Amazon S3 可扩展云存储如何全方位保护数据安全

2006 年，Amazon S3 可扩展云存储作为 Amazon Web Services 发布的第一款公有云服务面世，如今，成千上万的 Amazon Web Services 客户在利用 S3 创造各类激动人心的应用。从企业数据湖、机器学习存储，到HPC、渲染场景中的高性能共享存储，再到广泛的 web 应用中存储静态资源、日志、文件，Amazon S3 以其高扩展性、高持久性、低成本的特性，在云原生架构中发挥了至关重要的作用。

大量的企业的数字资产存储在 Amazon S3 上，随之而来的问题是我们如何做好 S3 数据的安全保护？

Amazon S3 本身提供了丰富的安全功能，作为企业的安全团队及IT研发、运维团队，应在自上而下的安全策略、基线、操作制定（Due Care）的基础上，积极并持续地评估 Amazon S3 以及其他 Amazon Web Services 服务所提供的各项安全功能，进行自下而上的安全防护措施的设计和落地（Due Diligence）。

Amazon S3 的访问控制功能一览

Amazon S3 提供了大量访问控制相关的功能，包括但不限于，

1.        Bucket ACL/Object ACL

2.        Bucket policy

3.        IAM policy (principle policy)

4.        Access Points

5.        Block Public Access

6.        Access Analyzer for S3

持续的安全功能发布有时会让客户感到疑惑，这么多的访问控制功能，是否属于过度设计，从易用性上是否打了折扣？

Amazon 所践行的十四条领导力准则提到了‘客户至尚’和‘创新简化’，同时 Amazon 的产品开发方法论也提倡 ‘Working Backwards’。遵照这些理念，Amazon Web Services 始终站在客户的角度开发客户所需要的服务和功能，也保证了新发布的每个功能都对应着一套原本难以解决的客户挑战。

在我们的现实世界中有大量的业务场景，对 S3 对象存储的访问控制提出了多角度要求，比如如何确保访问者和资源拥有者都能分别从自身需求角度管理访问权限，如何管理多账号甚至跨供应商的 S3 访问，如何在一个复杂组织中方便而精准地部署细粒度访问控制，如何在强制实施安全策略的同时给到业务、研发部门最大化的灵活度… 正是由于现实世界的需求驱动，才有了当前丰富的访问控制功能，同时每种新功能的发布都会确保对尚未探索该功能的客户的兼容和不受影响。

如果您需要进一步了解亚马逊云科技S3的更多功能与优势，便于您更加安全、灵活、高效地部署访问控制，可以前往亚马逊云科技官网进行S3免费试用。