本页面中描述的服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国区域的亚马逊云科技服务入门页面。中国区域的亚马逊云科技服务入门页面中,仅关于特定服务的“区域可用性”和“功能可用性和实现差异”的部分(但不包括其通过超链接援引的内容)构成您与光环新网或西云数据之间就您使用亚马逊云科技中国(北京)区域或亚马逊云科技中国(宁夏)区域服务达成的协议(“协议”)项下的“文档”的一部分,而该入门页面的其他内容不构成“协议”的任何部分。

Amazon S3 文档

Amazon Simple Storage Service(Amazon S3)具有多种功能,您可通过各种方式组织和管理您的数据,从而支持特定使用案例、实现成本效率、执行安全要求并满足合规要求。数据以对象的形式存储在名为“存储桶”的资源中。S3的功能包括将元数据标签附加到对象,跨S3 Storage Classes移动和存储数据,配置并实施数据访问控制,防止未经授权的用户访问数据,运行大数据分析,在对象级别和存储桶级别监控数据,以及查看您所在组织的存储使用情况和活动趋势。您可以通过S3 Access Points或直接通过存储桶主机名访问对象。
 
存储管理和监控
 
Amazon S3的平行且未分层的结构以及多种管理功能,帮助各种规模和行业的客户按照能够对其业务和团队带来利用价值的方式组织数据。所有对象在S3存储桶中存储,可以按照“前缀”的共享名称进行组织并存储。对于每个对象,您可以附加名为S3对象标签的键值对,这些键值对在对象的整个生命周期中可以创建、更新和删除。如需跟踪对象及其对应的标签、存储桶和前缀,您可以使用S3 Inventory报告,其中列出了S3存储桶中的已存储对象或具有特定前缀的已存储对象,及其相应的元数据和加密状态。S3 Inventory可配置为以每天或每周生成报告。
  
存储管理

 
借助S3存储桶名称、前缀、对象标签和S3 Inventory,您可以通过很多方式将您的数据进行分类以及报告您的数据,然后配置其他S3功能以进行操作。无论您存储数以千计或十亿级的对象,S3 Batch Operations批量操作可帮助您轻松管理您在Amazon S3中任意规模的数据。使用S3批量操作,只需一个S3 API请求或在Amazon S3控制台中单击几次,您便可在存储桶之间复制对象、替换对象标签集、修改访问控制,以及从Amazon S3 Glacier中恢复归档对象。您还可以使用S3批量操作在对象上运行Amazon Lambda函数,以执行自定义业务逻辑,例如处理数据或者转码图像文件。开始使用前,请使用S3 Inventory报告指定目标对象列表或者提供自定义列表,然后从预填充的菜单中选择所需操作。S3批量操作请求完成后,您会收到通知以及全部更改完成报告。

Amazon S3还支持帮助维护数据版本控制、防止意外删除以及在相同或不同的亚马逊云科技区域中复制数据的功能。S3 Versioning旨在使您可轻松保存、检索和还原存储至Amazon S3存储桶中的某个对象的各个版本,该操作可使您可以从意外的用户操作和应用程序故障中恢复。为防止意外删除,请在S3存储桶中启用Multi-Factor Authentication (MFA) Delete。如果您在启用了MFA Delete的存储桶中尝试删除某个存储的对象,存储桶会要求提供两种形式的身份验证:您的亚马逊云科技账户凭证以及有效序列号、空格以及显示在已批准身份验证设备(例如,硬件密钥卡或Universal 2nd Factor(U2F)安全密钥)。
 
利用S3 Replication,您可将对象(及其对应的元数据和对象标签)复制到相同或不同的亚马逊云科技区域的一个或多个目标存储桶,以减少延迟、确保合规性、安全性、灾难恢复和其他使用案例。您可以将S3 Cross-Region Replication(CRR)配置为从源S3存储桶复制到不同亚马逊云科技区域中的一个或多个目标存储桶。Amazon S3 Same-Region Replication(SRR)在同一亚马逊云科技区域内的存储桶之间复制对象。Amazon S3 Replication Time Control(S3 RTC)提供对复制时间的可见性以帮助您满足数据复制的合规性要求。
 
在访问跨亚马逊云科技区域复制的数据集时,Amazon S3 Multi-Region Access Points可提高性能。基于Amazon Global Accelerator,S3 Multi-Region Access Points点会考虑网络拥塞和请求应用程序的位置等因素,通过亚马逊云科技网络将您的请求动态传送至数据的最低延迟副本。S3 Multi-Region Access Points提供单个全局端点,您可以用来访问跨越S3中多个存储桶的复制数据集。该操作允许您使用在单个区域中采用的相同简单架构来构建多区域应用程序,然后在全球任意区域运行这些应用程序。
 
