Amazon S3 安全与访问管理

无与伦比的安全性、合规性和审计功能

图形信息:S3 安全与访问管理
S3 安全最佳实践和文档

概览

将您的数据存储在 Amazon S3 中,并使用加密功能和访问管理工具保护数据不受未经授权的访问。S3 会加密上传到所有存储桶的所有对象。S3 是唯一允许您通过 S3 屏蔽公共访问权限在存储桶或账户级别阻止对您所有对象进行公共访问的对象存储服务。S3 维护合规性计划(如 PCI-DSS、HIPAA/HITECH、FedRAMP、欧盟数据保护指令和 FISMA)以帮助您满足法规要求。AWS 还支持很多审计功能,可用于监控对 S3 资源的访问请求。

Amazon S3 安全与访问管理

为了保护您在 Amazon S3 中的数据,默认情况下用户只对自己所创建 S3 资源拥有访问权限。您可以使用以下访问管理功能之一或者功能组合来向其他用户授予访问权限:AWS Identity and Access Management(IAM)(创建用户并管理其相应的访问权限);访问控制列表(ACL)(使单独的对象可供授权用户访问);存储桶策略(配置单个 S3 存储桶中所有对象的访问权限);以及查询字符串身份验证(通过临时 URL 向其他用户授予限时访问权限)。Amazon S3 还支持审核日志,其中列出对您 S3 资源发出的请求,从而清楚地了解谁访问了哪些数据。

只需在 S3 管理控制台中点击几下,您就可以将 S3 屏蔽公共访问权限应用到账户中的每一个存储桶(包括现有以及未来创建的任何新的存储桶),确保屏蔽对任何对象的公共访问权限。默认情况下,所有新存储桶都启用了“屏蔽公共访问权限”。要限制对账户中所有现有存储桶的访问权限,可以在账户级别启用阻止公共访问。S3 屏蔽公共访问权限设置优先于允许公共访问的 S3 权限,从而让账户管理员可以轻松设置集中控制,以防止安全性配置的变动,而不考虑对象的添加方式或存储桶的创建方式。

Amazon S3 对象锁定功能可以在客户定义的保留期内阻止删除对象版本,让您能够通过实施保留策略来进一步保护数据或满足监管要求。您可将工作负载从现有的一次写入多次读取(WORM)系统迁移到 Amazon S3,并在对象级别或存储桶级别配置 S3 对象锁定,防止在预定义的保留到期日期或依法保留日期之前删除对象版本。

Amazon S3 对象所有权禁用了访问控制列表 (ACL),将所有对象的所有权更改为存储桶拥有者,并简化了对存储在 S3 中的数据的访问管理。 当您配置 S3 对象所有权存储桶拥有者强制设置时,ACL 将不再影响您的存储桶及其中对象的权限。所有访问控制都将使用基于资源的策略、用户策略或这些策略的某种组合来定义。自动禁用新存储桶的 ACL。在迁移到基于 IAM 的存储桶策略时,您可以在启用 S3 对象所有权之前使用 S3 清单来查看存储桶中的 ACL 使用情况。有关更多信息,请参阅控制对象所有权

默认情况下,所有 Amazon S3 资源(存储桶、对象和相关的子资源)都是私有的:只有资源拥有者、创建资源的 AWS 账户才能访问资源。Amazon S3 提供广泛分类为基于资源的策略和用户策略的访问策略选项。您可以选择使用基于资源的策略、用户策略或这些策略的组合来管理对 Amazon S3 资源的权限。 默认情况下,S3 对象归创建该对象的账户所有,包括该账户与存储桶拥有者不同的情况。您可以使用 S3 对象所有权禁用访问控制列表并更改此行为。如果这样做,存储桶中的每个对象都归存储桶所有者所有。 如需更多信息,请参阅 Amazon S3 中的身份和访问管理

更多功能

使用 Amazon Macie 大规模探索和保护 Amazon S3 中的敏感数据。Macie 通过扫描存储桶来识别和分类数据,从而自动为您提供完整的 S3 存储桶清单。您将收到列举符合这些敏感数据类型的任何数据的可行性的安全发现,包括个人身份信息 (PII)(例如客户姓名和信用卡号码)和隐私法规(如 GDPR 和 HIPAA)定义的类别。Macie 还可以自动并持续评估任何未加密、可公开访问或与组织外的账户共享的存储桶的存储桶级预防控制措施,从而使您可以快速解决存储桶上的意外设置。

Amazon S3 会自动加密上传到所有存储桶的所有对象。对于对象上传,Amazon S3 支持具有四个密钥管理选项(SSE-S3(基本加密级别)、SSE-KMS、DSSE-KMS 和 SSE-C 的服务器端加密,以及客户端加密。Amazon S3 提供了灵活的安全功能,用于阻止未经授权的用户访问数据。使用 VPC 端点从您的 Amazon Virtual Private Cloud (Amazon VPC) 连接到 S3 资源。使用 S3 清单可以检查 S3 对象的加密状态(有关 S3 清单的更多信息,请参阅存储管理)。

视频:Amazon S3 数据加密概述 »

Trusted Advisor 可检查您的 AWS 环境,并在有机会帮助弥补安全漏洞时为您提供建议。 

Trusted Advisor 具有以下与 Amazon S3 相关的检查:Amazon S3 存储桶的日志记录配置、具有开放访问权限的 Amazon S3 存储桶的安全检查以及未启用版本控制或版本控制暂停的 Amazon S3 存储桶的容错检查。

使用适用于 S3 的 AWS PrivateLink 在您的安全虚拟网络中将 Amazon S3 作为私有端点直接访问。使用 Virtual Private Cloud (VPC) 中的私有 IP 地址从本地或云中连接 S3,以此简化您的网络架构。您不再需要使用公有 IP、配置防火墙规则,或配置互联网网关以从本地访问 S3。

从四种受支持的校验和算法(SHA-1、SHA-256、CRC32 或 CRC32C)中进行选择,以便对您的上传和下载请求进行数据完整性检查。在存储或检索 Amazon S3 中的数据时自动计算和验证校验和,并且可以随时使用 GetObjectAttributes S3 API 或 S3 清单报告访问检验和信息。

S3 数据完整性检查入门教程

技术讲座:开始使用 Amazon S3 中的校验和进行数据完整性检查

博客:构建可扩展的校验和

博客:启用和验证 Amazon S3 中现有对象的附加校验和

工作原理

  • 适用于 Amazon S3 的 AWS PrivateLink

  • 建立从本地到 Amazon S3 的直接私有连接。要开始使用,请阅读适用于 S3 的 AWS PrivateLink 文档。 

    适用于 S3 的 AWS PrivateLink 的安全性
  • Amazon Macie

  • 大规模发现和保护您的敏感数据。要开始使用 Amazon Macie,请访问网站

    Amazon Macie 的安全性
  • S3 阻止公有访问

  • 现在和将来阻止所有对 Amazon S3 的公有访问。要了解有关 S3 阻止公有访问的更多信息,请访问网页

    S3 阻止公有访问的安全性
  • 适用于 S3 的 Amazon GuardDuty

  • 通过智能威胁检测、持续监控和恶意软件扫描,保护您的 Amazon S3 数据。要了解有关适用于 Amazon S3 的 Amazon GuardDuty 的更多信息,请访问网页

    适用于 S3 的 Amazon GuardDuty 的安全性