Funktionen von Amazon S3

Speicherverwaltung und -überwachung

Die flache, nicht hierarchische Struktur und verschiedene Verwaltungsfunktionen von Amazon S3 unterstützen Kunden jeder Größenordnung und verschiedenster Branchen bei der Organisation ihrer Daten auf eine Weise, die für ihr Unternehmen und ihre Teams nutzbringend ist. Alle Objekte werden in S3 Buckets gespeichert und können unter gemeinsamen Namen (auch "Präfixe" genannt) abgelegt werden. Sie können auch bis zu 10 Schlüsselwertpaare, die sogenannten S3-Objekt-Tags, an jedes Objekt anhängen. Diese können während des Lebenszyklus eines Objekts erstellt, aktualisiert und gelöscht werden. Um den Überblick über Objekte und ihre zugeordneten Tags, Buckets und Präfixe zu behalten, können Sie einen S3 Inventory-Bericht verwenden, der Ihre in einem S3-Bucket gespeicherten Objekte oder Ihre Objekte mit einem bestimmten Präfix einschließlich ihrer entsprechenden Metadaten und ihrem Verschlüsselungsstatus auflistet. S3 Inventory kann zur Generierung von Berichten auf täglicher oder wöchentlicher Basis konfiguriert werden.

Mit S3-Bucket-Namen, Präfixen, Objekt-Tags, S3 Metadata (Vorversion) und S3 Inventory verfügen Sie über zahlreiche Möglichkeiten zur Kategorisierung Ihrer Daten und zur Berichterstellung. Anschließend können Sie andere S3-Features konfigurieren, die Aktionen ausführen. Ganz gleich, ob Sie Tausende oder eine Milliarde Objekte speichern, S3 Batch Operations vereinfachen die Verwaltung von beliebig großen Datenmengen in Amazon S3. Mit S3 Batch Operations können Sie Objekte zwischen Buckets kopieren, Objekt-Tag-Sätze ersetzen, Zugriffskontrollen ändern und archivierte Objekte aus den Speicherklassen S3 Glacier Flexible Retrieval und S3 Glacier Deep Archive mit einer einzigen S3-API-Anforderung oder wenigen Schritten in der S3-Konsole wiederherstellen. Darüber hinaus können S3-Stapeloperationen verwendet werden, um AWS Lambda-Funktionen objektübergreifend auszuführen, oder um benutzerdefinierte Geschäftslogik wie das Verarbeiten von Daten oder die Transkodierung von Bilddateien zu erledigen. Wählen Sie zuerst ein Quellobjekt und Filter aus oder geben Sie eine Liste mit einem S3-Lagerbestandsbericht oder einer benutzerdefinierten Liste an und wählen Sie dann die gewünschte Operation aus dem vorausgefüllten Menü aus. Wenn die Anforderung für einen S3-Batchvorgang abgeschlossen ist, erhalten Sie eine Benachrichtigung und einen Abschlussbericht mit allen durchgeführten Änderungen. Weitere Informationen über S3-Batch Operations erhalten Sie in den Video-Anleitungen

Amazon S3 Metadata (Vorversion) liefert abfragbare Objektmetadaten nahezu in Echtzeit, um Ihre Daten zu organisieren und die Datenerkennung zu beschleunigen. Dies hilft Ihnen, Ihre S3-Daten für Geschäftsanalytik, Echtzeit-Inferenzanwendungen und mehr zu kuratieren, zu identifizieren und zu verwenden. S3 Metadata unterstützt Objektmetadaten, zu denen systemdefinierte Details wie Größe und Quelle des Objekts gehören, sowie benutzerdefinierte Metadaten, mit denen Sie Tags verwenden können, um Ihre Objekte beispielsweise mit Informationen wie Produkt-SKU, Transaktions-ID oder Inhaltsbewertung zu versehen. S3 Metadata wurde entwickelt, um automatisch Metadaten von Objekten zu erfassen, wenn sie in einen Bucket hochgeladen werden, und um diese Metadaten in einer schreibgeschützten Tabelle abfragbar zu machen. Wenn sich die Daten in Ihrem Bucket ändern, aktualisiert S3 Metadata die Tabelle innerhalb von Minuten, um die neuesten Änderungen widerzuspiegeln.

Amazon S3 unterstützt auch Funktionen, die bei der Datenversionsverwaltung behilflich sind, versehentlichen Löschvorgängen vorbeugen und Daten in andere oder identische AWS-Regionen replizieren. Mithilfe von S3 Versioning können Sie alle Versionen eines in Amazon S3 gespeicherten Objekts aufbewahren, abrufen und wiederherstellen. S3 Versioning ermöglicht die Wiederherstellung nach unbeabsichtigten Benutzeraktionen und nach Anwendungsfehlern. Um unbeabsichtigten Löschvorgängen vorzubeugen, aktivieren Sie für einen S3-Bucket die Funktion Multi-Factor Authentication (MFA) Delete. Wenn Sie versuchen, ein Objekt in einem Bucket zu löschen, für den „MFA Delete“ aktiviert wurde, benötigen Sie zwei Formen der Authentifizierung: Ihre AWS-Anmeldeinformationen und eine Kombination aus einer gültigen Seriennummer, einem Leerzeichen und dem sechsstelligen Code, der auf einem Authentifizierungsgerät (z. B. ein Hardware-Schlüsselanhänger oder ein Universal 2nd Factor (U2F)-Sicherheitsschlüssel) angezeigt wird.