您还可以通过S3 Object Lock实施“一次写入多次读取(WORM)”策略。此S3管理功能旨在客户定义的保留期内阻止删除对象版本,让您能够通过实施保留策略来进一步保护数据或满足合规性要求。您可将工作负载从现有WORM系统迁移到Amazon S3,并在对象级别或存储桶级别配置S3对象锁定,防止在预定义的保留到期日期或法定保留日期之前删除对象版本。具有S3 Object Lock的对象会保留WORM保护,即使它们移动到具有S3生命周期策略的不同存储类。如需跟踪哪些对象具有S3 Object Lock,您可以参阅包含对象WORM状态的S3 Inventory报告。
 
存储监控
 
在这些管理功能之外,使用S3功能和其他亚马逊云科技服务来监视和控制您的S3资源。您可应用标签到S3存储桶,以便将成本分配到多个业务维度(例如成本中心、应用程序名称或拥有者),然后使用Amazon Cost Allocation Reports查看按存储桶标签聚合的使用情况和成本。您还可以使用Amazon CloudWatch跟踪您的亚马逊云科技资源的运行状况,并配置在估计费用达到用户设定的阈值时发送的账单提醒。另一个亚马逊云科技监视服务为Amazon Cost Allocation Reports CloudTrail,使用Amazon CloudTrail跟踪和报告存储桶级和对象级活动,并配置S3 Event Notifications,以触发工作流和提示,或在S3资源发生特定更改时调用Amazon Lambda。S3 Event Notifications在媒体文件上载至Amazon S3时自动进行转码,在数据文件可用时进行处理,并与其他数据存储同步对象。
 
存储分析和洞察
 
S3 Storage Lens
 
S3 Storage Lens提供了对象存储使用情况和活动趋势的组织范围可见性,并提出了可行的建议,以提高成本效益并应用数据保护最佳实践。S3 Storage Lens是首个能够在组织中为数以百计甚至上千个账户提供对象存储使用量和活动单一视图的云存储分析解决方案,并通过深入分析以生成账户、存储桶甚至前缀级别的见解。利用帮助客户优化存储的经验,S3 Storage Lens分析整个组织的指标以提供基于上下文的建议,从而找到降低存储成本的方法,并应用数据保护方面的最佳实践。
 
S3 Storage Class Analysis
 
Amazon S3 Storage Class Analysis功能将分析存储访问模式,以帮助您决定何时将相应数据传输至正确的存储类。该功能可观察数据访问模式,从而帮助您确定何时将访问频率较低的存储转换为成本较低的存储类。您可以利用结果帮助改善S3 Lifecycle策略。您可以配置存储类分析以分析存储桶中的所有对象。或者,您可以配置筛选条件将对象分在一组,以便按常用前缀、对象标签或同时按前缀和标签进行分析。
 
存储类别
 
借助Amazon S3,您可以在多种不同的S3 Storage Classes中存储数据:S3 Intelligent-Tiering、S3 Standard、S3 Standard-Infrequent Access (S3 Standard-IA)、S3 One Zone-Infrequent Access (S3 One Zone-IA)、S3 Glacier Instant Retrieval、S3 Glacier Flexible Retrieval、S3 Glacier Deep Archive以及S3 Outposts。
 
每个S3 Storage Class支持特定的数据访问级别,并具有对应的成本或地理位置。
 
对于访问模式不断变化、未知或不可预测的数据,例如数据湖、分析或新应用程序,请使用S3 Intelligent-Tiering,S3 Intelligent-Tiering会自动优化您的存储成本。S3 Intelligent-Tiering自动在三个低延迟访问层之间移动您的数据,这些访问层针对频繁、不频繁和罕见的访问进行了优化。当对象的子集随着时间的推移被归档时,您可以激活专为异步访问而设计的归档访问层。
 
对于更易于预测的访问模式,您可以将关键任务型生产数据存储在S3 Standard中以经常访问,将不经常访问的数据存储在S3 Standard-IA或S3 One Zone-IA中以节省成本,并在归档存储类—S3 Glacier Instant Retrieval、S3 Glacier Flexible Retrieval以及S3 Glacier Deep Archive中以最低成本归档数据。您可以使用S3 Storage Class Analysis监控对象的访问模式,以发现应该移动至较低成本存储类的数据。然后,您可以使用此信息来配置进行数据传输的S3 Lifecycle策略。S3 Lifecycle策略还可用于在数据的生命周期结束时将这些数据失效。
 
