一般性问题
问:什么是 Amazon S3?
Amazon S3 是一种面向 Internet 的存储服务。它是一种简单的存储服务,以很低的成本为软件开发人员提供高度可扩展、可靠且延迟低的数据存储基础设施。
问:Amazon S3 可以用来做什么?
Amazon S3 提供一个简单的 Web 服务接口,可用于在 Web 上随时随地存储和检索任意数量的数据。使用此 Web 服务,开发人员可以轻松地构建利用互联网存储的应用程序。由于 Amazon S3 具有很高的可扩展性,而且您只需按实际用量付费,因此开发人员可以从较小用量起步,根据需要扩展应用程序,而不影响性能或可靠性。其设计具有很高的灵活性:存储您需要的任意类型和任意数量的数据;读取相同数据一百万次,或者仅在紧急灾难恢复时读取;构建简单的 FTP 应用程序或复杂的 Web 应用程序,例如 Amazon.com 零售网站。Amazon S3 可以将开发人员解放出来,让他们专注于创新,而不是考虑如何存储数据。
问:Amazon S3 有哪些技术优势?
Amazon S3 经过精心设计,可以满足 Amazon 内部开发人员必须达到的可扩展性、可靠性、速度、低成本和简易性要求。Amazon S3 可为任何外部开发人员提供这些相同优势。有关 Amazon S3 设计要求的更多信息,请参阅 Amazon S3 功能页面。
问:开发人员现在可以完成哪些以前无法做到的事情?
小规模的开发人员团队以前一直无法获得类似于 Amazon 的先进、可扩展的数据存储基础设施。Amazon S3 可以让任何开发人员利用 Amazon 自有的大规模优势,不需要预先投入资金,也不会影响性能。现在,开发人员可以尽情创新,因为他们知道无论其业务变得多么成功,他们都可以通过经济而简单的方式来确保其数据便于用户快速访问、始终可用且安全。
问:我可以存储多少数据?
您可以存储的数据总量和对象数量不受限制。各个 Amazon S3 对象的大小可能在 1 字节至 5TB 之间。可在单个 PUT 中上传的最大对象为 5GB。对于大于 100MB 的对象,客户应考虑使用分段上传功能。
问:如何删除大量对象?
您可以使用多对象删除,将大量对象从 Amazon S3 删除。借助此功能,您可以通过单个请求发送多个数据对象键,以加快删除速度。Amazon 不会向您收取使用多对象删除的费用。
问:Amazon 是否将其数据存储在 Amazon S3 中?
是。Amazon 内的开发人员会在众多项目中使用 Amazon S3。其中很多项目均使用 Amazon S3 作为权威数据存储,并依赖它执行关键业务型操作。
问:Amazon S3 数据的组织方式是什么?
Amazon S3 是基于密钥的简单对象存储。存储数据时,您应分配唯一对象密钥,此后可使用该密钥来检索数据。密钥可以是任何字符串,并可以模仿分层结构属性。
问:我如何与 Amazon S3 连接?
Amazon S3 提供基于标准的简单 REST Web 服务接口,该接口可与任何互联网开发工具包结合使用。我们特意对这些操作进行了简化,以便轻松添加新的分发协议和功能层。
问:Amazon S3 的可靠性如何?
Amazon S3 让所有开发人员能够访问同一个高度可扩展、快速可靠、低成本的数据存储基础设施,Amazon 使用该基础设施来运行自身的全球网站网络。S3 标准的设计可实现 99.99% 的可用性,标准 – IA 的设计可实现 99.9% 的可用性。两者都受到 Amazon S3 服务等级协议的支持。
问:如果来自我的应用程序的流量突然达到峰值,会出现什么情况?
Amazon S3 的设计初衷就是为了处理来自任何互联网应用程序的流量。按用量付费的定价以及无限制的容量,可以确保您的增量成本不会变化,而且您的服务也不会中断。Amazon S3 的庞大规模使得我们能够均衡地分布负载,因此,任何应用程序都不会受到流量峰值的影响。
问:Amazon S3 的一致性模型是什么?
Amazon S3 针对任意存储请求自动提供强大的写后读一致性,而无需更改性能或可用性,也不会影响应用程序的区域隔离,且无需支付额外费用。
对 S3 存储的任何请求现在具有强一致性。成功写入新对象或覆盖现有对象后,任何顺序读取请求将立即收到对象的最新版本。S3 还为列表操作提供了强一致性,因此写入后,您可以立即列出存储桶中的对象,并反映所有更改。
问:强写后读一致性为何对我有所帮助?
当您需要在写入后立即读取对象时,强写后读一致性可为您提供帮助。例如,强写后读一致性可帮助处理 Apache Spark 和 Apache Hadoop 等工作负载,在这些工作负载中,您经常在写入对象后立即读取并列出。当对象被覆盖随后立即读取很多次时,强写后读一致性确保所有读取操作读取的都是最新写入,从而使高性能计算工作负载也受益。这些应用程序将自动立即受益于强写后读一致性。S3 强一致性还可降低成本,而无需使用额外的基础设施来提供强一致性。
问:数据在 Amazon S3 中的安全性如何?
Amazon S3 本身是非常安全的。创建后,只有您有权访问自己创建的 Amazon S3 存储桶,并且可以完全控制谁有权访问您的数据。Amazon S3 支持用户身份验证,以控制对数据的访问。您可以使用各种访问控制机制(例如存储桶策略),选择性地向用户和用户组授予权限。Amazon S3 控制台会突出显示您可公开可访问的存储桶,注明公共可访问性的来源,并且还会在您的存储桶策略或存储桶 ACL 发生的更改将使您的存储桶可公开访问时,向您发出警告。您应该为不希望公开访问的所有账户和存储桶启用 Block Public Access。
您可以使用 HTTPS 协议,通过 SSL 端点安全地向 Amazon S3 上传数据或从 Amazon S3 下载数据。Amazon S3 会自动加密上传到存储桶的所有对象(从 2023 年 1 月 5 日起)。 或者,您也可以使用自己的加密库在将数据存储到 Amazon S3 之前对其进行加密。
有关更多信息,请访问 S3 用户指南。
问:对存储在 Amazon S3 中的数据进行加密时,可以使用哪些选项?
Amazon S3 将会对上传至任何存储桶的所有新数据进行加密。Amazon S3 将 S3 托管式服务器端加密(SSE-S3)用作对所有上传对象加密的基本级别(从 2023 年 1 月 5 日起)。SSE-S3 提供了一种完全托管式解决方案,亚马逊云科技在该解决方案中使用多个安全层处理密钥管理和密钥保护。如果您更喜欢亚马逊管理您的密钥,则可以继续使用 SSE-S3。此外,您可以选择使用 SSE-C、SSE-KMS 或客户端库(例如 Amazon S3 加密客户端)加密数据。所有四个选项都可以将加密的敏感数据以静态方式存储在 Amazon S3 中。
SSE-C 允许 Amazon S3 对您的对象进行加密和解密,同时保留对用于加密对象的密钥的控制权。借助 SSE-C,您无需实施或使用客户端库来对 Amazon S3 中储存的对象执行加密和解密操作,但是需要对您发送到 Amazon S3 中执行对象加密和解密操作的密钥进行管理。如果您希望保留自己的加密密钥而不想实施或使用客户端加密库,请使用 SSE-C。
SSE-KMS 使 Amazon Key Management Service (KMS) 可以管理您的加密密钥。使用 Amazon KMS 管理您的密钥有几项额外的好处。利用 Amazon KMS,会设置几个单独的主密钥使用权限,从而提供额外的控制层并防止 Amazon S3 中存储的对象遭到未授权访问。Amazon KMS 提供审计跟踪,因此您能看到谁使用了您的密钥在何时访问了哪些对象,还能查看用户在没有解密数据的权限下所作的访问数据失败尝试次数。同时,Amazon KMS 还提供额外的安全控件,为客户遵守 PCI-DSS、HIPAA/HITECH 和 FedRAMP 行业要求的努力提供支持。
DSSE-KMS 可简化对数据应用双层加密的过程,无需投资客户端加密所需的基础设施。每层加密都使用不同的采用伽罗瓦计数器模式(Galois Counter Mode,简称 AES-GCM)算法的 256 位高级加密标准实现,并且通过了绝密工作负载使用审查和认可。DSSE-KMS 使用 Amazon KMS 来生成数据密钥,并让 Amazon KMS 管理您的加密密钥。使用 Amazon KMS 时,您需要多个单独的 KMS 密钥使用权限,从而提供额外的控制层并防止 Amazon S3 中存储的对象遭受未经授权的访问。Amazon KMS 提供审计跟踪,从而让您能看到谁使用您的密钥在何时访问了哪些对象,还能查看用户在没有数据解密权限的情况下而访问数据失败的尝试次数。同时,Amazon KMS 还提供额外的安全控件,为客户遵守 PCI-DSS 等行业要求的努力提供支持。
使用 Amazon S3 加密客户端之类的加密客户端库,您可以保持对密钥的控制,并使用您选择的加密库完成对象客户端的加密和解密。一些客户倾向于对加密和解密对象拥有完全端到端的控制权;这样一来,只有经过加密的对象才会通过互联网传输到 Amazon S3。如果您想掌握对加密密钥的控制权,应该使用客户端库,这样便可实施或使用客户端加密库,同时在将对象传输到 Amazon S3 进行储存之前需要对其进行加密。
有关使用 Amazon S3 SSE-S3、SSE-C 或 SSE-KMS 的更多信息,请参阅《Amazon S3 用户指南》中的使用加密主题。
问:如何控制对我存储在 Amazon S3 上的数据的访问?
客户可以使用多种机制来控制对 Amazon S3 资源的访问,包括 Identity and Access Management(IAM)策略、存储桶策略、接入点策略、访问控制列表(ACL)、查询字符串身份验证、虚拟私有云(VPC)端点策略以及 Amazon S3 Block Public Access。
IAM
IAM 让拥有多名员工的组织能够在一个亚马逊云科技账户下创建和管理多个用户。使用 IAM 策略,客户可向 IAM 用户授予对 Amazon S3 存储桶或对象的精细控制权,同时保留对用户执行的所有操作的完全控制。
存储桶和接入点策略
使用存储桶策略和接入点策略,客户可以定义广泛适用于其 Amazon S3 资源的所有请求的规则,例如为 Amazon S3 资源的子集授予写入权限。客户还可以基于请求的某种特征(例如 HTTP 引用站点和 IP 地址)来限制访问。
ACL
Amazon S3 支持 S3 的原始访问控制方法,即访问控制列表(ACL)。通过 ACL,客户可为特定用户授予对单个存储桶或对象的特定权限(例如 READ、WRITE、FULL_CONTROL)。对于更喜欢将策略专门用于访问控制的客户,Amazon S3 提供了 S3 对象所有权功能来禁用 ACL。 如果要迁移到基于 IAM 的存储桶策略,在启用 S3 对象所有权之前,您可以使用 S3 清单来查看存储桶中的 ACL 使用情况。
查询字符串身份验证
通过查询字符串身份验证,客户可以为 Amazon S3 对象创建一个仅在有限时间内有效的 URL。有关 Amazon S3 中的各种可用访问控制策略的更多信息,请参阅 Amazon S3 用户指南中的访问控制主题。
Amazon VPC
当客户创建 Amazon VPC 端点时,他们可以向该端点附加端点策略,以控制对其所连接的 Amazon S3 资源的访问。客户还可以使用 Amazon S3 存储桶策略来控制从特定端点或特定 VPC 对存储桶的访问。
S3 Block Public Access
Amazon S3 屏蔽公共访问权限提供接入点、存储桶和账户的相关设置,以帮助客户管理对 Amazon S3 资源的公共访问。借助 S3 屏蔽公共访问权限,账户管理员和存储桶拥有者可以轻松设置集中控制,以限制对其 Amazon S3 资源的公共访问,无论这些资源是如何创建的,都会强制执行。 默认情况下,所有新的存储桶都已开启“屏蔽公共访问权限”。
在 Amazon IAM 用户指南中了解有关策略和权限的更多信息。
服务等级协议 (SLA)
问:Amazon S3 是否提供服务等级协议 (SLA)?
是。如果客户的月度正常运行时间百分比在任何账单周期内低于我们的服务承诺,Amazon S3 SLA 将提供服务补偿。在服务等级协议中可以找到更多信息。
计费
问:Amazon S3 的费用是多少?
使用 Amazon S3,您只需可以按实际用量付费。没有最低消费。
当我们的成本较低时,我们的收费也比较低。对于通过 COPY 请求在 Amazon S3 亚马逊云科技中国(北京)区域或亚马逊云科技中国(宁夏)区域内部传输的数据,不收取数据传输费用。对于在亚马逊云科技中国(北京)区域或亚马逊云科技中国(宁夏)区域内部的 Amazon EC2 和 Amazon S3 之间传输的数据,不收取数据传输费用。对于跨两个亚马逊云科技区域的 Amazon EC2 和 Amazon S3 之间传输的数据(如在 Amazon EC2 亚马逊云科技中国(宁夏)区域和 Amazon S3 亚马逊云科技中国(北京)区域之间传输),将按照在账单控制台的定价部分中规定的 Internet 传输费率收费。
问:使用 Amazon S3 如何收费和计费?
开始使用服务时,没有安装费,也无需签订长期使用合约。我们将在月底向您收取当月的使用费。您可以随时在亚马逊云科技管理控制台上查看当前账单期的费用,只需登录您的亚马逊云科技账户,并单击“您的 Web Services 账户”下的“账户活动”。
问:通过亚马逊云科技管理控制台访问 Amazon S3 如何付费?
通过亚马逊云科技管理控制台访问 Amazon S3 时,我们将按该服务的正常定价收费。为提供优化的体验,亚马逊云科技管理控制台可以主动执行请求。此外,某些交互操作可能导致对服务的多个请求。
问:你们的价格是否包括税金?
我们的定价不包含适用的税费和关税(包括增值税和适用的销售税)。
安全性
S3 Access Grants
问:Amazon S3 Access Grants 是什么?
Amazon S3 Access Grants 可将 Active Directory 等目录中的身份或 Amazon Identity and Access Management(IAM)主体映射至 S3 中的数据集。这可以根据最终用户的企业身份,自动向其授予 S3 访问权限,从而帮助您大规模管理数据权限。此外,S3 Access Grants 还会在 Amazon CloudTrail 中记录最终用户身份和用于访问 S3 数据的应用程序。这有助于提供直至最终用户身份级别的详细审核历史记录,以供您了解对 S3 存储桶中数据的所有访问情况。
问:我为什么应该使用 S3 Access Grants?
如果您的 S3 数据被许多用户和应用程序共享和访问,其中一些用户和应用程序的身份位于 Okta 或 Entra ID 等企业目录中,并且您需要一种可扩展、简单、可审核的方式大规模授予对这些 S3 数据集的访问权限,那么您就应该使用 S3 Access Grants。
问:如何开始使用 S3 Access Grants?