Mit der S3 Replication können Sie neue Objekte und deren entsprechende Metadaten und Objekt-Tags auf ein oder mehrere Ziel-Buckets in andere oder identische AWS-Regionen replizieren. Dies dient der Latenzreduzierung, Compliance, Sicherheit, Notfallwiederherstellung und anderen Anwendungsfällen. Sie können S3 Cross-Region Replication (CRR) für die Objekt-Replikation von einem S3-Quell-Bucket auf ein oder mehrere Zielbuckets in verschiedenen AWS-Regionen konfigurieren. S3 Same-Region Replication (SRR) repliziert Objekte zwischen Buckets in derselben AWS-Region. Während Live-Replikation wie CRR und SRR neu hochgeladene Objekte automatisch repliziert, sobald sie in Ihren Bucket geschrieben werden, ermöglicht Ihnen S3 Batch Replication die Replikation vorhandener Objekte. Sie können S3 Batch Replication verwenden, um einen neu erstellten Bucket mit vorhandenen Objekten aufzufüllen, versuchen, Objekte, die zuvor nicht repliziert werden konnten, erneut zu replizieren, Daten zwischen Konten zu migrieren oder Ihrem Data Lake neue Buckets hinzuzufügen. Amazon S3 Replication Time Control (S3 RTC) unterstützt Sie beim Einhalten von Compliance-Anforderungen für die Datenreplikation durch Bereitstellen einer SLA und der Transparenz für Replikationszeiten.

Um auf replizierte Datensätze in S3-Buckets über AWS-Regionen hinweg zuzugreifen, verwenden Sie Amazon-S3-Zugriffspunkte für mehrere Regionen, um einen einzigen globalen Endpunkt zu erstellen, den Ihre Anwendungen und Kunden unabhängig von ihrem Standort nutzen können. Mit dem globalen Endpunkt können Sie Anwendungen für mehrere Regionen mit derselben einfachen Architektur erstellen, die Sie in einer einzelnen Region verwenden würden, und diese Anwendungen dann überall auf der Welt ausführen. Amazon-S3-Zugriffspunkte für mehrere Regionen können die Leistung um bis zu 60 % beim Zugriff auf Datensätze beschleunigen, die über mehrere AWS-Regionen und -Konten repliziert sind. Die auf AWS Global Accelerator basierenden S3 Multi-Region Access Points berücksichtigen Faktoren wie Netzwerküberlastung und den Standort der anfordernden Anwendung, um Ihre Anforderungen dynamisch über das AWS-Netzwerk an die Kopie Ihrer Daten mit der geringsten Latenz zu leiten. Mit den Failover-Kontrollen für S3 Multi-Region Access Points können Sie ein Failover zwischen Ihren replizierten Datensätzen über AWS-Regionen hinweg durchführen, so dass Sie Ihren S3-Datenanforderungsverkehr innerhalb von Minuten in eine andere AWS-Region verlagern können.

Mit S3 Object Lock können Sie außerdem WORM-Richtlinien (Write Once Read Many) erzwingen. Mit dieser S3-Verwaltungsfunktion wird die Objektversionslöschung während eines kundendefinierten Aufbewahrungszeitraums blockiert. So können Sie Aufbewahrungsrichtlinien als zusätzliche Datenschutzmaßnahme oder zur Einhaltung von Compliance-Bestimmungen durchsetzen. Sie können Workloads aus bestehenden WORM-Systemen in Amazon S3 migrieren und die S3-Objektsperre auf Objekt- und Bucket-Ebenen konfigurieren, sodass Objektversionslöschungen vor einem festgelegten Aufbewahrungsdatum oder vor Ablauf der gesetzlichen Aufbewahrungspflicht verhindert werden. Objekte mit einer S3-Objektsperre behalten den WORM-Schutz, auch wenn sie mit einer S3-Lebenszyklusrichtlinie in andere Speicherklassen verschoben werden. Um festzustellen, welche Objekte eine S3-Objektsperre aufweisen, können Sie sich einen S3 Inventory-Bericht ansehen, der den WORM-Status der Objekte enthält. Die S3-Objektsperre kann in einem Modus oder in zwei Modi konfiguriert werden. Wenn die Bereitstellung im Governance-Modus erfolgt, können AWS-Konten mit bestimmten IAM-Berechtigungen die S3-Objektsperre von den Objekten entfernen. Wenn aufgrund von Richtlinien eine stärkere Unveränderlichkeit gewünscht wird, können Sie den Compliance-Modus verwenden. Im Compliance-Modus kann der Schutz von keinem Benutzer entfernt werden. Das gilt auch für das Root-Konto.

