我們的企業(yè)在亞馬遜S3上存儲了不同類型的數(shù)據(jù)，包括視頻和圖表。有哪些選擇可以確保亞馬遜S3 bucket的安全，并且加密我們的數(shù)據(jù)?

[[156806]]

亞馬遜S3 bucket和對象可以通過互聯(lián)網(wǎng)訪問。AWS安全控制用來保護(hù)其他的資源，比如安全群組和網(wǎng)絡(luò)訪問控制列表，但不保護(hù)S3中的數(shù)據(jù)。但是也有一些方法可以保護(hù)S3中的數(shù)據(jù)的機(jī)密性、完整性和可用性。

默認(rèn)方式下，創(chuàng)建于亞馬遜簡單存儲服務(wù)(S3)的對象只能夠?yàn)閯?chuàng)建它們的人訪問。所有者可以授權(quán)其他人以粗粒度和細(xì)粒度的方式訪問。比如一位所有者可以讓數(shù)據(jù)集公開使用，每一個(gè)人都可以用這個(gè)對象的URL來訪問。

或者所有者可以使用S3策略和身份及訪問管理用戶和群組，允許有限的用戶集訪問。S3策略也可以基于網(wǎng)絡(luò)連接屬性限制運(yùn)行。如果你只希望企業(yè)網(wǎng)絡(luò)的用戶訪問S3中的對象，指定所有的連接都從一個(gè)可信任的IP地址范圍發(fā)出。其他地址嘗試訪問則會被拒絕。

如果你希望確保從S3下載下來的數(shù)據(jù)是加密的，拒絕訪問任何不適SSL加密的連接。

還有一些方法可以用來在S3中實(shí)現(xiàn)加密。如果你使用AWS Key Management Service，就可以使用服務(wù)器端加密，允許亞馬遜Web服務(wù)(AWS)管理加密密鑰。為了管理你自己的密鑰，你需要使用服務(wù)器端加密密鑰，并且在企業(yè)內(nèi)部保存。第三種選擇是在將數(shù)據(jù)發(fā)送到AWS之前加密數(shù)據(jù)。在這種場景中，你要管理加密流程的所有方面。

對于在S3中保護(hù)數(shù)據(jù)而言，審計(jì)是一個(gè)重要的安全流程。存儲管理員可以配置亞馬遜S3 bucket來記錄所有的請求特定bucket的細(xì)節(jié)。他們可以在其他的亞馬遜S3 bucket中存儲日志文件，并且用不同的訪問控制授權(quán)來最小化干預(yù)。