您可以通过四个步骤开始使用 S3 Access Grants。首先,配置 S3 Access Grants 实例。在此步骤中,如果您想对企业目录中的用户和组使用 S3 Access Grants,请启用 IAM Identity Center,并将 S3 Access Grants 连接到 Identity Center 实例。然后,使用 S3 Access Grants 注册一个位置。在此过程中,您将向 S3 Access Grants 授予一个 IAM 角色,用于创建临时 S3 凭证,用户和应用程序可以使用该凭证访问 S3。接下来,定义权限的授予情况,以指定谁可以访问哪些内容。最后,在访问时,让应用程序向 S3 Access Grants 申请临时凭证,并使用 Access Grants 提供的凭证访问 S3。
问:S3 Access Grants 支持向哪些类型的身份授予权限?
S3 Access Grants 支持两种身份:来自 Amazon IAM Identity Center 的企业用户或组身份,以及 Amazon IAM 主体(包括 IAM 用户和角色)。将 S3 Access Grants 与 IAM Identity Center 搭配使用时,您可以根据目录组的成员资格定义数据权限。IAM Identity Center 是一项 Amazon 服务,可连接到常用的身份供应商,包括 Entra ID、Okta、Ping 等。除了通过 IAM Identity Center 支持目录身份外,S3 Access Grants 还支持 IAM 主体(包括 IAM 用户和角色)的权限规则。这适用于以下用例:通过 IAM 和 SAML 断言(示例实施)管理自定义身份联合验证,而不是通过 IAM Identity Center;或基于 IAM 主体管理应用程序身份,但由于需要 S3 Access Grants 的可扩展性和可审核性,仍希望使用 S3 Access Grants。
问:S3 Access Grants 提供哪些不同的访问级别?
Access Grants 提供三个访问级别:读取、写入和读写。读取允许您查看和检索来自 S3 的对象。写入允许您在 S3 中写入和删除。读写同时允许您进行读取和写入。
问:我可以自定义访问级别吗?
不可以。您只能使用 S3 Access Grants 提供的三个预定义访问级别(读取/写入/读写)。
问:S3 Access Grants 是否有任何限制?
有。每个 S3 Access Grants 实例最多可创建 10 万个授权,以及最多 1000 个位置。
问:使用 S3 Access Grants 时,是否会对数据访问产生任何性能影响?
不会。从 S3 Access Grants 获得凭证后,您可以在后续请求中重复使用未过期的凭证。对于这些后续请求,与其他方法相比,通过 S3 Access Grants 凭证进行身份验证的请求不会出现额外的延迟。
问:使用 S3 Access Grants 还需要哪些其他 Amazon Web Services 服务?
如果打算将 S3 Access Grants 用于目录身份,则需要先设置 Amazon IAM Identity Center。Amazon IAM Identity Center 可帮助您创建或连接员工身份(无论这些身份是在 Identity Center 中创建和存储的,还是在外部第三方身份供应商处创建和存储的)。有关设置过程,请参阅 Identity Center 文档。设置 Identity Center 实例后,您就可以将该实例连接到 S3 Access Grants。此后,S3 Access Grants 依靠 Identity Center 检索用户属性(如组成员资格),以评估请求并做出授权决策。
问:使用 S3 Access Grants 是否需要在客户端做出修改?
是的。如今,您可以使用与应用程序相关联的 IAM 凭证(例如,EC2 的 IAM 角色凭证,或 IAM Roles Anywhere;或使用长期 IAM 用户凭证)初始化 S3 客户端,而在初始化 S3 客户端之前,您的应用程序需要先获取 S3 Access Grants 凭证。这些 S3 Access Grants 凭证将特定于应用程序中经过身份验证的用户。使用这些 S3 Access Grants 凭证初始化 S3 客户端后,就可以像往常一样使用这些凭证请求 S3 数据。
问:既然在客户端做出修改是必需的,如今有哪些 Amazon Web Services 服务和第三方应用程序能够与 S3 Access Grants 的开箱即用集成?
如今,通过 S3A 连接器,S3 Access Grants 已经可以与 EMR 及开源的 Spark 集成。此外,S3 Access Grants 还可与 Immuta 和 Informatica 等第三方软件集成,以便您集中管理权限。最后,S3 Access Grants 支持 Terraform 和 CloudFormation,可让您以编程方式预置 S3 Access Grants。
问:S3 Access Grants 是否可以取代 Amazon IAM?
不可以。S3 Access Grants 无法取代 IAM。实际上,它可以与基于 IAM 的现有数据保护策略(加密、网络、数据边界规则)完美配合。S3 Access Grants 基于 IAM 基元构建,允许您大规模地表达更精细的 S3 权限。
问:S3 Access Grants 是否可以与 KMS 配合使用?
可以。要对使用 KMS 加密的对象使用 S3 Access Grants,存储桶所有者应在注册位置的过程中,将必要的 KMS 权限包含在要授予 S3 Access Grants 的 IAM 角色中。然后,S3 Access Grants 就可以利用该 IAM 角色,访问存储桶中的 KMS 加密对象。
问:如何查看和管理 S3 Access Grants 的权限授予情况?
要查看和管理 S3 Access Grants 权限,您可以使用 Amazon Web Services 管理控制台中的 S3 Access Grants 控制台体验,或使用 SDK 和 CLI API。
问:可以通过 S3 Access Grants 向公众授予对数据的访问权限吗?
不可以,您不能使用 S3 Access Grants 授予公众对数据的访问权限。
问:如何审核通过 S3 Access Grants 授权的请求?
应用程序使用 S3 Access Grants 发起数据访问会话的请求将记录在 CloudTrail 中。CloudTrail 将区分发出请求的用户身份,以及代表用户访问数据的应用程序身份。这可以帮助您审核最终用户身份,以了解谁在什么时候访问了哪些数据。
问:S3 Access Grants 如何定价?
S3 Access Grants 根据向 S3 Access Grants 发出的请求次数收费。有关详细信息,请参阅定价页面。
问:S3 Access Grants 和 Lake Formation 之间有什么关系?
Amazon Lake Formation 适用于需要管理表格数据(例如 Glue 表)访问权限的用例,在这些用例中,您可能需要强制实施行级和列级的访问权限。S3 Access Grants 用于管理直接访问 S3 的权限,例如对非结构化数据(包括视频、图片、日志等)的访问。
问:S3 Access Grants 是否与 IAM Access Analyzer 集成?
没有。S3 Access Grants 目前未与 IAM Access Analyzer 集成。您目前还不能使用 IAM Access Analyzer 分析 S3 Access Grants 的权限授予情况。客户可以访问 S3 控制台中的 S3 Access Grants 页面直接审核 S3 Access Grants,也可以使用 ListAccessGrants API 以编程方式进行审核。
S3 接入点
问:什么是 Amazon S3 接入点?
如今,客户使用单一存储桶策略来管理对其 S3 存储桶的访问。该策略可按照不同权限级别来控制数百个应用程序的访问。
对于在 S3 上使用共享数据集的应用程序,Amazon S3 接入点可以简化大规模数据访问管理。借助 S3 接入点,您现在可以轻松为每个存储桶创建数百个接入点,这是一种配置共享数据集访问权限的新方法。接入点提供进入存储桶的自定义路径,它的主机名是唯一的,且访问策略可对通过接入点发出的任何请求强制执行特定的权限和网络控制。S3 接入点可与同一账户或其他可信账户中的存储桶关联。要了解更多信息,请访问用户指南。
问:我为什么要使用接入点?
S3 接入点简化了 S3 上共享数据集的数据访问的管理过程。您不再需要管理具有数百种不同权限规则的单个复杂的存储桶策略,也无需编写、读取、跟踪和审核这些规则。借助 S3 接入点,您可以创建接入点或向可信账户委派权限,以在存储桶上创建跨账户接入点。这样便可通过为特定应用程序制定的策略,授予访问共享数据集的权限。
使用 S3 接入点,您可以为每个需要访问共享数据集的应用程序将大型存储桶策略分解为各自独立的接入点策略。这样可以更轻松地专注于为应用程序构建正确的访问策略,而不必担心会干扰任何其他应用程序在共享数据集中的操作。您还可以创建服务控制策略(SCP),并要求将所有接入点限制为虚拟私有云(VPC),将数据限制在专用网络内。
问:S3 接入点的工作原理是什么?
每个 S3 接入点都配置了特定应用场景或应用程序的访问策略,并且一个存储桶可以有成千上万个接入点。例如,您可以为 S3 存储桶创建接入点,从而为用户组或应用程序组授予数据湖的访问权限。接入点可支持单个用户或应用程序,也可支持账户内和账户间的用户组或应用程序组,从而实现单独管理每个接入点。
此外,您可以向可信账户委派权限,以在存储桶上创建跨账户接入点。如果您未获存储桶所有者授予权限,跨账户接入点不会允许您访问数据。存储桶所有者始终保留对数据的最终控制,并且必须更新存储桶策略,以对跨账户接入点的请求给予授权。阅读用户指南,了解存储桶策略示例。
每个接入点都与单个存储桶关联,并包含网络源控制和屏蔽公共访问权限控制。您可以创建包含网络源控制的接入点,从而仅允许来自虚拟私有云(亚马逊云科技云的逻辑独立部分)的存储访问。也可以创建一个这样接入点,即,将接入点策略配置为仅允许访问具有已定义前缀的对象或带有特定标签的对象。
可以采用两种方式之一,通过接入点来访问共享存储桶中的数据。对于 S3 对象操作,可以使用接入点 ARN 来代替存储桶名称。对于需要标准 S3 存储桶名称格式的请求,可以改用接入点别名。系统会自动生成 S3 接入点别名,并且可在使用存储桶名称进行数据访问的任何位置与 S3 存储桶名称互换。每次为存储桶创建接入点时,S3 会自动生成新的接入点别名。有关完整的兼容操作和亚马逊云科技服务,请访问 S3 文档。
问:可创建的接入点数量是否有限制?
默认情况下,对于账户中存储桶和跨账户存储桶,每个账户每个区域可以创建 10,000 个接入点。每个亚马逊云科技账户的接入点数量没有硬性限制。访问服务限额,以申请增加接入点数量配额。
问:如何编写接入点策略?
您可以像编写存储桶策略一样编写接入点策略,可在策略文档中使用 IAM 规则来管理权限并使用接入点 ARN。
问:在接入点上使用网络源控制来限制对特定 VPC 的访问,与使用存储桶策略来限制对 VPC 的访问有何不同?
您可以继续使用存储桶策略来限制对指定 VPC 的存储桶访问权限。接入点提供了一种更为简单且可审核的方法,以使用 API 控制,为组织中所有应用程序将共享数据集中的所有或部分数据限制为仅限 VPC 的流量。您可以使用 Amazon Organizations 服务控制策略(SCP),强制组织中创建的任何接入点将“网络源控制”API 参数值设为“vpc”。然后,任何新创建的接入点会自动将数据访问限制为仅限 VPC 的流量。无需额外的访问策略,即可确保仅处理来自指定 VPC 的数据请求。
问:能否对组织中的所有接入点强制执行“无互联网数据访问”策略?
可以。要对组织中的接入点强制执行“无互联网数据访问”策略,您需要确保所有接入点强制执行仅限 VPC 访问。为此,需要编写亚马逊云科技组织服务控制策略(SCP),该策略仅支持 create_access_point() API 中“网络源控制”参数的值为“vpc”。如果您之前创建了任何面向互联网的接入点,可以将其删除。您还需要修改每个存储桶中的存储桶策略,以进一步限制直接通过存储桶主机名对存储桶进行互联网访问。由于其他亚马逊云科技服务可直接访问存储桶,请务必修改策略,将访问权限设置为允许所需的亚马逊云科技服务访问,以允许此类亚马逊云科技服务访问存储桶。有关如何执行此操作的示例,请参阅 S3 文档。
问:能否完全禁止直接访问使用存储桶主机名的存储桶?
目前不能,但您可以添加存储桶策略,拒绝不是使用接入点发出的请求。有关更多详细信息,请参阅 S3 文档。
问:能否替换或删除存储桶中的接入点?
可以。删除接入点后,通过其他接入点和存储桶主机名对关联存储桶的任何访问都不会中断。
问:Amazon S3 接入点的费用是多少?
对于接入点或使用接入点的存储桶,不收取额外费用。常用的 Amazon S3 请求费率适用。
问:如何开始使用 S3 接入点?
您可以通过亚马逊云科技管理控制台、亚马逊云科技命令行接口(CLI)、应用程序编程接口(API)和亚马逊云科技软件开发工具包(SDK)客户端,开始在新存储桶和现有存储桶上创建 S3 接入点。要了解有关 S3 接入点的更多信息,请参阅用户指南。
数据保护
问:Amazon S3 的持久性如何?
Amazon S3 可在指定年度内为对象提供 99.999999999% 的持久性。这种耐久性级别相当于每年平均有 0.000000001% 的数据对象丢失。例如,如果您使用 Amazon S3 存储 10000 个对象,则平均每 10000000 年会发生一次单个对象丢失。
问:Amazon S3 的设计如何达到 99.999999999% 的持久性?
Amazon S3 将您的数据对象冗余存储在分布于您所指定的 Amazon S3 地区多个设施的多台设备上。该服务可以快速检测和修复任何丢失冗余,从而抵御同时发生的设备故障。在处理对存储数据的请求时,该服务会在返回 SUCCESS 之前,将您的对象冗余存储于多个设施。Amazon S3 还定期使用校验和来验证数据的完整性。
问:Amazon S3 支持哪些校验和来进行数据完整性检查?
Amazon S3 通过组合使用 Content-MD5 校验和、安全哈希算法(SHA)和循环冗余校验(CRC)来验证数据完整性。S3 在空闲时对数据执行这些校验和检测,并使用冗余数据修复任何不一致问题。此外,S3 还会在存储或检索数据时,对所有网络流量计算校验和,以检测数据包是否被篡改。
根据具体的应用程序需求,我们支持使用四种校验和算法来检查上传和下载请求的数据完整性:SHA-1、SHA-256、CRC32 或 CRC32C。系统会在您从 S3 存储或检索数据时自动计算和验证校验和,并且可以随时使用 GetObjectAttributes S3 API 或 S3 清单报告访问校验和信息。在将数据流式传输到 S3 时计算校验和可以节省时间,因为您可以一次完成数据的验证和传输。使用校验和来验证数据也是确保数据持久性的一项最佳实践,并且这些功能可以提高性能并降低成本。
问:什么是版本控制?