Zusätzlich zu diesen Verwaltungsfunktionen können Sie Amazon-S3-Funktionen und andere AWS-Services zur Überwachung und Kontrolle Ihrer S3-Ressourcen einsetzen. Weisen Sie S3-Buckets Tags zu, wodurch Sie Ihre Kosten auf mehrere Unternehmensdimensionen (wie Kostenstellen, Anwendungsnamen oder -Eigentümer) umlegen können und verwenden Sie dann die AWS-Kostenzuordnungsberichte zum Abrufen der Nutzung und der von den Bucket-Tags aggregierten Kosten. Außerdem können Sie Amazon CloudWatch verwenden, um den Betriebszustand Ihrer AWS-Ressourcen zu verfolgen und Fakturierungswarnungen für geschätzte Gebühren zu konfigurieren, die einen benutzerdefinierten Schwellenwert erreichen. Verwenden Sie AWS CloudTrail, um Aktivitäten auf Bucket- und Objektebene zu verfolgen und zu melden, und konfigurieren Sie S3-Ereignisbenachrichtigungen, um Workflows und Warnungen auszulösen, oder rufen Sie AWS Lambda auf, wenn eine bestimmte Änderung an Ihren S3-Ressourcen vorgenommen wird. S3 Event Notifications transcodiert automatisch Mediendateien, wenn sie auf S3 hochgeladen werden, verarbeitet Datendateien, sobald sie verfügbar sind, und synchronisiert Objekte mit anderen Datenspeichern. Darüber hinaus berechnen die neuesten AWS-SDKs automatisch effiziente CRC-basierte Prüfsummen für alle Uploads. S3 überprüft diese Prüfsumme unabhängig und akzeptiert Objekte erst, nachdem bestätigt wurde, dass die Datenintegrität bei der Übertragung über das öffentliche Internet gewahrt wurde. Wenn zum Hochladen eines Objekts eine Version des SDK verwendet wird, die keine vorab berechneten Prüfsummen bereitstellt, berechnet S3 eine CRC-basierte Prüfsumme des gesamten Objekts, auch für mehrteilige Uploads. Prüfsummen werden in den Metadaten der Objekte gespeichert und stehen somit zur Überprüfung der Datenintegrität jederzeit zur Verfügung. Sie können je nach Anwendungsanforderungen einen von fünf unterstützten Algorithmen (CRC64NVME, CRC32, CRC32C, SHA-1 und SHA-256) zur Überprüfung der Datenintegrität beim Hoch- und Herunterladen auswählen.

Speicheranalysen und Einblicke

S3 Storage Lens stellt unternehmensweite Sichtbarkeit in die Objektspeichernutzung und Aktivitätentrends bereit und spricht umsetzbare Empfehlungen aus, um Kosteneffizienz zu verbessern und bewährte Praktiken des Datenschutzes anzuwenden. S3 Storage Lens ist die erste Cloud-Speicheranalyselösung, die eine einzige Ansicht der Objekt-Speichernutzung und -aktivität über Hunderte oder sogar Tausende von Konten in einem Unternehmen bietet, mit Drill-Downs, um Einblicke auf Konto-, Bucket- oder sogar Präfixebene zu erhalten. Durch mehr als 16 Jahre Erfahrung darin, dem Kunden bei der Optimierung des Speichers zu helfen, analysiert S3 Storage Lens unternehmensweite Metriken, um kontextbezogene Empfehlungen bereitzustellen und Wege zu finden, die Speicherkosten zu reduzieren und bewährte Praktiken beim Datenschutz anzuwenden. 

Amazon S3 Storage Class Analysis analysiert Speicherzugriffsmuster, um zu entscheiden, wann die richtigen Daten in die richtige Speicherklasse überführt werden sollen. Diese Funktion von Amazon S3 überwacht Datenzugriffsmuster, damit Sie leichter bestimmen können, wann seltener aufgerufene Daten in eine kostengünstigere Speicherklasse überführt werden sollen. Sie können die Ergebnisse verwenden, um Ihre S3-Lebenszyklus-Richtlinien zu optimieren. Die Analyse der Speicherklassen lässt sich so konfigurieren, dass alle Objekte in einem Bucket analysiert werden. Alternativ können Sie Filter konfigurieren, um Objekte zusammen für die Analyse durch ein gemeinsames Präfix, Objekt-Tags oder sowohl Präfix als auch Tags zu gruppieren. Weitere Informationen finden Sie auf der Seite mit den Speicheranalysen und Einblicken.

Tabellenspeicher

Amazon S3 Tables bieten den ersten Cloud-Objektspeicher mit integrierter Unterstützung für offene Tabellenformate und die einfachste Möglichkeit, tabellarische Daten in großem Maßstab zu speichern. S3 Tables sind speziell für Analytik-Workloads optimiert, was im Vergleich zu selbstverwalteten Tabellen zu einer bis zu 3-mal schnelleren Abfrageleistung und bis zu 10-mal höheren Transaktionen pro Sekunde führt. S3 Tables unterstützen den Apache-Iceberg-Standard und können problemlos von gängigen Abfrage-Engines von AWS und Drittanbietern abgefragt werden. Darüber hinaus sind S3 Tables so konzipiert, dass sie eine kontinuierliche Tabellenwartung durchführen, um die Abfrageeffizienz und die Speicherkosten im Laufe der Zeit automatisch zu optimieren, selbst wenn Ihr Data Lake skaliert und weiterentwickelt wird. Die Integration von S3 Tables in den AWS-Glue-Datenkatalog befindet sich in der Vorversion und ermöglicht es Ihnen, Daten – einschließlich S3-Metadata-Tabellen – mithilfe von AWS-Analytik-Services wie Amazon Data Firehose, Amazon Athena, Amazon Redshift, Amazon EMR und Amazon QuickSight zu streamen, abzufragen und zu visualisieren.

