPR và HIPAA. Macie cũng tự động và liên tục đánh giá các biện pháp kiểm soát phòng ngừa cấp độ vùng lưu trữ cho bất kỳ vùng lưu trữ nào đang không được mã hóa, có thể truy cập công cộng hoặc được chia sẻ với các tài khoản bên ngoài tổ chức của bạn, cho phép bạn nhanh chóng xác định các cài đặt không mong muốn trên các vùng lưu trữ.
Mã hóa
Amazon S3 tự động mã hóa tất cả các lượt tải đối tượng lên tất cả các vùng lưu trữ. Đối với các lượt tải lên đối tượng, Amazon S3 hỗ trợ mã hóa phía máy chủ với bốn tùy chọn quản lý khóa: SSE-S3 (cấp độ mã hóa cơ bản), SSE-KMS, DSSE-KMS, and SSE-C, cũng như mã hóa phía máy khách. Amazon S3 cung cấp các tính năng bảo mật linh hoạt để chặn không cho người dùng trái phép truy cập dữ liệu của bạn. Bạn có thể kết nối với tài nguyên S3 từ Đám mây riêng ảo của Amazon (Amazon VPC) bằng cách sử dụng điểm cuối VPC. Sử dụng Kho S3 để kiểm tra trạng thái mã hóa của các đối tượng S3 (xem quản lý lưu trữ để biết thêm thông tin về Kho S3).
Cố vấn tin cậy AWS
Trusted Advisor kiểm tra môi trường AWS của bạn rồi đưa ra các đề xuất khi có cơ hội để hỗ trợ khắc phục lỗ hổng bảo mật.
Trusted Advisor có các hoạt động kiểm tra liên quan đến Amazon S3 như sau: ghi nhật ký cấu hình của vùng lưu trữ Amazon S3, kiểm tra bảo mật cho các vùng lưu trữ Amazon S3 có quyền truy cập mở, cũng như kiểm tra khả năng chịu lỗi của các vùng lưu trữ Amazon S3 không bật quản lý phiên bản hoặc đang tạm dừng quản lý phiên bản.
AWS PrivateLink dành cho S3
Truy cập trực tiếp vào Amazon S3 dưới dạng một điểm cuối riêng tư trong mạng ảo an toàn của bạn với AWS PrivateLink dành cho S3. Đơn giản hóa kiến trúc mạng của bạn bằng cách kết nối với S3 tại chỗ hoặc trên nền tảng đám mây bằng địa chỉ IP riêng từ Đám mây riêng ảo (VPC) của bạn. Bạn không còn cần phải dùng IP công cộng, định cấu hình quy tắc tường lửa hoặc định cấu hình cổng internet để truy cập S3 từ các vị trí tại chỗ.
Xác minh tính toàn vẹn của dữ liệu
Theo mặc định, SDK AWS mới nhất sẽ tự động tính toán giá trị tổng kiểm hiệu quả dựa trên CRC cho tất cả các lượt tải lên. S3 xác minh độc lập giá trị tổng kiểm đó và chỉ chấp nhận đối tượng sau khi xác nhận rằng tính toàn vẹn của dữ liệu được duy trì trong quá trình truyền qua Internet công cộng. Nếu một phiên bản SDK không cung cấp giá trị tổng kiểm được tính toán trước được sử dụng để tải lên một đối tượng, S3 sẽ tính giá trị tổng kiểm dựa trên CRC của toàn bộ đối tượng, ngay cả khi đối tượng tải lên nhiều phần. Giá trị tổng kiểm được lưu trữ trong siêu dữ liệu đối tượng và do đó có sẵn để xác minh tính toàn vẹn của dữ liệu bất cứ lúc nào. Lựa chọn từ năm thuật toán giá trị tổng kiểm được hỗ trợ (SHA-1, SHA-256, CRC32, CRC32C hoặc CRC64NVME) để kiểm tra tính toàn vẹn của dữ liệu trong yêu cầu tải lên và tải xuống của bạn. Tự động tính toán và xác minh giá trị tổng kiểm khi bạn lưu trữ hoặc truy xuất dữ liệu từ Amazon S3, đồng thời truy cập thông tin về giá trị tổng kiểm bất cứ lúc nào bằng S3 API HeadObject, S3 API GetObjectAttributes hoặc báo cáo Kho S3.
Cách thức hoạt động
-
AWS PrivateLink dành cho Amazon S3
-
Amazon Macie
-
S3 Block Public Access
-
Amazon GuardDuty dành cho S3
-
AWS PrivateLink dành cho Amazon S3
-
Thiết lập kết nối riêng tư trực tiếp tại chỗ tới Amazon S3. Để bắt đầu, vui lòng đọc tài liệu hướng dẫn AWS PrivateLink dành cho S3.