通过版本控制,您可以保留、提取和恢复存储在 Amazon S3 存储桶中的每个对象的每个版本。一旦您为存储桶启用版本控制,Amazon S3 将在您每次执行 PUT、POST、COPY 或 DELETE 操作时保留现有数据对象。默认情况下,GET 请求将提取最近写入的版本。可通过在请求中指定版本来检索已覆盖对象或已删除对象的旧版本。
问:为什么应该使用版本控制?
Amazon S3 为客户提供具有很高耐久性的存储基础设施。版本控制可在客户意外覆盖或删除对象的情况下提供一种恢复手段,从而提供另一层保护。这使您能够从无意用户操作或应用程序故障中轻松恢复。您还可将版本控制用于数据保留和存档。
问:如何开始使用版本控制?
您可以通过在 Amazon S3 存储桶上启用相应设置,来开始使用版本控制。有关如何启用版本控制的更多信息,请参阅 Amazon S3 技术文档。
问:版本控制如何防止对象被意外删除?
当用户对某个数据对象执行 DELETE 操作时,后续默认请求将不再提取该数据对象。但是,该对象的所有版本将继续保留在您的 Amazon S3 存储桶中,可以提取或恢复。只有 Amazon S3 存储桶的拥有者才能永久删除某个版本。
问:是否可以在 Amazon S3 对象上设置垃圾桶、回收站或回滚时段以从删除和覆盖项中恢复?
您可以使用 Amazon S3 生命周期规则和 S3 版本控制来实施 S3 对象的回滚时段。例如,借助启用了版本控制的存储桶,您可以设置一条规则,将以前的所有版本存档到成本较低的 S3 Glacier 存储类,并在 100 天后删除它们,从而给您 100 天的时间来回滚对数据的任何更改,同时降低存储成本。此外,如果对象至少有 2 个较新版本,则您还可以通过在 5 天之后删除旧的(非当前)版本的对象来节省成本。您可以根据成本优化需要更改天数或较新版本数。这使您能够视需要保留其他版本的对象,但可通过在一段时间之后转换或删除它们来节省成本。
问:如何收取版本控制使用费用?
正常 Amazon S3 费率适用于存储或请求的对象的每个版本。
问:什么是 Amazon S3 Block Public Access?
Amazon S3 Block Public Access 是一组新的安全控制措施,让客户能够确保 S3 存储桶和对象不会受到公共访问。只需单击几下,管理员便可以将 Amazon S3 Block Public Access 设置应用于某个账户内的所有存储桶或特定存储桶。将这些设置应用到账户之后,与该账户关联的所有现有或新的存储桶和对象都会沿用阻止公共访问的设置。默认情况下,所有新的存储桶都已开启“屏蔽公共访问权限”。 Amazon S3 屏蔽公共访问权限设置覆盖了允许公共访问的其他 S3 权限,这使得账户管理员能够轻松实施“无公共访问”策略,而不用考虑是否存在现有权限、存储桶的添加方式或创建方式。
问:为什么应该使用 Amazon S3 Block Public Access 设置?
通过 Amazon S3 Block Public Access 设置,您可以确保,无论是否在存储桶或对象上设置了现有策略,您都可以应用一项控制设置来指定 S3 资源现在或将来将不再具有公共访问权限。只需在 S3 控制台上单击几下,就可以防止在现在和将来在 S3 存储桶中设置公共策略和 ACL。要详细了解 Amazon S3 Block Public Access 设置,请访问“Amazon S3 开发人员指南”。
问:如何阻止对账户内所有存储桶的公共访问?
您可以通过 S3 控制台上的“Public access settings for this account”(此账户的公共访问设置)侧导航栏或 API 来配置 Amazon S3 Block Public Access 设置。当您在账户级别配置这些设置后,整个账户中的所有存储桶和对象都会继承属性。如果要更改这些设置,则可以返回 S3 控制台并取消选中相应复选框,或通过 API 以编程方式对其进行管理。
问:如何阻止对特定存储桶的公共访问?
您可以通过 S3 控制台上的“权限”选项卡或通过 API 配置 Amazon S3 Block Public Access 设置。当您在存储桶级别配置这些设置后,系统将禁止对存储桶及其内部的对象进行公共访问。
问:什么是 Amazon S3 的 Amazon VPC 终端节点?
Amazon S3 的 Amazon VPC 终端节点是 VPC 内的逻辑实体,允许通过 亚马逊云科技 中国网络连接到 S3。S3 有两种 VPC 终端节点:网关 VPC 终端节点和接口 VPC 终端节点。网关终端节点是您在路由表中指定的网关,用于通过 亚马逊云科技 中国网络从 VPC 访问 S3。接口终端节点通过使用私有 IP 将请求从 VPC 内部、本地或来自其他 亚马逊云科技 中国区域的请求路由到 S3,扩展了网关终端节点的功能。有关更多信息,请阅读 S3 文档。
问:能否允许从特定 Amazon VPC 终端节点访问 Amazon S3 存储桶?
您可以使用 Amazon S3 存储桶策略,限制从特定 Amazon VPC 终端节点或一系列终端节点访问存储桶。S3 存储桶策略现在支持条件 aws:sourceVpce,可使用该条件来限制访问。有关更多详细信息和示例策略,请阅读 S3 文档。
问:什么是适用于 Amazon S3 的 Amazon PrivateLink?
适用于 S3 的 Amazon PrivateLink 提供 Amazon S3 和本地之间的私有连接。您可以在 VPC 中为 S3 预置接口 VPC 终端节点,以便通过 Amazon Direct Connect 将本地应用程序直接连接到 S3。无需再需要使用公有 IP、更改防火墙规则或配置互联网网关即可从本地访问 S3。要了解更多信息,请阅读 S3 文档。
问:Amazon S3 的接口 VPC 终端节点如何工作?
接口 VPC 终端节点在 VPC 中预置弹性网络接口 (ENI)。ENI 是一个逻辑网络组件,您可以通过该组件将请求通过 亚马逊云科技 中国网络路由到 S3。您可以在跨越一个或多个子网的一个或多个可用区中创建接口 VPC 终端节点。在您指定的每个子网中,将使用私有 IP 地址池中的 IP 地址来设置 ENI。对 S3 的请求将解析为分配给 ENIS 的私有 IP。以这种方式通过私有 IP 地址寻址 S3,可以从通过 Amazon Direct Connect 连接到 亚马逊云科技 的本地主机直接访问 S3。有关接口 VPC 终端节点的更多信息,请阅读 S3 文档。
问:如何开始使用 S3 的接口 VPC 终端节点?
您可以使用 Amazon VPC 管理控制台、Amazon CLI、亚马逊云科技 开发工具包或 API 创建接口 VPC 终端节点。要了解更多信息,请阅读 S3 文档。
问:何时应该选择网关 VPC 终端节点而不是基于 Amazon PrivateLink 的接口 VPC 终端节点?
我们建议您使用接口 VPC 终端节点从本地或从其他 亚马逊云科技 中国区域的 VPC 访问 S3。对于从与 S3 相同的 v 中国区域的 VPC 访问 S3 的资源,我们建议使用网关 VPC 终端节点,因为它们不计费。要了解更多信息,请阅读 S3 文档。
Amazon S3 存储类
问:什么是 Amazon S3 存储类?
Amazon S3 提供了一系列存储类,您可以根据工作负载的数据访问权限、弹性和成本要求进行选择。S3 存储类经过专门构建,用于为不同的访问模式提供低成本存储。S3 存储类几乎适用于任何用例,包括具有严格性能需求、数据驻留要求、未知或不断变化的访问模式或存档存储的使用案例。每个 S3 存储类都会收取存储数据和访问数据的费用。在确定最适合您的工作负载的 S3 存储类时,请考虑数据的访问模式和保留时间,以针对数据生命周期内的最低总成本进行优化。
问:如何确定使用哪个 S3 存储类?
在确定最适合您的工作负载的 S3 存储类时,请考虑数据的访问模式和保留时间,以针对数据生命周期内的较低总成本进行优化。大多数工作负载都具有不断变化的(用户生成的内容)、不可预测的(分析、数据湖)或未知的(新应用程序)访问模式,这就是为什么 S3 Intelligent-Tiering 应该成为默认存储类以自动节省存储成本的原因。如果您知道数据的访问模式,则可以遵循此指南。S3 Standard 存储类非常适合经常访问的数据;如果您每月访问多次数据,这将是最佳选择。S3 Standard-Infrequent Access 非常适合保留至少一个月的数据和每一两个月访问一次的数据。
对于很少访问的存档数据,您可以从三种归档存储类中进行选择,这三种存储类已针对不同访问模式和存储时长进行了优化。对于需要立即访问的归档数据,您应该使用 S3 Glacier Instant Retrieval,这是第一个为每年访问 2-3 次的数据提供毫秒级检索的归档存储类。对于不需要立即访问的归档数据,您可以通过使用 S3 Glacier 灵活检索在几分钟到几小时内检索数据,并且免费进行批量检索,从而降低存储成本。为了节省更多归档存储成本,您可以使用 S3 Glacier Deep Archive,这是 Amazon S3 中成本最低的存储,可在数小时内检索数据。所有这些存储类都是区域存储类,它们通过在亚马逊云科技中国区域中的多个设备和物理分离的亚马逊云科技可用区上冗余存储数据来提供多可用区 (AZ) 弹性。
对于弹性要求较低的数据,您可以通过选择单可用区存储类(例如 S3 One Zone-Infrequent Access)来降低成本。
S3 Intelligent-Tiering
问:什么是 S3 Intelligent-Tiering ?
Amazon S3 Intelligent-Tiering (S3 Intelligent-Tiering)是一种 S3 存储类,适用于访问模式未知或不断变化且难以学习的数据。它是唯一一个在访问模式变化时通过在四个访问分层之间移动对象来自动节省成本的云存储。其中有两个针对频繁访问和不频繁访问进行了优化的低延迟访问层,以及两个专为异步访问而设计且针对罕见访问进行了优化的可选存档访问层。
上传或转换至 S3 Intelligent-Tiering 的对象自动存储在频繁访问分层中。S3 Intelligent-Tiering 会监控访问模式,然后将连续 30 天内未被访问的对象移动到不频繁访问分层。您可以激活一个或两个存档访问层,可以将 90 天未访问的对象自动移动到存档访问层,然后在 180 天后将其移动到深度存档访问层。如果对象后来被访问,S3 Intelligent-Tiering 会将对象移回到频繁访问分层。检索是免费的,因此当访问模式发生变化时,不会产生额外的存储费用。
问:为什么要选择使用 S3 Intelligent-Tiering?
S3 Intelligent-Tiering 适用于访问模式未知或不断变化且难以学习的数据。也非常适合访问模式可能无法预测的数据集。对访问模式不断变化,且其中的对象子集长期很少访问的数据集,存档访问层可以进一步降低您的存储成本。S3 Intelligent-Tiering 可用于存储新的数据集,在上传后不久,这些数据集的访问会变得频繁,但会随着数据集的老化而减少。
问:S3 Intelligent-Tiering 可提供什么样的性能?
S3 Intelligent-Tiering 频繁访问层、不频繁访问层和存档即时访问层可以提供与 S3 Standard 和 S3 Standard-Infrequent Access 存储类相同的性能。可选存档访问层具有与 S3 Glacier 灵活检索相同的性能,而深度存档访问层具有与 S3 Glacier Deep Archive 存储类相同的性能。
问:S3 Intelligent-Tiering 的持久性和可用性如何?
S3 Intelligent-Tiering 可提供 99.999999999% 的持久性,与 S3 Standard 存储类相同。S3 Intelligent-Tiering 的设计可以提供 99.9% 的可用性,并附带服务等级协议,当在任意账单周期内的可用性低于我们的服务承诺时,还可提供服务抵扣金。
问:S3 Intelligent-Tiering 如何收费?
S3 Intelligent-Tiering 会向您收取月度存储、请求和带宽费用,并对每个对象的监控和自动化收取少量月费。S3 Intelligent-Tiering 存储类将对象存储在三个存储访问层中:频繁访问层,以 S3 Standard 存储费率定价;不频繁访问层,以 S3 Standard-Infrequent Access 存储费率定价;以及存档即时访问层,以 S3 Glacier Instant Retrieval 存储费率定价。S3 Intelligent-Intelligent 还提供两个可选的异步访问层:以 S3 Glacier Flexible Retrieval 存储费率定价的存档访问层,以及以 S3 Glacier Deep Archive 存储费率定价的深度存档访问层。
S3 Intelligent-Tiering 不收取检索费。您只需支付少量监控和自动化费用,即可使用 S3 Intelligent-Tiering 监控访问模式,并自动在四个访问层之间移动对象,以优化存储成本和性能。
S3 Intelligent-Tiering 没有最小可计费对象大小,但小于 128KB 的对象不符合自动分层的条件。 这些较小的对象将不受监控,并将始终按频繁访问层费率收费,无监控和自动化费用。对于在 S3 Intelligent-Tiering 中存档到存档访问层或深度存档访问层的每个对象,Amazon S3 提供 8KB 的空间来存储对象名称和其他元数据(按 S3 Standard 存储费率计费),提供 32KB 的空间用来存储索引和相关元数据(按 S3 Glacier Flexible Retrieval 和 S3 Glacier Deep Archive 的存储费率计费)。
问:如何激活 S3 Intelligent-Tiering 存档访问层?
您可以使用 Amazon S3 API、CLI 或 S3 管理控制台创建存储桶,前缀或对象标签级别配置,以此来激活存档访问层和深度存档访问层。如果您的对象可以通过应用程序异步访问,您应该仅激活一个或两个存档访问层。
问:是否可以延长将对象存档至 S3 Intelligent-Tiering 存储类的时间?
可以。在存储桶、前缀或对象标签级别的配置中,您可以针对存档和深度存档访问层,将在 S3 Intelligent-Tiering 中存档对象的最后访问时间延长至两年。将对象移至存档访问层的最短最后访问时间为 90 天,将对象移入深度存档访问层的最短最后访问时间为 180 天。
问:如何从 S3 INT 存储类的存档访问层或深度存档访问层中获取对象?
您可以发出“还原”请求,对象将自动开始移回至频繁访问层,所有这些操作均可在 S3 Intelligent-Tiering 存储类中完成。存档访问层中的对象移至频繁访问层最多需要 3-5 小时,深度存档访问层中的对象移至频繁访问层最多需要 12 小时。对象移至频繁访问层之后,您可以发送 GET 请求检索该对象。
问:我的 S3 Intelligent-Tiering 对象是否受到 Amazon S3 服务等级协议的支持?
是的,S3 Intelligent-Tiering 由 Amazon S3 服务等级协议提供支持,当在任意账单周期内的可用性低于我们的服务承诺时,客户还可获得服务抵扣金。
问:使用 S3 Intelligent-Tiering 会对我的延迟和吞吐量性能产生什么影响?