S3 Tables verwenden Tabellen-Buckets, einen Bucket-Typ, der speziell zum Speichern tabellarischer Daten entwickelt wurde. Mit Tabellen-Buckets können Sie ganz einfach Tabellen erstellen und Berechtigungen auf Tabellenebene einrichten, um den Zugriff auf Ihren Data Lake zu verwalten. Anschließend können Sie Daten mit Standard-SQL in Ihre Tabellen laden und abfragen und die fortschrittlichen Analytik-Funktionen von Apache Iceberg wie Transaktionen auf Zeilenebene, abfragbare Snapshots, Schemaentwicklung und mehr nutzen. Tabellen-Buckets bieten auch eine richtliniengesteuerte Tabellenverwaltung und helfen Ihnen dabei, betriebliche Aufgaben wie Komprimierung, Snapshot-Verwaltung und das Entfernen unreferenzierter Dateien zu automatisieren.

Speicherklassen

Mit Amazon S3 können Sie Daten in verschiedenen S3-Speicherklassen speichern, die eigens für spezifische Anwendungsfälle und Zugriffsmuster entwickelt wurden: S3 Intelligent-Tiering, S3 Standard, S3 Express One ZoneS3 Standard-Infrequent Access (S3 Standard-IA)S3 One Zone-Infrequent Access (S3 One Zone-IA)S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval, S3 Glacier Deep Archive und S3 Outposts.

Jede S3-Speicherklasse unterstützt eine bestimmte Datenzugriffsebene zu entsprechenden Kosten oder an einem bestimmten geografischen Standort. 

Für Daten mit wechselbaren, unbekannten oder unverhersehbaren Zugriffsmustern, wie Data Lakes, Analytik oder neue Anwendungen, verwenden Sie S3 Intelligent-Tiering, das automatisch Ihre Speicherkosten optimiert. S3 Intelligent-Tiering verschiebt automatisch Ihre Daten zwischen drei Zugriffsebenen mit niedriger Latenz, die für häufigen, mäßigen und seltenen Zugriff optimiert sind. Wenn Teilmengen von Objekten mit der Zeit archiviert werden, können Sie die Archiv-Zugriffsebene aktivieren, die für den asynchronen Zugriff entwickelt wurde.

Für genauere Prognosen von Zugriffsmuster können Sie geschäftskritische Produktionsdaten in S3 Standard für häufigen Zugriff speichern, leistungskritische Anwendungen beschleunigen, indem Sie Ihre am häufigsten aufgerufenen Daten in S3 Express One Zone speichern, Kosten sparen, indem Sie selten abgerufene Daten in S3 Standard-IA oder S3 One Zone-IA speichern und Daten zu den niedrigsten Kosten in den Archivspeicherklassen S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval und S3 Glacier Deep Archive archivieren. Mit der S3-Speicherklassenanalyse können Sie objektübergreifend Zugriffsmuster überwachen und Daten erkennen, die in günstigere Speicherklassen verschoben werden sollten. Anhand dieser Informationen können Sie eine S3-Lebenszyklusrichtlinie konfigurieren, die die Datenübertragung veranlasst. Sie können auch S3-Lebenszyklusrichtlinien verwenden, um Objekte am Ende ihres Lebenszyklus ablaufen zu lassen.

Wenn Sie Anforderungen an die Datenresidenz haben, die von einer vorhandenen AWS-Region nicht erfüllt werden können, können Sie S3-Speicherklassen für dedizierte AWS Local Zones oder S3 in Outposts-Racks verwenden, um Ihre Daten in einem bestimmten Datenbereich zu speichern.

 

Amazon S3 unterstützt Ihre Anwendungsfälle zur Datenresidenz und Datenisolierung, wenn Sie Daten in einem bestimmten Datenbereich speichern müssen. Wenn Sie Anforderungen an die Datenresidenz haben, die von einer vorhandenen AWS-Region nicht erfüllt werden können, können Sie S3-Speicherklassen für dedizierte AWS Local Zones oder S3 in Outposts-Racks verwenden, um Ihre Daten in einem bestimmten Datenbereich zu speichern. Dies ist eine Erweiterung des AWS Digital Sovereignty Pledge, unserer Verpflichtung, die fortschrittlichsten Souveränitätskontrollen und -Features in der Cloud anzubieten.