-
Amazon Macie
-
Phát hiện và bảo vệ dữ liệu nhạy cảm trên quy mô lớn. Để bắt đầu với Amazon Macie, vui lòng truy cập trang web.
-
S3 Block Public Access
-
Chặn tất cả các truy cập công khai vào Amazon S3 ngay bây giờ và trong tương lai. Để tìm hiểu thêm về S3 Block Public Access, vui lòng truy cập trang web.
-
Amazon GuardDuty dành cho S3
-
Bảo vệ dữ liệu Amazon S3 của bạn nhờ tính năng phát hiện mối đe dọa thông minh, giám sát liên tục và quét phần mềm độc hại. Để tìm hiểu thêm về Amazon GuardDuty dành cho Amazon S3, vui lòng truy cập trang web.
Tài nguyên bảo mật, quản lý truy cập, mã hóa và bảo vệ dữ liệu của Amazon S3
Đọc Sách điện tử về bảo mật và bảo vệ dữ liệu của Amazon S3 để tìm hiểu các công cụ và phương pháp tốt nhất để quản lý truy cập, kiểm tra và giám sát, cũng như bảo vệ dữ liệu.
Trong video tổng quan về khả năng bảo vệ dữ liệu của Amazon S3 này, bạn sẽ tìm hiểu về tính năng bảo vệ dữ liệu sẵn có trong Amazon S3, bao gồm Lập phiên bản S3, Khóa đối tượng S3 và Sao chép trên S3. Bạn sẽ có cái nhìn tổng quan vắn tắt về từng tính năng bảo vệ dữ liệu của S3 này, tìm hiểu cách những tính năng này có thể giúp bạn đạt được mục tiêu bảo vệ dữ liệu, cũng như nhận các mẹo hữu ích về cách bảo vệ dữ liệu của bạn bằng cách sử dụng Amazon S3.
Các tổ chức đang không ngừng tạo và di chuyển các tài sản kỹ thuật số quan trọng của doanh nghiệp vào Amazon S3. Khi các tài sản được di chuyển và sử dụng trong các quy trình làm việc, điều quan trọng là đảm bảo các tệp không bị thay đổi do lỗi mạng, lỗi ổ cứng hoặc vấn đề ngoài ý muốn khác. Các thuật toán được sử dụng để quét các tệp theo từng byte để tạo dấu vân tay riêng biệt cho các tệp, được gọi là giá trị tổng kiểm. Trong buổi tọa đàm về công nghệ này, hãy tìm hiểu về cách bạn có thể sử dụng các giá trị tổng kiểm để xác minh rằng tài sản không bị thay đổi khi sao chép. Tìm hiểu nhiều tùy chọn giá trị tổng kiểm của Amazon S3 để tăng tốc quá trình kiểm tra tính toàn vẹn của dữ liệu, đồng thời khám phá cách bạn có thể xác nhận rằng từng byte được truyền mà không bị thay đổi, cho phép bạn duy trì tính toàn vẹn dữ liệu toàn diện.
Việc tuân thủ chặt chẽ các biện pháp kiểm soát chủ động và phương pháp tốt nhất về kiến trúc là cơ sở của hoạt động kiểm soát truy cập và bảo mật kho lưu trữ. Trong video này, bạn có thể tìm hiểu các phương pháp hay nhất về bảo mật dữ liệu trong Amazon S3. Xem xét những yếu tố cơ bản về kiến trúc bảo mật trong Amazon S3 và tìm hiểu sâu những điểm cải tiến mới nhất về chức năng và khả năng sử dụng. Cân nhắc các lựa chọn về mã hóa, quản lý quyền truy cập, giám sát bảo mật, kiểm tra và khắc phục.
Amazon S3 tự động mã hóa tất cả các lượt tải đối tượng lên tất cả các vùng lưu trữ. Đối với các lượt tải lên đối tượng, Amazon S3 hỗ trợ mã hóa phía máy chủ với bốn tùy chọn quản lý khóa: SSE-S3 (cấp độ mã hóa cơ bản), SSE-KMS, DSSE-KMS, and SSE-C, cũng như mã hóa phía máy khách. Amazon S3 cung cấp các biện pháp kiểm soát truy cập chi tiết để phù hợp với mọi khối lượng công việc. Trong video này, hãy tìm hiểu về các phương pháp tốt nhất về kiểm soát truy cập và mã hóa của Amazon S3.