使用 S3 Intelligent-Tiering 频繁访问层、不频繁访问层和存档即时访问层时,延迟和吞吐量性能将与 S3 Standard 相同。仅当对象可以通过应用程序异步访问时,才应激活存档和深度存档访问层。存档访问层中的对象移至频繁访问层最多需要 3-5 小时,深度存档访问层中的对象移至频繁访问层最多需要 12 小时。如果需要更快访问存档访问层或深度存档访问层中的对象,您可以使用控制台选择加快检索速度,支付加快检索费用。
问:S3 Intelligent-Tiering 是否有最短持续时间?
没有,S3 Intelligent-Tiering 没有最短存储持续时间。
问:S3 Intelligent-Tiering 是否有最小对象大小?
S3 Intelligent-Tiering 没有最小可计费对象大小,但小于 128KB 的对象不符合自动分层的条件。这些较小的对象将不受监控,并将始终按频繁访问层费率收费,无监控和自动化费用。对于在 S3 Intelligent-Tiering 中存档到存档访问层或深度存档访问层的每个对象,Amazon S3 提供 8KB 的空间来存储对象名称和其他元数据(按 S3 Standard 存储费率计费),提供 32KB 的空间用来存储索引和相关元数据(按 S3 Glacier Flexible Retrieval 和 S3 Glacier Deep Archive 的存储费率计费)。这让您可以使用 S3 LIST API 或 S3 库存报告实时获取所有 S3 对象的列表。有关更多详细信息,请访问 https://www.amazonaws.cn/en/s3/pricing/。
S3 标准 – 不频繁访问
问:什么是 S3 标准 – 不频繁访问?
Amazon S3 标准 – 不频繁访问(标准 – IA)是一种 Amazon S3 存储类,用于访问频率较低但在需要时要求能够快速访问的数据。标准 – IA 提供较高的持久性、吞吐量和较低的 Amazon S3 标准延迟,并且每 GB 的存储价格和检索费用都较低。成本较低且性能出色使得标准 – IA 成为长期存储和备份的理想选择,也是非常适用于灾难恢复的数据存储。标准 – IA 存储类别在对象级别进行设置,并可存储在 Standard 所在的存储桶中,从而让您可以使用生命周期策略在存储类别间自动转移对象,而无需更改任何应用程序。
问:为什么要选择使用标准 – IA?
标准 – IA 非常适用于访问频率较低但在需要时要求能够快速访问的数据。标准 – IA 非常适用于长期文件存储、来自同步和共享的较旧数据、备份数据以及灾难恢复文件。
问:S3 标准 – 不频繁访问能提供什么样的性能?
S3 标准 – 不频繁访问提供的性能与 S3 标准存储相同。
问:Standard – IA 的持久性和可用性如何?
与 Standard 和 S3 Glacier Flexible Retrieval 相同,S3 Standard - IA 的设计也可实现 99.999999999% 的持久性。Standard – IA 的设计可以提供 99.9% 的可用性,并附带服务等级协议,当在任意账单周期内的可用性低于我们的服务承诺时,还可提供服务抵扣金。
问:如何将数据导入标准 – IA?
可以采用两种方式将数据导入标准 – IA。您可以在 x-amz-storage-class 标头中指定 STANDARD_IA,通过 PUT 操作直接将数据导入到标准 – IA。您也可以设置生命周期策略,将对象从标准转移到标准 – IA。
问:标准 – IA 对象是否受到 Amazon S3 服务等级协议的支持?
是的,标准 – IA 由 Amazon S3 服务等级协议提供支持,当在任意账单周期内的可用性低于我们的服务承诺时,客户还可获得服务抵扣金。
问:使用标准 – IA 后,将会对延迟和吞吐量性能产生什么样的影响?
当使用 Standard – IA 时,延迟和吞吐量性能将与 Amazon S3 Standard 相同。
问:标准 – IA 是否有最低持续时间限制?
标准 – IA 适用于长期存储但访问频率较低的数据(已保留了数月或数年)。30 天内从 Standard – IA 删除的数据将按照完整的 30 天收费。
问:标准 – IA 是否有最小对象大小限制?
标准 – IA 适用于较大对象,最小对象大小为 128KB。小于 128KB 的对象将产生存储费用,并按 128KB 计费。比如,S3 Standard – IA 中 6KB 的对象将产生 6KB 的 S3 Standard – IA 存储费用,而剩下的最小对象大小(等于 122KB)将按照 S3 Standard – IA 存储费用收取。
问:能否将标准 - IA 中的对象分级到 Amazon S3 Glacier Flexible Retrieval?
可以。除了使用生命周期策略将对象从 Standard 迁移到 Standard - IA 外,您还可以设置生命周期策略来将 Standard - IA 中的对象分级到 Amazon S3 Glacier Flexible Retrieval。
S3 单区 – 不频繁访问
问:什么是 S3 单区 – IA 存储类?
S3 One Zone-IA 存储类是客户可以选择将对象存储在单个可用区中的 Amazon S3 存储类。S3 One Zone-IA 存储以冗余方式将数据存储在单个可用区内,这种存储的成本比地理上冗余的 S3 Standard-IA 存储的成本低 20%,而后者是以冗余方式将数据存储在多个地理上分离的可用区内。
S3 单区 – IA 提供 99% 的可用性 SLA,并且在可用区内的持久性还能够达到 99.999999999%。但是,与 S3 Standard 存储类不同的是,S3 单区 – IA 存储类不能灵活应对由地震或洪水等重大事件造成的可用区物理损失。
S3 单区 – IA 存储提供与 S3 标准和 S3 标准 – IA 相同的 Amazon S3 功能,用户可以通过 Amazon S3 API、CLI 和控制台使用这种存储类。S3 One Zone-IA 存储类是在对象级别进行设置的,并且可以和 S3 Standard 与 S3 Standard-IA 存储类存在于同一个存储桶中。您可以使用 S3 生命周期策略在存储类之间自动转移对象,而无需更改任何应用程序。
问:S3 单区 – IA 存储类最适合用于哪些使用案例?
客户将 S3 单区 – IA 存储类用于不经常访问的存储,如备份副本、灾难恢复副本或其他易于重新创建的数据。
问:S3 单区 – IA 存储类可提供什么样的性能?
S3 单区 – IA 存储类可提供与 S3 标准和 S3 标准 – 不频繁访问存储类的性能相似的性能。
问:S3 单区 – IA 存储类的持久性如何?
S3 单区 – IA 存储类在一个可用区内的持久性可达到 99.999999999%。但是,S3 单区 – IA 存储不能承受住可用性下降或可用区完全毁坏的情况。相比之下,S3 Standard 和 S3 Standard-Infrequent Access 存储能够承受住可用性下降或可用区毁坏的情况。S3 单区 – IA 存储可以提供与大多数现代物理数据中心相当或更高的持久性和可用性,同时还提供存储弹性和 Amazon S3 功能集的额外优势。
问:S3 单区 – IA 存储类的可用性 SLA 如何?
S3 单区 – IA 可以提供 99% 的可用性 SLA。相比而言,S3 标准提供 99.9% 的可用性 SLA,而 S3 标准 – 不频繁访问提供 99% 的可用性 SLA。与所有 S3 存储类一样,S3 单区 – IA 存储类附带服务等级协议,当在任意账单周期内的可用性低于我们的服务承诺时,还可提供服务积分。请参阅 Amazon S3 服务等级协议。
问:使用 S3 单区 – IA 存储会对我的延迟和吞吐量产生什么影响?
使用 S3 单区 – IA 存储类时,您应该会具有与使用 Amazon S3 标准和 S3 标准 – IA 存储类时近似的延迟和吞吐量。
问:使用 S3 单区 – IA 存储类时如何付费?
与 S3 标准 – IA 一样,S3 单区 – IA 会根据每月存储量、带宽、请求数量收费,同时还会收取提早删除费和较小对象存储费以及数据检索费。与 Amazon S3 标准 – IA 相比,Amazon S3 单区 – IA 存储的每月存储费用要低 20%,而带宽和请求的定价、提早删除费和较小对象存储费以及数据检索费与之相同。
与 S3 标准 – 不频繁访问一样,如果您在创建 S3 单区 – 不频繁访问对象之后的 30 天内将其删除,则需要支付提早删除费。例如,如果您对某个对象执行了 PUT 操作,然后在 10 天后将其删除了,您仍需要支付 30 天的存储费用。
与 S3 标准 – IA 一样,S3 单区 – IA 存储类的最小对象大小为 128KB。小于 128KB 的对象将产生存储费用,并按 128KB 计费。比如,S3 单区 – IA 存储类中 6KB 的对象将产生 6KB 的存储费用,而剩下的最小对象大小(等于 122KB)将按照 S3 单区 – IA 存储定价收取。请参阅定价页面,了解有关 S3 单区 – IA 定价的信息。
问:S3 单区 – IA 中的“区域”与 亚马逊云科技 可用区是否一样?
是。每个 亚马逊云科技 区域都是一个独立的地理区域。每个区域都有多个相互隔离的位置,称为可用区。Amazon S3 单区 – IA 存储类使用区域内的单个 亚马逊云科技 可用区。
问:Amazon EC2 和 Amazon S3 使用可用区特定资源的方式是否有差异?
是。Amazon EC2 让您能够在区域内选择可用区来放置资源,例如计算实例。当您使用 S3 单区 – IA 时,它会根据可用容量分配区域内的一个 亚马逊云科技 可用区。
问:我是否可以拥有在不同存储类和可用区具有不同对象的存储桶?
是。您可以拥有包含存储在 S3 标准、S3 标准 – IA 和 S3 单区 – IA 中的不同对象的存储桶。
问:S3 单区 – IA 是否在 S3 运行的所有 亚马逊云科技 区域都可用?
是
问:通过使用 S3 单区 – IA,我将放弃多少灾难恢复保护能力?
每个可用区均使用冗余电源和联网。在一个 亚马逊云科技 区域内,可用区位于不同的冲积平原和地震断裂带,并且在地理位置上是分离的,以避免受到火灾的影响。S3 标准和 S3 标准 – IA 存储类通过以冗余方式将数据存储在多个可用区,以此来避免受到这类灾难的影响。S3 单区 – IA 可以保护用户免受可用区内设备故障的影响,但无法抵御可用区丢失的影响。使用 S3 单区 – IA、S3 标准和 S3 标准 – IA 选项,您可以选择最符合您的存储持久性和可用性要求的存储类。
S3 Object Lambda
问:S3 Object Lambda 是什么?
S3 Object Lambda 让您可以添加自己的代码来处理从 S3 检索的数据,然后再将其返回到应用程序。使用 S3 Object Lambda,您可以使用自定义代码修改标准 S3 GET、HEAD 和 LIST 请求返回的数据。这可用于筛选行、动态调整图像大小、修改或屏蔽机密信息、创建对象的自定义视图或修改 S3 返回的数据。由 Amazon Lambda 功能提供支持,所有请求和数据处理都在完全由亚马逊云科技管理的基础设施上运行。您的自定义代码按需执行,无需创建和存储数据的衍生副本,而且不需要对应用程序进行更改。
S3 Object Lambda 可帮助您轻松满足任何应用程序的独特数据格式要求,而无需构建和操作其他基础设施(例如代理层),也无需创建和维护数据的多个衍生副本。S3 Object Lambda 使用 Amazon Lambda 函数自动处理标准 S3 GET、HEAD 和 LIST 请求的输出。Amazon Lambda 是一种无服务器计算服务,可运行客户定义的代码,而无需管理底层计算资源。只需在 Amazon S3 管理控制台中单击几下,您就可以配置 Lambda 功能并将其附加到 S3 Object Lambda 服务终端节点。此后,S3 将自动调用该 Lambda 功能来处理通过 S3 Object Lambda 终端节点检索的任何数据,并将转换后的结果返回给应用程序。您可以创作和执行自己的自定义 Lambda 功能,根据您的特定用例定制 S3 Object Lambda 的数据转换。
问:我为什么要使用 S3 Object Lambda?
您可以使用 S3 Object Lambda 来在多个应用程序中共享单个数据副本,无需构建和运行自定义处理基础架构或存储数据的衍生副本。例如,通过使用 S3 Object Lambda 处理正常的 S3 GET 请求,您可以掩盖敏感数据以满足合规性要求,重构原始数据以使其与机器学习应用程序兼容,筛选数据以限制对 S3 对象内特定内容的访问,或者解决其他各种使用案例。您还可以使用 S3 Object Lambda 修改 S3 LIST 请求的输出,通过查询包含其他对象元数据的外部索引来丰富您的对象列表,筛选对象列表以仅包含带有特定对象标签的对象,并为列表中的所有对象名称添加文件扩展名。只需在亚马逊云科技管理控制台中单击几下即可设置 S3 Object Lambda 处理。
问:S3 Object Lambda 是如何工作的?
S3 Object Lambda 使用您指定的 Lambda 函数转换标准 GET、HEAD 和 LIST 请求的输出。一旦定义了用于处理请求数据的 Lambda 函数,您就可以将该函数连接到 S3 Object Lambda 端点。通过 S3 Object Lambda 端点所做的 GET、HEAD 和 LIST 请求现在将会调用指定的 Lambda 函数。Lambda 随后将会提取客户端请求的 S3 对象并处理该对象。处理完成后,Lambda 会将处理的对象流式传输回调用的客户端。
问:如何开始使用 S3 Object Lambda?
可以通过多种方式设置 S3 Object Lambda。您可以通过导航到“Object Lambda 接入点”选项卡在 S3 控制台中设置 S3 Object Lambda。接下来,创建一个 S3 Object Lambda 接入点,您想要 S3 针对 GET、LIST 和 HEAD 请求执行的 Lambda 函数以及支持的 S3 接入点。向所有资源授权,以便与 Object Lambda 交互。最后,将 SDK 和应用程序更新为使用新的 S3 Object Lambda 接入点,以便使用您选择的语言 SDK 检索 S3 中的数据。发出请求时,您可以使用 S3 Object Lambda 接入点别名。S3 Object Lambda 接入点的别名是自动生成的,并且可与通过 S3 Object Lambda 访问的数据的 S3 存储桶名称互换。对于现有 S3 Object Lambda 接入点,别名是自动分配的,并且可供使用。文档中提供有示例的 Lambda 函数实施,可帮助您开始使用。
此外,您还可以使用 Amazon CloudFormation 自动执行 S3 Object Lambda 配置。使用 Amazon CloudFormation 模板时,在您的账户中部署的 Lambda 函数会将 S3 对象传回请求的客户端或应用程序,且不会进行任何更改。您可以添加自定义代码,以便在数据返回到应用程序时修改和处理这些数据。要了解更多信息,请访问 S3 Object Lambda 用户指南。
Amazon S3 和 IPv6
问:什么是 IPv6?