Zugriffsverwaltung und Sicherheit

Zum Schutz Ihrer Daten in Amazon S3 haben Benutzer standardmäßig nur Zugriff auf die von ihnen erstellten S3-Ressourcen. Sie können anderen Benutzern Zugriff gewähren, indem Sie eine oder mehrere der folgenden Zugriffsverwaltungsfunktionen verwenden: AWS Identity and Access Management (IAM), um Benutzer zu erstellen und deren jeweiligen Zugriff zu verwalten; Zugriffssteuerungslisten (ACLs), um einzelne Objekte autorisierten Benutzern zugänglich zu machen; Bucket-Richtlinien zum Konfigurieren von Berechtigungen für alle Objekte in einem einzelnen S3-Bucket; S3-Zugriffspunkte zur Vereinfachung des Datenzugriffs auf gemeinsam genutzte Datensätze durch Erstellen von Zugriffspunkten mit Namen und Berechtigungen, die für die einzelnen Anwendungen oder Anwendungssätze spezifisch sind; S3-Zugriffsberechtigungen, um Datenberechtigungen in großem Umfang zu verwalten, indem Endbenutzern basierend auf ihrer Unternehmensidentität automatisch S3-Zugriff gewährt wird; und Abfrage-String-Authentifizierung, um anderen Benutzern mit temporären URLs zeitlich begrenzten Zugriff zu gewähren. Amazon S3 unterstützt ebenfalls Prüfprotokolle, die an Ihre S3-Ressourcen gestellte Anforderungen auflisten und so umfassende Transparenz darüber bieten, wer auf welche Daten zugreift.

Amazon S3 bietet flexible Sicherheitsfunktionen, um den Datenzugriff für nicht autorisierte Benutzer zu blockieren. Sie können mithilfe von VPC-Endpunkten eine Verbindung mit den S3-Ressourcen aus Ihrer Amazon Virtual Private Cloud (Amazon VPC) und Ihrer On-Premises-Umgebung herstellen. Amazon S3 verschlüsselt alle neuen Daten-Uploads in einen beliebigen Bucket (Stand: 5. Januar 2023). Amazon S3 unterstützt sowohl serverseitige Verschlüsselung (mit vier Schlüsselverwaltungsoptionen) als auch clientseitige Verschlüsselung für Daten-Uploads (weitere Informationen zur Datenverschlüsselung mit S3 finden Sie im Amazon-S3-Benutzerhandbuch). Mit dem S3 Inventory können Sie den Verschlüsselungsstatus Ihrer S3-Objekte überprüfen (weitere Informationen zum S3 Inventory finden Sie unter Speicherverwaltung).

S3 Block Public Access ist ein Satz von Sicherheitskontrollen, mit dem sichergestellt wird, dass kein öffentlicher Zugriff auf S3-Buckets und Objekte besteht. Block Public Access ist standardmäßig für alle neuen Buckets aktiviert. In nur wenigen Schritten können Sie in der Amazon-S3-Konsole die S3-Block-Public-Access-Einstellungen auf alle Buckets innerhalb Ihres AWS-Kontos oder auf bestimmte S3-Buckets anwenden. Sobald die Einstellungen auf ein AWS-Konto angewendet wurden, werden die Einstellungen, die einen öffentlichen Zugriff verhindern, von bestehenden und neuen Buckets und Objekten des Kontos übernommen. Die S3 Block Public Access-Einstellungen haben vor anderen S3-Zugriffsberechtigungen Vorrang. So kann der Kontoadministrator eine Richtlinie vom Typ "kein öffentlicher Zugriff" festlegen, unabhängig von der Art, wie Objekte hinzugefügt oder Buckets erstellt werden, oder ob Zugriffsberechtigungen bestehen. S3 Block Public Access-Kontrollen sind prüffähig, bieten eine zusätzliche Kontrollebene und verwenden Bucket-Berechtigungsprüfungen von AWS Trusted Advisor, AWS CloudTrail-Protokolle und Amazon CloudWatch-Alarme. Sie sollten Block Public Access für alle Konten und Buckets aktivieren, von denen Sie nicht möchten, dass sie öffentlich zugänglich sind.

S3 Object Ownership ist eine Funktion, die Zugriffskontrolllisten (ACLs) deaktiviert und somit die Besitzer für alle Objekte in den Bucket-Besitzer ändert. Damit vereinfacht sie die Zugriffsverwaltung für in S3 gespeicherte Daten. Wenn Sie die Einstellung Bucket owner enforced von S3 Object Ownership konfigurieren, haben ACLs keine Auswirkung mehr auf die Berechtigungen für Ihren Bucket und die Objekte darin. Die gesamte Zugriffssteuerung wird mit ressourcenbasierten Richtlinien, Benutzerrichtlinien oder einer Kombination davon definiert. Bevor Sie ACLs deaktivieren, überprüfen Sie Ihre Bucket- und Objekt-ACLs. Um Amazon S3-Anfragen zu identifizieren, für die ACLs zur Autorisierung erforderlich waren, können Sie das Feld aclRequired in Amazon-S3-Server-Zugriffsprotokollen oder AWS CloudTrail verwenden.

Mit S3-Zugriffspunkten, die auf eine Virtual Private Cloud (VPC) beschränkt sind, können Sie Ihre S3-Daten problemlos in Ihrem privaten Netzwerk durch eine Firewall schützen. Darüber hinaus können Sie mithilfe von AWS Service Control-Richtlinien festlegen, dass ein neuer S3-Zugriffspunkt in Ihrer Organisation nur auf VPC zugreifen darf.