Khi tạo và theo mặc định, tất cả tài nguyên S3 là riêng tư và chỉ chủ sở hữu tài nguyên hoặc quản trị viên tài khoản mới có thể truy cập. Thiết kế bảo mật này cho phép bạn định cấu hình các chính sách truy cập được điều chỉnh phù hợp với các yêu cầu về tổ chức, quản trị, bảo mật và tuân thủ. Trong video này, hãy tìm hiểu các cách khác nhau để quản lý truy cập vào dữ liệu bằng cách sử dụng Quản lý danh tính và truy cập (IAM) trong AWS và chính sách vùng lưu trữ S3.
S3 được thiết kế với khả năng phục hồi mạnh mẽ, độ sẵn sàng cao và độ bền đạt 99,999999999% (11 số 9). Tuy nhiên, ngay cả kho lưu trữ bền bỉ nhất cũng không thể phòng tránh được việc xóa vô tình hoặc ngoài ý muốn. Ngoài ra, các sự cố từ phần mềm tống tiền là lý do chính để đánh giá mức độ bảo vệ bổ sung cho dữ liệu quan trọng của bạn. Tìm hiểu về các tính năng của S3 với khả năng cung cấp thêm nhiều lớp bảo vệ, bao gồm Lập phiên bản S3, Sao chép liên khu vực (CRR) S3 và Khóa đối tượng S3.
Blog về bảo mật của S3
Blog tin tức về AWS
Amazon S3 mặc định mã hóa các đối tượng mới
Amazon S3 mặc định mã hóa tất cả các đối tượng mới. Kể từ ngày 5 tháng 1 năm 2023, S3 tự động áp dụng mã hóa phía máy chủ (SSE-S3) cho mỗi đối tượng mới, trừ khi bạn chỉ định một tùy chọn mã hóa khác. Thay đổi này tự động áp dụng thêm một phương pháp tốt nhất về bảo mật - mà không tác động đến hiệu năng và không cần bạn thực hiện hành động nào.
Blog tin tức về AWS
Thông báo: Các thay đổi về bảo mật của Amazon S3 sẽ được áp dụng vào tháng 4 năm 2023
Từ tháng 4 năm 2023, chúng tôi sẽ thực hiện hai thay đổi đối với Amazon S3 để tự động áp dụng phương pháp tốt nhất mới nhất của chúng tôi về bảo mật vùng lưu trữ. Sau khi những thay đổi này được áp dụng ở một Khu vực mục tiêu, tất cả các vùng lưu trữ mới được tạo trong Khu vực đó sẽ mặc định bật Chặn truy cập công cộng trong S3 và tắt các ACL.
Blog tin tức về AWS
Đơn giản hóa quản lý truy cập đối với dữ liệu được lưu trữ trong Amazon S3
Cài đặt Quyền sở hữu Amazon S3 mới, Do chủ sở hữu vùng lưu trữ thực thi, cho phép bạn tắt tất cả các ACL đi kèm với một vùng lưu trữ và các đối tượng trong đó. Khi bạn áp dụng cài đặt ở cấp vùng lưu trữ này, tất cả các đối tượng trong vùng lưu trữ sẽ thuộc sở hữu của tài khoản AWS đã tạo ra vùng lưu trữ đó, đồng thời các ACL không còn được sử dụng để cấp quyền truy cập.
BLOG TIN TỨC VỀ AWS
Mới – Mã hóa phía máy chủ hai lớp Amazon S3 với khóa được lưu trữ trong Dịch vụ quản lý khóa của AWS (DSSE-KMS)
Khách hàng giờ đây có thể áp dụng hai lớp mã hóa phía máy chủ độc lập cho các đối tượng trong Amazon S3. Mã hóa phía máy chủ hai lớp với các khóa được lưu trữ trong Dịch vụ quản lý khóa của AWS (DSSE-KMS) được thiết kế để đáp ứng CNSSP 15 về tuân thủ FIPS của Cơ quan bảo mật quốc gia và hướng dẫn Gói khả năng dữ liệu đang được lưu trữ (DAR CP) phiên bản 5.0 cho hai lớp mã hóa CNSA. Amazon S3 là dịch vụ lưu trữ đối tượng đám mây duy nhất mà khách hàng có thể áp dụng hai lớp mã hóa ở cấp độ đối tượng và kiểm soát các khóa dữ liệu được sử dụng cho cả hai lớp.
Bắt đầu xây dựng với Amazon S3 trong Bảng điều khiển quản lý AWS.