每个连接到互联网的服务器和设备都必须具有一个唯一的地址。互联网协议第 4 版 (IPv4) 是最初的 32 位寻址方案。但是,互联网的持续发展意味着所有可用的 IPv4 地址都将随着时间的推移而被用尽。互联网协议第 6 版 (IPv6) 是新的寻址机制,旨在克服 IPv4 存在的全局地址限制。
问:IPv6 可以用来做什么?
使用支持 Amazon S3 的 IPv6,应用程序可以连接到 Amazon S3,无需安装任何 IPv6 到 IPv4 转换软件或系统。您可以满足合规性要求,更轻松地与基于 IPv6 现有本地应用程序集成,并且不需要购置昂贵的联网设备来处理地址转换。现在,您还可以利用带有 IPv6 地址的 IAM 策略和存储桶策略中的现有源地址筛选功能,扩展选项以保护与 Amazon S3 交互的应用程序。
问:如何在 Amazon S3 上开始使用 IPv6?
首先,您可以将应用程序指向 Amazon S3 的新“双堆栈”终端节点,该终端节点支持通过 IPv4 和 IPv6 访问。在大多数情况下,通过 IPv6 访问无需进一步配置,因为大多数网络客户端默认首选 IPv6 地址。
问:在使用 IPv6 时,Amazon S3 的性能是否会发生变化?
不会。在 Amazon S3 中使用 IPv4 或 IPv6 时,您将获得相同的性能。
问:如果客户端在 Amazon S3 中使用 IPv6 时受到策略、网络或其他限制的影响,该怎么办?
使用 IPv6 会受到影响的应用程序可以随时切换回仅有 IPv4 的标准终端节点。
问:能否在 Amazon S3 的所有功能中使用 IPv6?
否,目前在通过 BitTorrent 使用网站托管和访问时不提供 IPv6 支持。所有其他功能在使用 IPv6 访问 Amazon S3 时应该能够正常运作。
问:IPv6 是否在所有亚马逊云科技区域中受支持?
是的,您可以在所有亚马逊云科技区域使用 IPv6 与 Amazon S3,包括由光环新网运营的亚马逊云科技中国(北京)区域和由西云数据运营的亚马逊云科技中国(宁夏)区域。
Amazon S3 Glacier Instant Retrieval 存储类
问:什么是 S3 Glacier Instant Retrieval 存储类?
S3 Glacier Instant Retrieval 存储类为很少访问且需要毫秒级检索的长期数据(例如医学图像或新闻媒体资产)提供低成本存储。S3 Glacier Instant Retrieval 可以实现对归档存储的快速访问,并且吞吐量和毫秒级访问与 S3 Standard 存储类相同。S3 Glacier Instant Retrieval 旨在通过在至少三个物理分离的亚马逊云科技可用区中冗余地存储数据来实现 99.999999999%(11 个 9)的数据持久性和 99.9% 的可用性。
问:为什么我会选择使用 S3 Glacier Instant Retrieval?
如果您的数据很少被访问(平均每季度一次)并且需要毫秒级的检索速度,S3 Glacier Instant Retrieval 将是理想的选择。它是专为需要与 S3 Standard-IA 相同的低延迟和高吞吐量性能的数据构建的存储,但数据访问频率低于 S3 Standard-IA,存储价格更低,访问数据的费用略高。
问:S3 Glacier 即时检索的可用性和持久性如何?
S3 Glacier Instant Retrieval 旨在实现 99.999999999%(11 个 9)的持久性和 99.9% 的可用性,与 S3 Standard-IA 相同,并附带服务登记协议,如果在任何计费周期内的可用性低于 99%,则提供服务抵扣金。
问:我可以从 S3 Glacier Instant Retrieval 中获得什么样的性能?
S3 Glacier Instant Retrieval 提供与 S3 Standard 和 S3 Standard-IA 存储类相同的毫秒延迟和高吞吐量性能。与专为异步访问而设计的 S3 Glacier 和 S3 Glacier Deep Archive 存储类不同,在访问存储在 S3 Glacier Instant Retrieval 中的对象之前,您无需发出恢复请求。
问:如何将我的数据输入 S3 Glacier Instant Retrieval?
有两种方法可以将数据放入 S3 Glacier Instant Retrieval。您可以使用以下两种方法通过 PUT 请求直接将数据放入 S3 Glacier Instant Retrieval:在 x-amz-storage-class 标头中指定 GLACIER_IR,或者设置 S3 生命周期策略将对象从 S3 Standard 或 S3 Standard-IA 转移到 S3 Glacier Instant Retrieval。使用 Amazon S3 控制台、亚马逊云科技软件开发工具包或 Amazon S3 API,通过 PUT 请求直接将数据放入 Amazon S3 Glacier Instant Retrieval 或定义存档规则。
问:S3 Glacier Instant Retrieval 如何收费?
S3 Glacier Instant Retrieval 向您收取每月存储、请求(基于请求类型)和数据检索的费用。每月计费的存储量将基于全月使用的平均存储量,以每月 GB(GB-月)为单位。您需要根据请求类型(例如 PUT、COPY 和 GET)为请求付费。您还需要为返回给您的每千兆字节数据支付按 GB 计算的费用。
问:Amazon S3 Glacier Instant Retrieval 是否对存储对象的大小有最低收费标准?
S3 Glacier Instant Retrieval 专为较大的对象而设计,最低按照 128KB 的对象存储容量进行收费。小于 128KB 的对象将产生存储费用,并按 128KB 计费。例如,一个在 S3 Glacier Instant Retrieval 中的 6KB 对象将产生 6KB 的 S3 Glacier Instant Retrieval 存储费用,以及对象大小的最低费用(按照 S3 Glacier Instant Retrieval 的存储价格计算,相当于额外产生 122KB 的费用)。请参阅 Amazon S3 定价页面,了解有关 Amazon S3 Glacier Instant Retrieval 定价的信息。
Amazon S3 Glacier Flexible Retrieval(前身为 Amazon S3 Glacier 存储类)
问:什么是 S3 Glacier 存储类?
S3 Glacier 存储类是一种安全、持久且低成本的存储服务,适用于数据存档。您可以放心存储任意大小的数据 – 成本与本地解决方案相当,甚至更低。为了保持成本低廉,同时满足各种需求,S3 Glacier 存储类提供了三种检索选项,各选项的检索时间从数分钟到数小时不等。您可以将对象直接上传到 Amazon S3 Glacier Flexible Retrieval,或使用 S3 生命周期策略将数据从任何适用于活动数据的 Amazon S3 存储类(S3 Standard、S3 Intelligent-Tiering、S3 Standard-IA、S3 One Zone-IA 和 S3 Glacier Instant Retrieval)传输到 S3 Glacier 存储类。
问:Amazon S3 能否将对象存档到成本更低的存储选项?
能,Amazon S3 让您可以利用 Amazon S3 Glacier Flexible Retrieval 价格极其低廉的存储类进行数据存档。Amazon S3 Glacier Flexible Retrieval 专门针对访问频率较低的数据以及可以接受数分钟检索时间的数据进行了优化。此类应用示例包括了数字媒体归档、财务和健康记录、原始基因组序列数据、长期数据库备份,以及法律规定必须保留的数据。
问:如何在 Amazon S3 Glacier Flexible Retrieval 中存储数据?
您可以根据生命周期,利用生命周期策略自动将 Amazon S3 对象集存档到 Amazon S3 Glacier Flexible Retrieval。使用 Amazon S3 管理控制台、亚马逊云科技开发工具包或 Amazon S3 API 来定义存档规则。规则将指定前缀和时间期限。前缀(如“logs/”)可标识受相应规则约束的对象。时间期限可指定在对象创建多少天(如 180 天)或在某个指定日期后应将该对象存档。名称以指定前缀开头以及在超过指定时间期限后过期的任何 Amazon S3 Standard 存储和 S3 Standard-IA 存储对象都将存档到 Amazon S3 Glacier Flexible Retrieval。要检索存储在 Amazon S3 Glacier Flexible Retrieval 中的 Amazon S3 数据,您需要通过 Amazon S3 API 或管理控制台启动恢复任务。恢复任务通常会在 3 到 5 小时内完成。任务完成后,您就可以通过 Amazon S3 GET 对象请求访问这些数据了。
问:能否使用 Amazon S3 API 或管理控制台来列出已存档到 Amazon S3 Glacier Flexible Retrieval 的对象?
能,与 Amazon S3 的其他存储类(S3 Standard 或 S3 Standard-IA)类似,使用 Amazon S3 API 或管理控制台存储的 Amazon S3 Glacier Flexible Retrieval 对象也有相关联的用户定义名称。您可以使用 Amazon S3 LIST API 获得所有 Amazon S3 对象名称的实时列表,包括那些使用 Amazon S3 Glacier Flexible Retrieval 选项存储的对象。
问:能否使用 Amazon S3 Glacier Direct API 访问已存档到 Amazon S3 Glacier 的对象?
由于 Amazon S3 会维护用户定义对象名称和 Amazon S3 Glacier 系统定义标识符之间的映射,因此使用 Amazon S3 Glacier 存储类存储的 Amazon S3 对象只能通过 Amazon S3 API 或 Amazon S3 管理控制台进行访问。
问:如何恢复已存档在 Amazon S3 Glacier Flexible Retrieval 中的对象?
要恢复存储在 Amazon S3 Glacier Flexible Retrieval 中的 Amazon S3 数据,您需要使用 Amazon S3 API 或 Amazon S3 管理控制台提出恢复请求。恢复请求通常会在 3 到 5 小时内完成。恢复请求会在 S3 Standard 中创建数据的临时副本,同时在 Amazon S3 Glacier Flexible Retrieval 中完整保留已存档数据。您能够以天为单位指定将临时副本存储在 S3 Standard 中的时间。然后,您可以通过 Amazon S3 GET 请求从 S3 Standard 访问已存档对象的临时副本。
问:恢复在 Amazon S3 Glacier Flexible Retrieval 中存档的对象需要多长时间?
处理恢复任务时,Amazon S3 首先从 Amazon S3 Glacier Flexible Retrieval 检索请求的数据(通常需要 3-5 个小时),然后在 S3 Standard 中创建请求数据的临时副本(通常需要数分钟)。大部分通过 Amazon S3 API 或管理控制台启动的恢复任务可在 3-5 个小时内完成。
问:可以免费恢复多少数据?
您每月最多可以免费恢复 5% 的存储在 Amazon S3 Glacier Flexible Retrieval 中的 Amazon S3 数据。一般而言,这足以满足您的备份和存档需求。每月 5% 的最高免费恢复限额是按日比例计量的。例如,您在某一天将 12TB 的 Amazon S3 数据存档到 Amazon S3 Glacier Flexible Retrieval,那么您在这一天可以免费恢复 20.5GB 数据(假定该月有 30 天,则为:12TB x 5%/30 天 = 20.5GB)。您还可以使用批量恢复在 5-12 小时内进行免费检索。
问:删除存储在 Amazon S3 Glacier Flexible Retrieval 中不到 3 个月的对象时,如何收费?
Amazon S3 Glacier Flexible Retrieval 是专为需要将数据保留数月或数年的使用案例设计的。如果要删除的对象已存档在 Amazon S3 Glacier Flexible Retrieval 中不少于 3 个月,则可以免费删除。如果要在存档后三个月内删除或覆盖存档在 Amazon S3 Glacier Flexible Retrieval 中的对象,则需要支付提早删除费。该费用是按比例收取的。如果您在上传 1GB 数据 1 个月后将其删除,将需要支付提早删除费,用于支付后面 2 个月的 Amazon S3 Glacier Flexible Retrieval 存储费。如果您在 2 个月后删除 1GB 数据,则需要支付 1 个月的 Amazon S3 Glacier Flexible Retrieval 存储费。
问:对于存档到 S3 Glacier Flexible Retrieval 的 Amazon S3 对象,如何计算存储费用?
每月计费的存储量将基于全月使用的平均存储量,以每月每千兆字节(GB-月)为单位计算。Amazon S3 计算对象大小的方法是,将您存储的数据量加上额外 32KB 的 S3 Glacier 数据,再加上额外 8KB 的 Amazon S3 Standard 存储类数据。对于每个对象,S3 Glacier Flexible Retrieval 额外需要 32KB 的数据,用于存储 S3 Glacier 的索引和元数据,这样您才能识别和检索数据。Amazon S3 需要 8KB 来存储和维护已存档到 S3 Glacier Flexible Retrieval 的对象的用户自定义名称和元数据。这让您可以使用 Amazon S3 LIST API 或 S3 清单报告,实时获取所有 Amazon S3 对象的列表,包括那些使用 S3 Glacier Flexible Retrieval 进行存储的对象。
例如,如果您存档了 100,000 个对象,每个对象 1 GB,那么您的计费存储空间为:每个对象 1.000032 千兆字节 x 100,000 个对象 = 100,003.2 千兆字节的 S3 Glacier 存储空间。每个对象 0.000008 千兆字节 x 100,000 个对象 = 0.8 千兆字节的 S3 Standard 存储空间。费用根据 Amazon S3 定价页面上列出的您所在亚马逊云科技区域的当前费率计算得出。有关其他 Amazon S3 定价示例,请访问 S3 账单常见问题解答,或使用亚马逊云科技定价计算器。
问:Amazon S3 Glacier Flexible Retrieval 是否存在最低存储期限和最低对象存储费用?
存档到 S3 Glacier Flexible Retrieval 的对象至少要存储 90 天。如果在不满 90 天时,对象被删除、覆盖或转移,将按比例收取相当于剩余天数的存储费用。 S3 Glacier Flexible Retrieval 还需要为每个存档对象额外存储 40 KB 的元数据。其中的 32 KB 元数据用于识别和检索您的数据,将按照 S3 Glacier Flexible Retrieval 费率计费。此外,还需要额外的 8KB 数据,按照 S3 Standard 费率收费,用于维护存档到S3 Glacier Flexible Retrieval 的对象的用户自定义名称和元数据。这允许您使用 S3 LIST API 或 S3 库存报告实时获取所有 S3 对象的列表。请参阅 Amazon S3 定价页面,了解有关 Amazon S3 Glacier Flexible Retrieval 定价的信息。
Amazon S3 Glacier Deep Archive
问:什么是 Amazon S3 Glacier Deep Archive?
Amazon S3 Glacier Deep Archive 是一种新的 Amazon S3 存储类,可为长期保存每年访问一两次的数据提供安全和持久的对象存储。Amazon S3 Glacier Deep Archive 的云存储成本最低,每月每 GB ¥ 0.012 起,远低于存储和维护本地磁带库或异地存档数据的价格。
问:Amazon S3 Glacier Deep Archive 最适合用于哪些使用案例?