IAM Access Analyzer für S3 ist eine Funktion mit der Sie die Berechtigungs-Verwaltung vereinfachen können, indem Sie Richtlinien für Ihre S3-Buckets und Zugriffspunkte verifizieren und optimieren. Access Analyzer für S3 überwacht Ihre bestehenden Bucket-Zugriffsrichtlinien, um zu bestätigen, dass sie Ihren S3-Ressourcen nur den notwendigen Zugriff erteilen. Access Analyzer für S3 wertet Ihre Bucket-Zugriffsrichtlinien aus, sodass Sie schnell unnötige Zugriffsberechtigungen aus Buckets entfernen. Wenn Sie Ergebnisse überprüfen, die einen potenziell gemeinsamen Zugriff auf einen Bereich anzeigen, können Sie den öffentlichen Zugriff auf den Bucket mit einem einzigen Klick in der S3-Konsole blockieren. Zu Prüfungszwecken können die Ergebnisse von Access Analyzer für S3 als CSV-Bericht heruntergeladen werden. Die Amazon-S3-Konsole meldet jetzt Sicherheitswarnungen, Fehler und Vorschläge von IAM Access Analyzer, während Sie Ihre S3-Richtlinien erstellen. Die Konsole führt automatisch mehr als 100 Richtlinienprüfungen durch, um Ihre Richtlinien zu validieren. Diese Prüfungen sparen Ihnen Zeit, helfen Ihnen bei der Fehlerbehebung und unterstützen Sie bei der Anwendung bewährter Sicherheitsverfahren.

Mithilfe von IAM können Sie den Zugriff leichter analysieren und Berechtigungen reduzieren, um lediglich die geringfügigsten Rechte zu erteilen. Geben Sie hierzu den Zeitstempel an, wann ein Benutzer oder eine Rolle S3 und die damit verbundenen Aktionen zuletzt verwendet hat. Verwenden Sie Informationen zum „letzten Zugriff“, um den S3-Zugriff zu analysieren, nicht verwendete Berechtigungen aufzuspüren und diese vertraulich zu entfernen. Um mehr zu erfahren, besuchen Sie die Dokumentation zur Verfeinerung von Berechtigungen unter Verwendung des letzten Zugriffsdatums.

Sie können Amazon Macie auch zum Erkennen und Schützen Ihrer in Amazon S3 gespeicherten vertraulichen Daten verwenden. Macie erfasst automatisch ein vollständiges S3-Inventar und bewertet jeden Bucket automatisch und fortlaufend, um auf sämtliche öffentlich zugänglichen Buckets, unverschlüsselte Buckets oder für AWS-Konten freigegebene bzw. replizierte Buckets außerhalb Ihres Unternehmens hinzuweisen. Danach wendet Macie Machine Learning- und Musterabgleichstechniken auf die ausgewählten Buckets an, um vertrauliche Daten, beispielsweise personenbezogene Daten (Personally Identifiable Information, PII), zu identifizieren und Sie entsprechend zu benachrichtigen. Wenn Erkenntnisse im Bereich der Sicherheit gewonnen werden, werden diese an Amazon CloudWatch Events weitergeleitet. Dadurch wird die Integration in bestehende Systeme für Workflows zur Auslösung der automatisierten Problembehebung mit Services wie AWS Step Functions vereinfacht, um bestimmte Maßnahmen ergreifen zu können. Beispiele hierfür sind das Schließen eines öffentlichen Buckets oder das Hinzufügen von Ressourcen-Tags.

AWS PrivateLink für S3 bietet private Konnektivität zwischen Amazon S3 und der On-Premises-Umgebung. Sie können Schnittstellen-VPC-Endpunkte für S3 in Ihrer VPC bereitstellen, um Ihre lokalen Anwendungen über AWS Direct Connect oder AWS VPN direkt mit S3 zu verbinden. Anforderungen an Schnittstellen-VPC-Endpunkte für S3 werden automatisch über das Amazon-Netzwerk an S3 weitergeleitet. Sie können für Ihre Schnittstellen-VPC-Endpunkte Sicherheitsgruppen festlegen und VPC-Endpunkt-Richtlinien konfigurieren, um zusätzliche Sicherheitskontrollen einzurichten.

Weitere Informationen finden Sie unter S3-Zugriffsverwaltung und Sicherheit, im E-Book zu S3-Sicherheit und Datenschutz sowie Schutz von Daten in Amazon S3.

Datenverarbeitung

Mit S3 Objekt Lambda können Sie Ihren eigenen Code zu S3-GET-, HEAD- und LIST-Anforderungen hinzufügen, um Daten zu ändern und zu verarbeiten, während diese an eine Anwendung zurückgegeben werden. Sie können benutzerdefinierten Code verwenden, um die von standardmäßigen S3-GET-Anforderungen zurückgegebenen Daten zu ändern, um Zeilen zu filtern, die Größe von Bildern dynamisch zu ändern, vertrauliche Daten zu redigieren und vieles mehr. Sie können S3 Objekt Lambda auch verwenden, um die Ausgabe von S3-LIST-Anforderungen zu ändern, um eine benutzerdefinierte Ansicht von Objekten in einem Bucket zu erstellen, und S3-HEAD-Anforderungen, um Objektmetadaten wie Objektname und -größe zu ändern. Powered-by-AWS-Lambda-Funktionen wird Ihr Code auf einer Infrastruktur ausgeführt, die vollständig von AWS verwaltet wird, sodass keine abgeleiteten Kopien Ihrer Daten erstellt und gespeichert oder teure Proxys ausgeführt werden müssen, ohne dass Änderungen an Anwendungen erforderlich sind.