访问管理与安全性
 
访问管理
 
为保护您在Amazon S3中的数据,默认情况下用户只有自己所创建S3资源的访问权限。您可使用以下访问管理功能之一或者功能组合来向其他用户授予访问权限:Amazon Identity and Access Management(IAM)(创建用户并管理其相应的访问权限);Access Control Lists(ACL)(单独对象可供授权用户访问);存储桶策略(配置单个S3存储桶中所有对象的访问权限);S3 Access Points(通过创建具有名称和每个应用程序或应用程序组特定权限的访问点,简化共享数据集的数据访问管理);以及Query String Authentication(通过临时URL向其他用户授予限时访问权限)。Amazon S3还支持Audit Logs,其中列出对您S3资源发出的请求,从而清楚地了解谁访问了哪些数据。

 
安全性
 
Amazon S3提供了灵活的安全功能,用于阻止未经授权的用户访问数据。使用VPC终端节点从您的Amazon Virtual Private Cloud(Amazon VPC)以及从本地连接到S3资源。Amazon S3支持服务器端加密(提供多个密钥管理选项)和用于数据上传的客户端加密。使用S3 Inventory可以检查S3对象的加密状态。
 
S3 Block Public Access是一组安全控制功能,可帮助您配置S3存储桶和对象以阻止公共访问。只需在Amazon S3 Management Console中单击几次,您即可对亚马逊云科技账户内的所有存储桶或特定S3存储桶应用S3 Block Public Access设置。将设置应用到某个亚马逊云科技账户之后,与该账户关联的任何现有或新的存储桶及对象将继承阻止公共访问的设置。S3 Block Public Access会覆盖其他S3访问权限,使账户管理员能够轻松实施“无公共访问”策略,而不管如何添加对象、如何创建存储桶或者是否存在现有的访问权限。S3 Block Public Access控制是可审核的,提供了更进一步的控制,并可使用Amazon Trusted Advisor存储桶权限检查、Amazon CloudTrail日志和Amazon CloudWatch警报。您应为不希望公开访问的所有账户和存储桶启用阻止公共访问。
 
S3 Object Ownership功能禁用了访问控制列表(Access Control Lists,“ACL”),将所有对象的所有权更改为存储桶所有者,并简化了对存储在S3中的数据的访问管理。当您配置S3 Object Ownership存储桶所有者强制设置时,ACL将不再影响您的存储桶及其中对象的权限。所有访问控制都将使用基于资源的策略、用户策略或这些策略的某种组合来定义。
 
借助局限于Virtual Private Cloud(VPC)的S3访问点,您可以在您的私有网络内轻松为您的S3数据设置防火墙。此外,您可以使用Amazon Service Control Policies,要求组织中的任何新S3访问点仅支持VPC访问。
 
IAM Access Analyzer for S3功能可帮助您在为S3存储桶和访问点设置、验证和优化策略时简化权限管理。Access Analyzer for S3可监控您现有的存储桶访问策略,以验证它们是否仅提供对S3资源的必要访问权限。Access Analyzer for S3会评估您的存储桶访问策略,以便您可以快速修复任何具有不必要访问权限的存储桶。在查看显示对存储桶的潜在共享访问权限的结果时,只需单击S3控制台,即可阻止对存储桶的公共访问。出于审核目的,您可将Access Analyzer for S3结果下载为CSV报告。此外,S3控制台可以在您编写S3策略时报告IAM Access Analyzer中的安全警告、错误和建议。该控制台将会自动运行100多项策略检查,以验证您的策略。这些检查可以为您节约时间,指导您解决错误,并帮助您应用安全最佳实践。
 
IAM通过提供某用户或角色上次使用S3及执行相关操作的时间戳,让您可以更轻松地分析访问与降低权限,以便实施最低权限原则。使用此“上次访问”信息分析S3访问,确定未被使用的权限,并将其移除。
 
Amazon PrivateLink for S3在Amazon S3与本地之间提供私有连接。您可以在VPC中为S3预置接口VPC终端节点,以通过Amazon Direct Connect或Amazon VPN将本地应用程序直接与S3连接。为S3发送到接口VPC终端节点的请求会通过Amazon网络自动路由到S3。您可以设置安全组并为接口VPC终端节点配置VPC终端节点策略,以进行其他访问控制。
 
数据处理
 
S3 Object Lambda

 
借助S3 Object Lambda,您可以将自己的代码添加到S3 GET请求中,以便在数据返回到应用程序时修改和处理数据。您可使用自定义代码修改标准S3 GET请求返回的数据,以便实施筛选行、动态调整图像大小、隐去机密数据等操作。在Amazon Lambda函数的支持下,无需对应用程序进行任何更改,您的代码即可在亚马逊云科技完全托管的基础设施上运行,不必创建和存储数据的衍生副本,也不必运行昂贵的代理。
 