Amazon S3 Glacier Deep Archive 是一种理想的存储类,可以为公司最重要的数据资产提供离线保护,或者在根据公司政策、合同或监管合规性要求需要长期保留数据时提供离线保护。客户发现,Amazon S3 Glacier Deep Archive 是一个非常有吸引力的选择,它可以用来保护核心知识产权、金融和医疗记录、研究结果、法律文件、地震勘探研究和长期备份的,特别是在金融服务、医疗、石油和天然气以及公共部门等监管严格的行业。此外,还有一些组织希望保留核心知识产权的备份副本,比如媒体和娱乐公司。通常,使用 Amazon S3 Glacier Deep Archive 的客户可以减少或停止使用本地磁带库和本地之外的磁带存档服务。
问:Amazon S3 Glacier Deep Archive 与 Amazon S3 Glacier Flexible Retrieval 有何不同?
Amazon S3 Glacier Deep Archive 拓宽了我们的数据存档产品范围,使您能够根据存储和检索成本以及检索时间选择最佳存储类。如果您需要使用加速检索在短短 1-5 分钟内检索存档数据,请选择 Amazon S3 Glacier Flexible Retrieval。相比之下,Amazon S3 Glacier Deep Archive 专用于不太可能访问但仍然需要长期持久存储的冷数据。Amazon S3 Glacier Deep Archive 的费用最多可比 Amazon S3 Glacier Flexible Retrieval 低 75%,可在 12 小时内使用标准检索速度提供检索。您还可以通过选择批量检索来降低检索成本,批量检索将在 48 小时内返回数据。
问:Amazon S3 Glacier Deep Archive 的持久性和可用性如何?
与 Amazon S3 Standard 和 Amazon S3 Glacier 存储类一样,Amazon S3 Glacier Deep Archive 的设计也可实现 99.999999999% 的持久性。Amazon S3 Glacier Deep Archive 设计用于提供 99.9% 的可用性,并附带服务等级协议,当在任意账单周期内的可用性低于我们的服务承诺时,还可提供服务积分。
问:我的 Amazon S3 Glacier Deep Archive 对象是否受到 Amazon S3 服务等级协议的支持?
是,Amazon S3 Glacier Deep Archive 以 Amazon S3 服务等级协议作为后盾,当在任意账单周期内的可用性低于我们的服务承诺时,还可向客户提供服务积分。
问:如何开始使用 Amazon S3 Glacier Deep Archive?
在 Amazon S3 Glacier Deep Archive 中存储数据的最简单方法是使用 S3 API 直接上传数据。只需指定“Glacier Deep Archive”作为存储类即可。您可以利用 亚马逊云科技 管理控制台、S3 REST API、亚马逊云科技 开发工具包或 亚马逊云科技 命令行界面来完成该指定操作。
您还可以通过使用 S3 生命周期来创建迁移数据的策略,以此开始使用 Amazon S3 Glacier Deep Archive,S3 生命周期提供了定义对象生命周期和降低存储成本的能力。您可以将这些策略设置为根据对象的年限将其迁移到 Amazon S3 Glacier Deep Archive。您可以为 S3 存储桶或特定前缀指定策略。生命周期转换按 Amazon S3 Glacier Deep Archive 上传价格计费。
Amazon Tape Gateway 是 Amazon Storage Gateway 的一项基于云的虚拟磁带库功能,现与 Amazon S3 Glacier Deep Archive 集成,使您能够在 Amazon S3 Glacier Deep Archive 中存储基于磁带的虚拟长期备份和存档,从而为云中的这些数据提供最低成本的存储。首先,使用 Amazon Storage Gateway Console 或 API 创建一个新的虚拟磁带,并将存档存储目标设置为 Amazon S3 Glacier 或 Amazon S3 Glacier Deep Archive。当备份应用程序弹出磁带时,磁带将存档到选定的存储目标中。
问:对于将数据从现有的磁带存档迁移到 Amazon S3 Glacier Deep Archive,您有何建议?
有多种方法可以将数据从现有磁带存档迁移到 Amazon S3 Glacier Deep Archive。您可以使用 Amazon Tape Gateway,通过虚拟磁带库 (VTL) 接口与现有备份应用程序集成。此接口可以将虚拟磁带提供给备份应用程序。以上操作可以立即将数据存储在 Amazon S3、Amazon S3 Glacier 和 Amazon S3 Glacier Deep Archive。
您还可以使用 Amazon Snowball 来迁移数据。Snowball 可使用能确保传输安全的物理存储设备,加快 TB 到 PB 级数据迁入和迁出 亚马逊云科技 的速度。使用 Snowball 有助于解决进行大规模数据传输时会遇到的难题,包括网络成本高、传输时间长和安全问题。
最后,您可以使用 Amazon Direct Connect 来建立从本地到 Amazon Direct Connect 位置的专用网络连接。在许多情况下,Direct Connect 可以降低网络成本,增加带宽吞吐量,并提供比基于互联网的连接更一致的网络体验。
问:如何检索存储在 Amazon S3 Glacier Deep Archive 中的对象?
要检索存储在 Amazon S3 Glacier Deep Archive 中的数据,请使用 Amazon S3 API 或 Amazon S3 管理控制台发起“恢复”请求。“恢复”会在 S3 Standard 存储类中创建数据的临时副本,同时在 Amazon S3 Glacier Deep Archive 中完整保留已存档数据。您能够以天为单位指定将临时副本存储在 S3 中的时间。然后,您可以通过 Amazon S3 GET 请求从 S3 访问已存档对象的临时副本。
还原存档对象时,您可以在请求正文的 Tier 元素中指定以下一个选项:“标准”为默认层,并允许您在 12 小时内访问您存档的任何对象。“批量”让您可以检索大量数据甚至 PB 级数据,而且成本低廉,通常在 48 小时内就可以完成。
问:使用 Amazon S3 Glacier Deep Archive 时如何收费?
Amazon S3 Glacier Deep Archive 存储的定价基于您所存储数据的 GB 量、PUT/生命周期转换请求数、检索的 GB 数以及恢复请求数。该定价模型类似于 Amazon S3 Glacier Flexible Retrieval。请参阅 Amazon S3 定价页面,了解有关 Amazon S3 Glacier Deep Archive 定价的信息。
问:Amazon S3 Glacier Deep Archive 是否存在最低的存储持续时间和最低的对象存储费用?
Amazon S3 Glacier Deep Archive 专为长期保存但很少访问的数据而设计,这些数据可以保存 7-10 年或更长时间。存档到 Amazon S3 Glacier Deep Archive 中的对象最短可存储 180 天,同时未满 180 天就被删除的对象所产生的按比例支付的费用等于按剩余天数支付的存储费用。请参阅 Amazon S3 定价页面,了解有关 Amazon S3 Glacier Deep Archive 定价的信息。
Amazon S3 Glacier Deep Archive 的最小计费对象存储大小为 40KB。您可以存储小于 40KB 的对象,但将按 40KB 存储空间计费。请参阅 Amazon S3 定价页面,了解有关 Amazon S3 Glacier Deep Archive 定价的信息。
问:Amazon S3 Glacier Deep Archive 如何与其他 亚马逊云科技 服务相集成?
Amazon S3 Glacier Deep Archive 集成了 Amazon S3 功能,包括 S3 存储类分析、S3 对象标记、S3 生命周期策略和 S3 对象锁定。通过 S3 存储管理功能,您可以使用单个 Amazon S3 存储桶存储 Amazon S3 Glacier Deep Archive、S3 标准、S3 标准 – IA、S3 单区 – IA 和 Amazon S3 Glacier 数据的混合体。这让存储管理员可以基于数据和数据访问模式的性质做出决策。客户可以使用 Amazon S3 生命周期策略将老化的数据自动迁移到成本较低的存储类。
Amazon Storage Gateway 服务可将磁带网关与 Amazon S3 Glacier Deep Archive 存储类集成,这样您就可以将虚拟磁带存储在成本最低的 Amazon S3 存储类中,从而将云中存储长期数据的每月成本降低最多 75%。使用此功能,磁带网关支持将您的新虚拟磁带直接存档到 Amazon S3 Glacier 和 Amazon S3 Glacier Deep Archive,从而帮助您满足备份、存档和恢复要求。磁带网关可帮助您将基于磁带的备份移动到 亚马逊云科技,而无需对现有备份工作流程进行任何更改。磁带网关支持大多数领先的备份应用程序,例如 Veritas、Veeam、Commvault、Dell EMC NetWorker、IBM Spectrum Protect(在 Windows OS 上)和 Microsoft Data Protection Manager。
事件通知
问:什么是 Amazon S3 事件通知?
您可以启用 Amazon S3 事件通知并接收它们以响应 S3 存储桶中的特定事件,例如 PUT、POST、COPY 和 DELETE 事件。您可以将通知发布到 Amazon EventBridge、Amazon SNS、Amazon SQS 或直接发布到 Amazon Lambda。
问:Amazon S3 事件通知有哪些用途?
借助 Amazon S3 事件通知,您可以运行工作流程、发送提醒或执行其他用于响应 Amazon S3 中所存储对象更改的操作。您可以使用 Amazon S3 事件通知来设置触发器以执行各种操作,包括在上传媒体文件时转码、在数据文件可用时进行处理以及将 Amazon S3 对象与其他数据存储进行同步。您还可以根据对象名称前缀和后缀来设置事件通知。例如,您可以选择接收以“images/”开头的有关对象名称的通知。
问:Amazon S3 事件通知中包含哪些内容?
有关 Amazon S3 事件通知消息中所含信息的详细描述,请参阅《Amazon S3 开发人员指南》中的“配置 Amazon S3 事件通知”主题。
问:如何设置 Amazon S3 事件通知?
有关如何配置事件通知的详细描述,请参阅 Amazon S3 开发人员指南中的“配置 Amazon S3 事件通知”主题。
问:使用 Amazon S3 事件通知的费用是多少?
使用 Amazon S3 事件通知无需支付额外费用。发送事件通知时,您只需为 Amazon SNS 或 Amazon SQS 的使用付费。要查看这些服务的定价详情,请访问 Amazon SNS 或 Amazon SQS 定价页面。
存储管理
S3 CloudWatch 指标
问:如何开始使用 S3 CloudWatch 指标?
使用亚马逊云科技管理控制台,您可在 1 分钟内为您的 S3 存储桶生成 CloudWatch 指标,或使用前缀或对象标签或接入点配置指标的筛选条件。此外,您还可以通过调用 S3 PUT Bucket Metrics API 来启用 S3 存储指标的发布并对其进行配置。存储指标在启用后的 15 分钟内即可在 CloudWatch 中使用。
问:我能否使存储指标符合我的应用程序或企业组织的需求?
能,您可以配置 S3 CloudWatch 指标,使之生成有关您 S3 存储桶的指标,或使用前缀或对象标签配置指标的筛选条件。例如,您可以将前缀“/Bucket01/BigData/SparkCluster”用作指标筛选条件 1,对访问数据的 spark 应用程序进行监控,并将标签“Dept, 1234”定义为指标筛选条件 2 (第二个指标筛选条件)。一个对象可以是多个筛选条件中的成员,例如,前缀“/Bucket01/BigData/SparkCluster”中的一个对象和带标签“Dept,1234”的对象都可以同时出现在指标筛选条件 1 和 2 中。这样,指标筛选条件便可符合业务应用程序、团队结构或组织预算需求,从而可在同一个 S3 存储桶中对多个工作负载分别进行监控和提醒。
问:可对存储指标设置哪些警报?
您可以使用 CloudWatch 对任何存储指标数量、计数器或等级设置阈值,当值达到此阈值时,就触发相应操作。例如,您对 4xx 错误响应的百分比设置一个阈值,当值超出此阈值至少 3 个数据点时,就触发 CloudWatch 警报以提醒开发运维工程师。
问:使用 S3 CloudWatch 指标时,如何收费?
S3 CloudWatch 指标是依据 Amazon CloudWatch 的自定义指标定价的。请查看 Amazon CloudWatch 定价页面,获取有关 S3 CloudWatch 指标定价的一般信息。
S3 对象标签
问:什么是对象标签?
S3 对象标签是适用于 S3 对象的键值对,在对象的生命周期内,可随时创建、更新或删除这些标签。借助这些标签,您将能够创建 Identity and Access Management (IAM) 策略,设置 S3 生命周期策略以及自定义存储指标。然后,这些对象级标签可以管理在存储类之间的转换并在后台让对象过期。
问:如何向对象应用对象标签?
上传新对象时,您可以向其添加标签,也可以向现有对象添加标签。每个 S3 对象最多可添加 10 个标签,您可以使用亚马逊云科技管理控制台、REST API、Amazon CLI 或亚马逊云科技开发工具包添加对象标签。
问:为什么要使用对象标签?
借助对象标签这一新工具,您可以简化 S3 存储的管理。使用此工具能够在对象的生命周期内随时创建、更新和删除标签,从而使存储满足业务的需求。借助这些标签,您可以控制对标记有特殊键值对的对象的访问,从而进一步保护机密数据,使之仅供所选组或用户访问。对象标签还可用于为属于特定项目或业务单位的对象添加标签,将对象标签与生命周期策略结合使用可以管理向 S3 Standard-Infrequent Access 和 Amazon S3 Glacier 存储类的转换。
问:为什么要使用对象标签?
借助对象标签这一新工具,您可以简化 S3 存储的管理。使用此工具能够在对象的生命周期内随时创建、更新和删除标签,从而使存储满足业务的需求。借助这些标签,您可以控制对标记有特殊键值对的对象的访问,从而进一步保护机密数据,使之仅供所选组或用户访问。对象标签还可用于为属于特定项目或业务单位的对象添加标签,将对象标签与生命周期策略结合使用可以管理向 S3 Standard-Infrequent Access 和 Amazon S3 Glacier 存储类的转换。
问:如何更新对象上的对象标签?
在 S3 对象的生命周期内,您可以随时更改对象标签,您可以使用亚马逊云科技管理控制台、REST API、Amazon CLI 或亚马逊云科技开发工具包更改对象标签。请注意,在亚马逊云科技管理控制台之外进行的所有更改均是对整个标签集合进行的更改。如果某个特定对象关联了 5 个标签,您要为其添加第 6 个标签,那么您需要在该请求中包括最初的 5 个标签。
问:如果我使用跨区域复制,对象标签是否也会复制?
使用跨地区复制可以跨地区复制对象标签。有关设置跨区域复制的更多信息,请访问《Amazon S3 开发人员指南》中的“如何设置跨区域复制”。
对于已启用跨区域复制的客户,需要具有新的权限才能复制标签。有关所需策略的更多信息,请访问《Amazon S3 开发人员指南》中的“如何设置跨区域复制”。
问:对象标签的费用是多少?
有关更多信息,请访问 Amazon S3 定价页面。
生命周期管理策略
问:什么是生命周期管理?