S3 Objekt Lambda verwendet AWS Lambda-Funktionen, um die Ausgabe einer standardmäßigen S3-GET-, HEAD- oder LIST-Anforderung automatisch zu verarbeiten. AWS Lambda ist ein Serverless-Rechenservice, der kundenspezifischen Code ausführt, ohne dass die zugrunde liegenden Rechenressourcen verwaltet werden müssen. Mit nur wenigen Klicks in der AWS-Managementkonsole können Sie eine Lambda-Funktion konfigurieren und an einen S3-Objekt-Lambda-Zugriffspunkt anhängen. Ab diesem Zeitpunkt ruft S3 automatisch Ihre Lambda-Funktion auf, um alle über den S3 Objekt-Lambda-Zugriffspunkt abgerufenen Daten zu verarbeiten und ein transformiertes Ergebnis an die Anwendung zurückzugeben. Sie können Ihre eigenen benutzerdefinierten Lambda-Funktionen erstellen und ausführen und die Datentransformation von S3 Objekt Lambda an Ihren spezifischen Anwendungsfall anpassen.

Direkte Abfragen

Amazon S3 verfügt über kostenlose Services, mit denen Daten ohne Kopieren und Laden in eine separate Analyseplattform oder ein Data-Warehouse abgefragt werden können. Das bedeutet, Sie können Datenanalysen direkt für Ihre in Amazon S3 gespeicherten Daten ausführen.

Amazon S3 ist mit den AWS-Analyseservices von Amazon Athena und Amazon Redshift Spectrum kompatibel. Amazon Athena ruft Ihre Daten aus Amazon S3 ab, ohne dass diese in einen separaten Service oder eine separate Plattform extrahiert und geladen werden müssen. Der Service verwendet SQL-Standardausdrücke zur Analyse Ihrer Daten, liefert innerhalb von Sekunden Ergebnisse und wird im allgemeinen für die Ad-Hoc-Datenermittlung verwendet. Amazon Redshift Spectrum führt ebenfalls direkte SQL-Abfragen für Daten im Ruhezustand in Amazon S3 aus und eignet sich besser für komplexe Abfragen und große Datensets (bis zu Exabytes). Da Amazon Athena und Amazon Redshift einen gemeinsamen Datenkatalog und gemeinsame Datenformate haben, können Sie beide für dieselben Datensets in Amazon S3 verwenden.

Erfahren Sie mehr über das Abfragen Ihrer Daten in Amazon S3, indem Sie den lesen.

 

Datenübertragung

AWS bietet ein Portfolio von Datenübertragungsdiensten, um für jedes Datenmigrationsprojekt die richtige Lösung zu finden. Der Grad der Konnektivität ist ein wichtiger Faktor bei der Datenmigration, und AWS hat Angebote, die Ihren Anforderungen an hybriden Cloud-Speicher, Online-Datentransfer und Offline-Datentransfer gerecht werden können.

Hybrid-Cloud-Speicher: AWS Storage Gateway ist ein hybrider Cloud-Speicherdienst, mit dem Sie Ihre On-Premise-Anwendungen nahtlos mit AWS Storage verbinden und erweitern können. Kunden verwenden Storage Gateway, um Bandbibliotheken nahtlos durch Cloud Storage zu ersetzen, Cloud Storage-unterstützte Dateifreigaben bereitzustellen oder einen Cache mit geringer Latenz für den Zugriff auf Daten in AWS für On-Premise-Anwendungen zu erstellen. 

Online-Datenübertragung: AWS DataSync macht es einfach und effizient, Hunderte von Terabyte und Millionen von Dateien auf Amazon S3 zu übertragen, bis zu 10 mal schneller als Open-Source-Tools. DataSync wickelt viele manuelle Aufgaben automatisch ab oder eliminiert sie, einschließlich der Erstellung von Skript-Kopieraufträgen, der Planung und Überwachung von Übertragungen, der Validierung von Daten und der Optimierung der Netzwerkauslastung. Zusätzlich können Sie AWS DataSync verwenden, um Objekte zwischen einem Bucket auf S3 auf Outpost und einem in einer AWS Region gespeicherten Bucket zu kopieren. Die AWS Transfer-Familie ermöglicht die vollständig verwaltete, einfache und problemlose Dateiübertragung zu Amazon S3 mithilfe von SFTP, FTPS und FTP. Amazon S3 Transfer Acceleration ermöglicht die schnelle Übertragung von Dateien über große Entfernungen zwischen Ihrem Client und Ihrem Amazon S3-Bucket.

Offline-Datenübertragung/geringe oder keine Konnektivität: Der AWS Snowball-Service verwendet robuste, tragbare Speicher- und Edge-Computing-Geräte für die Datenerfassung, -verarbeitung und -migration. Kunden können das physische Snowball-Gerät für die Offline-Datenmigration zu AWS liefern.