S3 Object Lambda使用Amazon Lambda函数处理标准S3 GET请求的输出。Amazon Lambda是一种无服务器计算服务,无需管理底层计算资源,即可运行客户定义的代码。只需在亚马逊云科技管理控制台中单击几下,即可配置Lambda函数并将其附加到S3 Object Lambda Access Point。此后,S3将自动调用Lambda函数来处理通过S3 Object Lambda Access Point检索到的任何数据,并将转换后的结果返回应用程序。您可以编写和执行自己的自定义Lambda函数,根据您的特定使用案例定制S3 Object Lambda的数据转换。
 
即时查询

Amazon S3具有内置功能和补充服务,可以查询数据而无需复制并将数据加载到单独的分析平台或数据仓库。这意味着您可以直接对存储在Amazon S3中的数据运行大数据分析。S3 Select是一种为查询设计的S3功能,按照设计将查询性能提升高达400%,并将减少查询成本高达80%。其工作方式是检索某个对象的数据子集(使用简单SQL表达式)而非整个对象。

Amazon S3还与Amazon分析服务Amazon Athena和Amazon Redshift Spectrum兼容。
 
数据传输
 
Amazon提供数据传输服务组合,从而为任何数据迁移项目提供适当解决方案。连接水平是数据迁移的重大影响因素,Amazon提供可解决您的混合云存储、在线数据传输和离线数据传输需求的产品。
 
混合云存储:Amazon Storage Gateway是一种混合存储服务,让您可以将本地应用程序无缝连接并扩展到Amazon存储。客户使用Storage Gateway将磁带库无缝替代为云存储,提供云存储支持的文件共享,或创建低延迟缓存来访问亚马逊云科技中本地应用程序的数据。
 
在线数据传输:Amazon DataSync可以轻松将大数据集传输至Amazon S3。DataSync可自动处理或消除很多手动任务,包括脚本复制作业、计划和监控传输、验证数据和优化网络利用率。此外,您还可以使用Amazon DataSync在S3 on Outposts上的存储桶与亚马逊云科技区域中存储的存储桶之间复制对象。Amazon Transfer Family使用SFTP、FTPS和FTP提供至Amazon S3的完全托管文件传输。Amazon S3 Transfer Acceleration可在客户与您的Amazon S3存储桶之间实现快速的远距离文件传输。
 
离线数据传输:Amazon Snow Family是专为网络容量受限或不存在的边缘站点构建的服务,可在恶劣的环境中提供存储和计算功能。Amazon Snowball服务使用坚固的便携式存储和边缘计算设备来进行数据收集、处理和迁移。客户可以运送物理Snowball设备来进行至亚马逊云科技的离线数据迁移。
 
客户也可以与Amazon Partner Network(APN)中的第三方服务提供商合作部署混合存储架构、将Amazon S3集成到现有应用程序和工作流中,以及在Amazon Cloud之间往返传输数据。 
 
性能

 
Amazon S3提供行业领先的云对象存储性能。Amazon S3对并行请求的支持意味着您可以按照计算集群的系数扩展S3性能,而无需对应用程序进行任何自定义。性能按前缀扩展,因此您可以并行使用尽可能多的前缀,从而实现所需的吞吐量。前缀的数量没有限制。Amazon S3性能每秒至少支持3500个添加数据请求,每秒至少支持5500个检索数据请求。每个S3前缀均支持这些请求速率,因此可以轻松实现显著的性能提升。
 
如需实现此S3请求速率性能,您无需随机化对象前缀即可实现更快的性能。换言之,您现在可以在S3对象命名中使用逻辑或顺序命名模式,而不会对性能产生任何影响。
 
一致性
 
Amazon S3自动为所有应用程序提供强大的写入后读取一致性,无需更改性能或可用性,无需牺牲应用程序的区域隔离性,并且无需额外费用。借助S3强大的一致性,无需对应用程序进行更改,从而简化了本地分析工作负载的迁移,并且无需提供强一致性的额外基础设施,进而降低了成本。
 
对S3存储的任何请求均高度一致。成功写入新对象或覆盖现有对象后,任何后续读取请求都会立即收到该对象的最新版本。S3还为列表操作提供强大的一致性,因此在写入之后,可以立即在存储桶中执行对象列表,并反映所有更改。
 
其他信息
 
有关服务控制、安全特性及功能的其他信息,包括有关存储、检索、修改、限制和删除数据的信息,请参见https://docs.amazonaws.cn/。以上链接包含的信息不构成光环新网关于亚马逊云科技(北京区域)的客户协议或西云数据关于亚马逊云科技(宁夏区域)的客户协议的“文档”的一部分,也不构成您与光环新网或西云数据之间就您使用亚马逊云科技中国区域服务达成的其他协议的任何部分。


关闭
1010 0766
由光环新网运营的
北京区域
1010 0966
由西云数据运营的
宁夏区域
关闭
由光环新网运营的
北京区域
由西云数据运营的
宁夏区域