借助 S3 生命周期管理,您可以通过预定义的策略定义对象的生命周期并降低存储成本。您可以设置生命周期转移策略,根据数据的寿命将 Amazon S3 对象自动迁移到标准 – 不频繁访问(标准 – IA)、Amazon S3 Glacier Flexible Retrieval 和/或 Amazon S3 Glacier Deep Archive。您还可以设置生命周期过期策略,以便根据对象的寿命自动删除对象。您可以设置分段上传过期策略,以便基于上传时间终止尚未完成的分段上传。
问:如何设置生命周期管理策略?
您可以在 S3 控制台、S3 REST API、亚马逊云科技开发工具包或亚马逊云科技命令行界面 (CLI) 中设置和管理生命周期策略。您可以在前缀或存储桶级别指定策略。
问:使用生命周期管理时,如何收费?
设置和应用生命周期策略无需额外付费。根据生命周期规则,当对象符合转移条件时,每个对象的转移请求都需付费。
问:生命周期管理策略有哪些用途?
随着时间推移,数据可能会不再那么重要而有价值,或是不再受合规性要求的约束。Amazon S3 中包含各种各样的策略库,可帮助您自动执行数据迁移流程。例如,您可以将访问频率较低的对象设置为在一段时间后移动到成本较低的存储层级(例如标准 – 不频繁访问)。再过一段时间,它可能会移动到 Amazon S3 Glacier Flexible Retrieval 中进行存档和实现合规性,并且最终会被删除。这些规则会在您不知觉的情况下降低存储成本并简化管理工作,还可用于 Amazon 系列存储服务。此外,这些策略还包含效果出色的管理实践,指导如何删除不再需要的对象和属性,从而管理成本并优化性能。
问:如何利用 Amazon S3 的生命周期策略来降低 Amazon S3 存储成本?
借助 Amazon S3 生命周期策略,您可以配置在特定时间期限后是将对象迁移到标准 – 不频繁访问(标准 – IA)、存档到 Amazon S3 Glacier Flexible Retrieval 或 Amazon S3 Glacier Deep Archive,还是将其删除。您可以利用此策略驱动的自动化操作来轻松快速地降低存储成本和节省时间。在每个规则中,您都可以指定前缀、时间期限、转移到标准 – IA 或 Amazon S3 Glacier Flexible Retrieval 和/或过期。例如,您可以创建一个规则,以便将带有常见前缀“logs/”且已创建了 30 天的所有对象都存档到 Amazon S3 Glacier,并使其在自创建之日起的 365 天后过期。您还可以另外创建一个规则,以便仅让带有前缀“backups/”且创建满 90 天的所有对象过期。生命周期策略适用于现有和新的 S3 对象,可确保您能够针对所有当前数据和 S3 中存储的任何新数据优化存储并最大限度地节省成本,而无需进行耗时的手动数据检查和迁移。在生命周期规则内,前缀字段用于识别受该规则约束的对象。要将规则应用于单个对象,请指定键名称。要将规则应用于一组对象,请指定它们的共同前缀(如“logs/”)。您可以指定转移操作和过期操作以存档或删除数据对象。对于时间期限,请提供创建日期(如 2015 年 1 月 31 日)或自创建之日算起的天数(如 30 天),以便在此日期或超过此天数后将对象存档或删除。您可为不同前缀创建多条规则。最后,您可以使用生命周期策略使未完成的上传任务自动过期,从而防止上传部分文件的操作产生费用。
问:如何将对象配置为在特定时间段之后删除?
您可以设置生命周期过期策略,在指定天数之后将数据对象从您的存储桶中删除。您可以通过应用于存储桶的生命周期配置策略,为位于您的存储桶中的一组对象定义过期规则。通过每条数据对象过期规则,您可以指定前缀和过期时段。前缀字段用于标识要遵守规则的对象。要将规则应用于单个对象,请指定键名称。要将规则应用于一组对象,请指定它们的共同前缀(如“logs/”)。对于过期时段,请提供从创建日期之日开始的天数(即寿命),超过这个天数之后,该对象将被删除。您可为不同前缀创建多条规则。例如,您可以创建一条规则,将具有前缀 “logs/” 的所有数据对象在创建 30 天之后删除,另外创建一条单独规则,将具有前缀 “backups/” 的所有数据对象在创建 90 天之后删除。
添加对象过期规则之后,该规则被应用于已存在于存储桶中的对象以及添加到存储桶中的新对象。一旦数据对象超过它们的过期日期,将对它们进行标识,并排队进行删除。对于达到或超出过期日期的对象的存储,我们不会向您收取费用,当对象删除之前在队列中等待时,您仍然可以访问这些对象。对于标准删除请求,Amazon S3 不会因为您使用对象过期功能来删除对象而向您收取费用。您也可以为版本控制已启用或已暂停的存储桶设置过期规则。
问:为什么要使用生命周期策略让未完成的分段上传过期?
如果使用生命周期策略让未完成的分段上传过期,您可以通过限制未完成的分段上传的存储时间来帮助您节省成本。例如,如果您的应用程序上传了若干分段对象部分,但从未提交,那么您仍然需要为其存储付费。此策略可在预定义的天数后自动移除未完成的分段上传及其相关存储,从而降低您的 S3 存储费用。
问:我能否将 Amazon S3 事件通知设置为在 S3 生命周期转换或对象过期时发送通知?
是的,您可以将 Amazon S3 事件通知设置为在 S3 生命周期转换或对象过期时通知您。例如,您可以在 S3 生命周期将对象移动到不同的 S3 存储类或对象过期时,向 Amazon SNS 主题、Amazon SQS 队列或 Amazon Lambda 函数发送 S3 事件通知。
复制
问:什么是 Amazon S3 复制?
Amazon S3 复制支持跨 Amazon S3 存储桶自动以异步方式复制对象。为对象复制配置的存储桶可以由同一亚马逊云科技账户拥有,也可由不同的账户拥有。您可以在不同亚马逊云科技中国区域之间(S3 跨区域复制)或在同一亚马逊云科技区域内(S3 同区域复制)将写入存储桶的新对象复制到一个或多个目标存储桶。您还可以复制现有的存储桶内容(S3 分批复制),包括现有对象、以前无法复制的对象以及从其他源复制的对象。
问:什么是 Amazon S3 跨区域复制(CRR)?
CRR 是 Amazon S3 的一项功能,可在不同亚马逊云科技中国区域的存储桶之间自动复制数据。借助 CRR,您可以使用 S3 对象标签在存储桶级别、共享前缀级别或对象级别设置复制。您可以使用 CRR 向亚马逊云科技中国区域内的用户提供延迟更低的数据访问。如果您需要遵循将数据副本存储在相距数百英里远的位置的合规性要求,CRR 还可以帮助您达成这一目标。您可以使用 CRR 更改复制对象的账户所有权,以防止数据被意外删除。要详细了解 CRR,请访问复制开发人员指南。
问:什么是 Amazon S3 相同区域复制 (SRR)?
SRR 是 Amazon S3 的一项功能,可在同一亚马逊云科技区域的存储桶之间自动复制数据。借助 SRR,您可以使用 S3 对象标签在存储桶级别、共享前缀级别或对象级别设置复制。您可以使用 SRR 在同一亚马逊云科技区域中创建数据的一个或多个副本。SRR 通过将数据副本保存在与原始账户相同区域的单独亚马逊云科技账户中,帮助您满足数据主权和合规性要求。您可以使用 SRR 更改复制对象的账户所有权,以防止数据被意外删除。您还可以使用 SRR 轻松聚合来自不同 S3 存储桶的日志以进行区域内处理,或配置测试和开发环境之间的实时复制。要详细了解 SRR,请访问复制开发人员指南。
问:什么是 Amazon S3 分批复制?
Amazon S3 分批复制会在存储桶之间复制现有的对象。借助 S3 分批复制功能,您可以使用现有对象回填新创建的存储桶、重试以前无法复制的对象、跨账户迁移数据或向数据湖添加新存储桶。只需在 S3 控制台中点击几次或通过单个 API 请求,即可开始使用 S3 分批复制。
问:如何启用 Amazon S3 复制(跨区域复制和同区域复制)?
您可以使用 S3 对象标签在 S3 存储桶级别、共享前缀级别或对象级别配置 Amazon S3 复制。您可以在相同或不同亚马逊云科技中国区域中指定目标存储桶用于复制,这样就可以对来源存储桶添加复制配置。
您可以使用 S3 管理控制台、API、Amazon CLI、亚马逊云科技软件开发工具包或 Amazon CloudFormation 来启用复制。要启用复制,必须同时为源存储桶和目标存储桶启用版本控制。
问:如何使用 S3 分批复制?
您首先需要在存储桶级别启用 S3 复制。有关如何执行此操作的说明,请参阅上一问题。然后,您可以在创建新的复制配置、在复制配置页面或 S3 分批操作 Create Job (创建任务)页面更改复制规则中的复制目标后,在 S3 控制台中启动 S3 分批复制任务。您还可以通过 Amazon CLI 或 SDK 启动 S3 分批复制任务。
问:是否可以将 S3 复制与 S3 生命周期规则结合使用?
借助 S3 复制功能,您可以建立复制规则,将对象的副本复制到中国境内同一区域或不同区域的其他存储类中。生命周期操作不会被复制,如果您需要将相同的生命周期配置应用于源存储桶和目标存储桶,请为两者启用相同的生命周期配置。
例如,您可以配置一个生命周期规则,将数据从 S3 Standard 存储类迁移到目标存储桶上的 S3 Standard-IA。
使用 S3 分批复制时,除不会复制来自源的生命周期操作之外,如果目标中有活动的生命周期规则,我们建议您在分批复制任务处于活动状态时暂停目标中的生命周期。这是因为某些生命周期策略依赖版本堆栈状态来转换对象。当分批复制仍在复制对象时,目标存储桶中的版本堆栈将与源存储桶中的版本堆栈不同。生命周期可能错误地依赖不完整的版本堆栈来转换对象。
有关生命周期配置和复制的更多信息,请参阅 S3 复制开发人员指南。
问:是否可以使用 S3 复制复制到多个目标存储桶?
是。S3 复制使客户可以将其数据复制到相同或不同亚马逊云科技中国区域中的多个目标存储桶。设置时,您只需在现有复制配置中指定新的目标存储桶,或创建具有多个目标存储桶的新复制配置。对于指定的每个新目标,您可以灵活地选择目标存储桶的存储类、加密类型、复制指标和通知以及其他属性。
问:是否可以使用 S3 复制在 S3 存储桶之间设置双向复制?
是。要设置双向复制,请创建一个从 S3 存储桶 A 到 S3 存储桶 B 的复制规则,并设置另一个从 S3 存储桶 B 到 S3 存储桶 A 的复制规则。设置从 S3 存储桶 B 到 S3 存储桶 A 的复制规则时,请启用“同步副本修改”,以复制副本元数据更改。借助副本修改同步,您可以轻松地复制元数据更改,例如对象访问控制列表 (ACL)、对象标签或复制对象上的对象锁。
问:在整个复制过程中,对象是否可以安全传输和加密?
可以。在整个复制过程中,对象都保持加密状态。加密对象通过 SSL 从来源区域安全地传输到目标区域 (CRR) 或相同区域 (SRR) 中。
问:能否跨亚马逊云科技中国账户使用复制来防止恶意或意外删除?
能。对于 CRR 和 SRR,您可以跨亚马逊云科技中国账户设置复制,以将复制的数据存储在目标区域的不同账户中。您可以在复制配置中使用所有权覆盖来维护来源和目标之间的不同所有权堆栈,并将目标账户所有权授予复制的存储。
问:是否可以将删除标记从一个存储桶复制到另一个存储桶?
可以。如果您已在复制配置中启用了删除标记复制,则可以将删除标记从源存储桶复制到目标存储桶。复制删除标记时,Amazon S3 的行为就像在两个存储桶中都删除了对象一样。您可以为新的或现有的复制规则启用删除标记复制。您可以使用基于前缀的复制规则,将删除标记复制应用于整个存储桶或具有特定前缀的 Amazon S3 对象。Amazon S3 复制不支持基于对象标签的复制规则的删除标记复制。要了解有关启用删除标记复制的更多信息,请参阅将删除标记从一个存储桶复制到另一个存储桶。
问:是否可以将数据从其他亚马逊云科技区域复制到中国? 客户是否可以将数据从中国区域的存储桶复制到中国境外的区域?
不可以。Amazon S3 复制在亚马逊云科技中国区域与中国境外的亚马逊云科技区域之间不可用。您只能在亚马逊云科技中国区域内进行复制。
问:我能否复制现有对象?
可以,您可以使用 S3 分批复制在存储桶之间复制现有对象。
问:如果对象最初无法复制,我能否重试复制?
可以,您可以使用 S3 分批复制来重试最初无法复制的对象。
问:S3 复制支持哪些加密类型?
S3 复制支持 S3 提供的所有加密类型。S3 提供服务器端加密和客户端加密,前者请求 S3 为您加密对象,后者供您在将数据上传到 S3 之前在客户端加密数据。对于服务器端加密,S3 提供使用 Amazon S3 托管密钥的服务器端加密(SSE-S3)、使用存储在亚马逊密钥管理服务中的 KMS 密钥的服务器端加密(SSE-KMS),以及使用客户提供的密钥的服务器端加密(SSE-C)。有关这些加密类型及其工作原理的更多详细信息,请访问有关使用加密的 S3 文档。
问:S3 复制(CRR 和 SRR)如何定价?
您需要为 Amazon S3 的存储和复制请求付费,对于 CRR,您需要为传出到目标区域的数据复制副本的区域间传输付费。复制请求和区域间数据传输的费用根据来源区域而定。复制数据存储的费用根据目标区域而定。如果源对象是通过分段上传功能上传的,则使用相同数量的段和段大小进行复制。例如,通过分段上传功能上传的 100GB 对象(800 个段,每段 128MB)在复制时会产生与 802 个请求(800 个上传段请求 + 1 个初始分段上传请求 + 1 个完成分段上传请求)关联的请求成本。复制后,该 100GB 数据会产生基于目标区域的存储费用。请访问 S3 定价页面了解定价信息。
如果您使用 S3 分批复制来跨账户复制对象,则除复制 PUT 请求和数据传出费用外,您还需要支付 S3 分批操作的费用(请注意,S3 RTC 不适用于分批复制)。分批操作费用包括任务费用和对象费用,这些费用分别基于任务数量和处理的对象数量。
S3 Replication Time Control
问:什么是 Amazon S3 Replication Time Control?
Amazon S3 Replication Time Control 提供可预测的复制性能,并帮助您满足合规性或业务要求。S3 Replication Time Control 旨在在几秒钟内复制大多数对象,并在 15 分钟内复制 99.99% 的对象。S3 Replication Time Control 以服务水平协议(SLA)承诺为后盾,即在任何计费月份,每个复制区域对的 99.9% 的对象将在 15 分钟内复制。Replication Time Control 适用于所有 S3 复制功能。要了解更多信息,请访问复制开发人员指南。
问:如何启用 Amazon S3 Replication Time Control?