Kunden können auch mit Drittanbietern aus dem AWS Partner Network (APN) zusammenarbeiten, um hybride Speicherarchitekturen bereitzustellen, Amazon S3 in vorhandene Anwendungen und Workflows zu integrieren und Daten zu und von AWS zu übertragen.

Weitere Informationen finden Sie unter AWS-Cloud-DatenmigrationsservicesAWS Storage GatewayAWS DataSyncAWS Transfer FamilyAmazon S3 Transfer AccelerationAWS Snowball.

Data Exchange

AWS Data Exchange für Amazon S3 beschleunigt die Zeit bis zur Erkenntnis durch direkten Zugriff auf die Amazon S3-Daten der Datenanbieter. AWS Data Exchange für Amazon S3 hilft Ihnen, Datendateien von Drittanbietern zu finden, zu abonnieren und zu nutzen, um die Speicherkosten zu optimieren, die Verwaltung der Datenlizenzen zu vereinfachen und vieles mehr. Sie ist für Abonnenten gedacht, die Datendateien von Drittanbietern problemlos für die Datenanalyse mit AWS-Services nutzen möchten, ohne Datenkopien erstellen oder verwalten zu müssen. Es ist auch für Datenanbieter hilfreich, die einen direkten Zugriff auf die in ihren Amazon-S3-Buckets gehosteten Daten anbieten möchten.

Sobald Datenabonnenten Anspruch auf einen Datensatz von AWS Data Exchange für Amazon S3 haben, können sie mit der Datenanalyse beginnen, ohne ihre eigenen S3-Buckets einrichten, Datendateien in diese S3-Buckets kopieren oder die damit verbundenen Speichergebühren bezahlen zu müssen. Die Datenanalyse kann mit AWS-Services wie Amazon Athena, Amazon SageMaker Feature Store oder Amazon EMR durchgeführt werden. Die Abonnenten greifen auf dieselben S3-Objekte zu, die der Datenanbieter verwaltet, und nutzen daher immer die aktuellsten verfügbaren Daten, ohne zusätzlichen technischen oder betrieblichen Aufwand. Datenanbieter können AWS Data Exchange für Amazon S3 ganz einfach auf ihren bestehenden S3-Buckets einrichten, um den direkten Zugriff auf ein ganzes S3-Bucket oder bestimmte Präfixe und S3-Objekte freizugeben. Nach der Einrichtung verwaltet AWS Data Exchange automatisch Abonnements, Berechtigungen, Rechnungen und Zahlungen.

Leistung

Amazon S3 bietet branchenführende Leistung für die Speicherung von Cloud-Objekten. Amazon S3 unterstützt parallele Anfragen. Das bedeutet, dass Sie Ihre S3-Leistung um den Faktor Ihres Rechen-Clusters skalieren können, ohne Anpassungen an Ihrer Anwendung vornehmen zu müssen. Die Leistung wird linear nach Präfix skaliert, sodass Sie so viele Präfixe parallel verwenden können, wie Sie benötigen, um den erforderlichen Durchsatz zu erzielen. Die Anzahl der Präfixe ist nicht beschränkt. Die Leistung von Amazon S3 unterstützt mindestens 3 500 Anfragen pro Sekunde für das Hinzufügen von Daten und 5 500 Anfragen pro Sekunde für das Abrufen von Daten. Jedes S3-Präfix kann diese Anfrageraten unterstützen, wodurch die Leistung deutlich erhöht werden kann.

Zum Erreichen dieser Leistungssteigerung der S3-Anforderungsrate ist kein Randomisieren von Objektpräfixen nötig, um eine schnellere Leistung zu erzielen. Das bedeutet, dass Sie logische oder sequenzielle Benennungsmuster bei der Benennung von S3-Objekten ohne Leistungseinbußen verwenden können. Die aktuellsten Informationen zur Leistungsoptimierung von Amazon S3 finden Sie in den Leistungsrichtlinien für Amazon S3 und den Leistungsdesignmustern für Amazon S3.

Amazon S3 bietet automatisch für alle Anwendungen hohe Read-after-Write-Konsistenz, ohne Änderungen an der Leistung oder Verfügbarkeit, ohne Abstriche bei der regionalen Isolierung für Anwendungen und ohne zusätzliche Kosten. Mit starker Konsistenz von S3 vereinfacht S3 die Migration von lokalen Analyse-Workloads, da keine Änderungen an den Anwendungen vorgenommen werden müssen, und reduziert die Kosten, da für die Bereitstellung starker Konsistenz keine zusätzliche Infrastruktur erforderlich ist.

Alle Anfragen für S3-Speicher zeichnen sich durch hohe Konsistenz aus. Nach dem erfolgreichen Schreiben eines neuen Objekts oder dem Überschreiben eines vorhandenen Objekts, erhält jede nachfolgende Leseanforderung sofort die neueste Version des Objekts. S3 bietet auch hohe Konsistenz für Listenvorgänge, sodass Sie nach einem Schreibvorgang sofort eine Auflistung der Objekte in einem Bucket durchführen können, bei der Änderungen berücksichtigt werden.

Vorgesehene Verwendung und Einschränkungen

Die Nutzung dieses Service unterliegt der Amazon Web Services-Kundenvereinbarung.