您可以启用 S3 Replication Time Control 作为每个复制规则的选项。您可以使用 S3 Replication Time Control 创建新的 S3 复制策略,或者在现有策略上启用该功能。
您可以使用 S3 管理控制台、API、亚马逊云科技 CLI、亚马逊云科技 SDK 或亚马逊云科技 CloudFormation 来配置复制。要了解更多信息,请访问 Amazon S3 开发人员指南中的设置 S3 复制概述。
问:什么是 Amazon S3 复制指标和事件?
Amazon S3 复制指标和事件提供了对 Amazon S3 复制的可见性。使用 S3 复制指标,您可以监控待复制的操作总数、对象大小,以及每个 S3 复制规则的源存储桶和目标存储桶之间的复制延迟。在复制规则上启用 S3 RTC 时,S3 复制指标默认处于启用状态。对于 S3 CRR 和 S3 SRR,您可以选择为每个复制规则启用 S3 复制指标和事件。复制指标可以通过 Amazon S3 控制台和 Amazon CloudWatch 获得。
如果复制失败,S3 复制事件将通知您,以便您可以快速诊断和更正问题。如果您启用了 S3 Replication Time Control(S3 RTC),则当复制对象所需的时间超过 15 分钟以及该对象成功复制到其目标时,您还将收到通知。与其他 Amazon S3 事件一样,S3 复制事件可通过 Amazon Simple Queue Service(Amazon SQS)、Amazon Simple Notification Service(Amazon SNS)或 Amazon Lambda 获取。
问:如何启用 Amazon S3 复制指标和事件?
您可以为新的或现有的复制规则启用 Amazon S3 复制指标和事件,对于启用 S3 Replication Time Control 的规则,这些指标和事件在默认情况下处于启用状态。您可以通过 Amazon S3 控制台和 Amazon CloudWatch 访问 S3 复制指标。与其他 Amazon S3 事件一样,S3 复制事件可通过 Amazon Simple Queue Service(Amazon SQS)、Amazon Simple Notification Service(Amazon SNS)或 Amazon Lambda 获取。要了解更多信息,请访问 Amazon S3 开发人员指南中有关使用复制指标和 Amazon S3 事件通知监控进度的文档。
问:什么是 Amazon S3 Replication Time Control 服务水平协议(SLA)?
Amazon S3 Replication Time Control 旨在在 15 分钟内复制 99.99% 的对象,并由服务水平协议提供支持。如果在月度计费周期内,每个复制区域对在 15 分钟内复制的对象少于 99.9%,则 S3 RTC SLA 会为复制时间超过 15 分钟的任何对象提供服务积分。服务积分将分为源区域服务积分和目标区域服务积分。源区域服务积分涵盖特定于区域间数据传输的所有费用的一定比例,以及与在受影响的月度计费周期中受影响的任何对象相关的 RTC 功能费用。目标区域服务积分涵盖特定于复制带宽和请求费用的一定比例,以及与在受影响的月度计费周期内将副本存储在目标区域相关的费用。要了解更多信息,请阅读 S3 Replication Time Control SLA。
问:S3 复制和 S3 Replication Time Control 的定价是多少?
对于 S3 复制、跨区域复制(CRR)和同区域复制(SRR),您需要支付所选目标 S3 存储类的 S3 存储费用、主副本的存储费用、复制 PUT 请求费用以及适用的不频繁访问存储检索费用。对于 CRR,您还需要支付从 S3 到每个目标区域的跨区域数据传出费用。使用 S3 Replication Time Control 时,您还需要支付复制时间控制数据传输费用和 S3 复制指标费用,其计费费率与 Amazon CloudWatch 自定义指标相同。有关更多信息,请访问 S3 定价页面。
如果源对象是通过分段上传功能上传的,则使用相同数量的段和段大小进行复制。例如,通过分段上传功能上传的 100GB 对象(800 个段,每段 128MB)在复制时会产生与 802 个请求(800 个上传段请求 + 1 个初始分段上传请求 + 1 个完成分段上传请求)关联的请求成本。对于区域间数据传输,您将支付 0.00405 元(802 个请求 x 每 1000 个请求 0.00405 元)和(如果在不同的亚马逊云科技区域之间进行复制)60.03 元(每传输 1GB 0.6003 元 x 100GB)的费用。复制后,该 100GB 数据会产生基于目标区域的存储费用。
存储分析和洞察
S3 Storage Lens
问:哪些功能可用于分析我在 Amazon S3 上的存储使用情况?
S3 Storage Lens 让您可以了解整个组织内的对象存储使用情况和活动趋势,为您提供切实可行的建议来优化成本,并帮您应用数据保护最佳实践。S3 存储类分析使您能够跨对象监控访问模式,帮助您决定何时将数据传输至正确的存储类以优化成本。然后,您可以使用此信息配置 S3 生命周期策略以进行数据传输。Amazon S3 清单每天或每周针对 S3 存储桶或前缀提供一份有关对象及其相应元数据的报告。该报告可验证对象的加密和复制状态,以帮助满足业务、合规性和法规要求。
问:什么是 Amazon S3 Storage Lens?
Amazon S3 Storage Lens 让您可以了解整个组织内的对象存储使用情况和活动趋势,同时为您提供切实可行的建议来优化成本,并帮您应用数据保护最佳实践。Storage Lens 提供了一个交互式控制面板,可跨组织中的数十或数百个账户提供对象存储使用情况和活动的单一视图,通过深入分析生成多个聚合级别的见解。这包括字节、对象数和请求之类的指标,以及详细说明 S3 功能利用率的指标,例如加密的对象数和 S3 生命周期规则数。S3 Storage Lens 还提供上下文建议,以找到方法来降低存储成本,并将最佳实践应用于数十或数百个账户和存储桶的数据保护。 默认情况下,所有 Amazon S3 用户均启用 S3 Storage Lens 免费指标。如果您想从 S3 Storage Lens 中获得更多,可以激活高级指标和建议。如需了解更多信息,请访问 S3 Storage Lens 用户指南。
问:S3 Storage Lens 的工作原理是什么?
S3 Storage Lens 每天汇总您的存储使用情况和活动指标,这些指标将显示在 S3 Storage Lens 交互式控制面板中,或作为一份 CVS 或 Parquet 文件格式的指标导出提供。系统会在账户级别自动为您创建一个默认控制面板,您可以选择创建其他的自定义控制面板。S3 Storage Lens 控制面板的范围可以限定为您的亚马逊云科技组织或特定账户、区域、存储桶甚至前缀级别(可通过 S3 Storage Lens 高级指标获得)。 您还可以使用 S3 Storage Lens 组,使用基于 S3 对象标签、大小和年龄等对象元数据的自定义筛选条件来汇总指标。在配置控制面板时,您可以使用默认指标选项,也可以升级接收 35 个高级指标和建议(需额外付费)。S3 Storage Lens 通过控制面板中的存储指标根据上下文提供建议,以便您可以根据这些指标采取行动,以优化存储。
问:使用 S3 Storage Lens 指标可以解决哪些关键问题?
S3 Storage Lens 控制面板主要可以回答四种类型的问题,这些问题都与存储有关。您可以通过“摘要”筛选器大致了解与整体存储使用情况和活动趋势有关的问题。例如,“我的总字节数和请求数随时间的增长有多快?” 通过“成本优化”筛选器,您可以了解与降低存储成本有关的问题,例如“我是否可以通过保留较少的非当前版本来节省资金?” 通过“数据保护和访问管理”筛选器,您可以回答有关保护数据安全的问题,例如“我的存储空间是否受到保护,不会被意外或故意删除?” 最后,使用“性能和事件”筛选器,您可以了解提高工作流程性能的方法。 这些问题中的每一个都代表了可能引发深入分析的第一层查询。
问:S3 Storage Lens 中有哪些可用指标?
S3 Storage Lens 包含 60 多个指标,分为免费指标和高级指标(需额外付费)。在免费指标中,您将接收用于分析使用情况的指标(基于对象的每日快照),这些指标分为成本优化、数据保护、访问管理、性能和事件等类别。在高级指标中,您将接收与活动(例如请求数)、更深层次的成本优化(例如 S3 生命周期规则数)、额外数据保护(例如 S3 复制规则数)和详细状态代码(例如 403 个授权错误)相关的指标。此外,它还可以通过组合任何基本指标来提供衍生指标。例如,“检索速率”是“下载的字节数”除以“总存储”计算得出的指标。 要查看指标的完整列表,请访问 S3 文档。
问:如何开始使用 S3 Storage Lens?
S3 Storage Lens 可通过 S3 控制台、Amazon CLI 或亚马逊云科技开发工具包进行配置。如果您是 Amazon Organization 主账户的成员,则可以为参与组织的所有或部分账户创建配置。否则,您将在账户级别进行配置。您的指标将在配置后的 24-48 小时内可用。
问:控制面板有哪些配置选项?
系统会自动为您的整个账户配置一个默认的控制面板,您可以选择创建其他自定义控制面板,其范围仅限于您的亚马逊云科技组织、特定区域或账户中的存储桶。您可以设置多个自定义控制面板,如果您需要在存储分析中进行逻辑分离(例如在存储桶上进行细分以代表不同的内部团队),这会很有用。默认情况下,您的控制面板将接收 S3 Storage Lens 免费指标,但是您可以选择升级以接收 S3 Storage Lens 高级指标和建议(需额外付费)。S3 Storage Lens 高级指标有 7 个不同的选项:活动指标、高级成本优化指标、高级数据保护指标、详细状态代码指标、前缀聚合、CloudWatch 发布和 Storage Lens 组聚合。 此外,对于每个控制面板,您可以启用指标导出,并通过其他选项指定目标存储桶和加密类型。
问:S3 Storage Lens 中有多少历史数据可用?
对于显示在交互式控制面板中的指标,Storage Lens 免费指标将保留 14 天的历史数据,Storage Lens 高级指标(需额外付费)将保留 15 个月的历史数据。对于可选的指标导出,您可以配置所需的任何保留期限,并按标准的 S3 存储费率付费。
问:是否可以将 S3 Storage Lens 配置为自动跟踪新存储桶和前缀?
可以。S3 Storage Lens 提供了一个配置通知面板的选项,范围为“所有存储桶”,这意味着在此配置下,系统将自动跟踪所有新创建的存储桶或存储桶中的前缀。
问:谁将有权从 S3 Storage Lens 访问指标?
S3 Storage Lens 支持 IAM 策略中的新权限,以授予对 S3 Storage Lens API 的访问权限。您可以将策略附加到 IAM 用户、IAM 组或角色,以向它们授予启用/禁用 S3 Storage Lens 或访问控制台中任何控制面板的权限。您还可以使用 Lens 标记 API 将标签对(最多 50 个)附加到控制面板配置,并使用 IAM 策略中的资源标签来管理权限。对于存储在您账户的存储桶中的指标导出,您可以使用 IAM policy 中现有的 s3:GetObject 权限来授予权限。同样,对于 Amazon Organization 实体,组织主账户或委托管理员账户可以使用 IAM 策略来管理组织级配置的访问权限。
问:S3 Storage Lens 如何收费?
S3 Storage Lens 有两级指标。默认情况下,免费指标处于启用状态,所有 S3 客户均可免费使用。有关 S3 Storage Lens 高级指标和建议价格详情,请参见 S3 定价页面。使用 S3 Storage Lens 免费指标,您可以接收 28 项存储桶级指标,并在控制面板中访问 14 天的历史数据。通过 S3 Storage Lens 高级指标和建议,您可以获得 35 个额外的指标、前缀级聚合、CloudWatch 指标支持、使用 S3 Storage Lens 组自定义对象元数据筛选,并可在控制面板中访问 15 个月的历史数据。
问:S3 Storage Lens 和 S3 清单有何区别?
S3 清单为 S3 存储桶或共享前缀提供您的对象及其对应元数据的列表,可用于对您的存储执行对象级分析。S3 Storage Lens 提供的指标可按组织、账户、区域、存储类别、存储桶、前缀和 S3 Storage Lens 组级别进行汇总,从而提高整个组织对存储的可见性。
问:S3 Storage Lens 和 S3 存储类分析 (SCA) 有何区别?
S3 存储类分析可以基于单个存储桶/前缀/标签在过去 30-90 天内的对象级访问模式创建对象寿命组,提供最佳存储类建议。S3 Storage Lens 提供有关如何提高成本效率和应用数据保护最佳实践的日常组织级建议,并可按帐户、区域、存储类别、存储桶、S3 Storage Lens 组或前缀(可使用 S3 Storage Lens 高级指标)提供额外的精细建议。您还可以使用 S3 Storage Lens 组的自定义筛选条件来创建存储桶的对象年龄分布,并优化保留和存档策略。
存储类分析
问:如何开始使用 S3 分析 – 存储类分析?
您可以使用亚马逊云科技管理控制台或 S3 PUT Bucket Analytics API 配置存储类分析策略,使之标识可转换为标准 – IA 或存档到 Glacier 的低频率访问存储。您可以导航至“S3 控制台”中的“管理”选项卡来管理 S3 Analytics、S3 清单和 S3 CloudWatch 指标。
问:什么是 S3 分析 – 存储类分析?
借助存储类分析,您可以分析存储访问模式并将相应数据转移到合适的存储类。这一新的 S3 分析功能可自动识别何时为不频繁使用模式,以帮助您将存储转换为 S3 Standard-IA、S3 One Zone-IA、Amazon S3 Glacier Flexible Retrieval 或 Amazon S3 Glacier Deep Archive。您可以配置存储类分析策略来监控整个存储桶、前缀或对象标签。对低频率访问模式进行观察后,您可以基于结果轻松创建一个新的生命周期策略。存储类分析还以可视化方式在亚马逊云科技管理控制台上提供您每天的存储使用情况,您可将这些分析结果导出至 S3 存储桶,使用您所选的商业智能工具进行分析。
问:存储类分析多久更新一次?
存储类分析每日将在 S3 管理控制台上进行更新。此外,您可以将 S3 分析配置为将您的每日存储类分析导出到您选择的 S3 存储桶。
问:使用 S3 分析 – 存储类分析时,如何收费?
有关 S3 分析 – 存储类分析定价的更多信息,欢迎致电咨询。
S3 清单
问:什么是 S3 清单?
针对 S3 存储桶或前缀每日或每周提供一次对象及其对应元数据的 ORC 文件输出。您可以使用 S3 清单简化并加快业务工作流和大数据作业。您可以使用 S3 清单验证对象的加密和复制状态是否符合业务、合规性和法规要求。
问:如何开始使用 S3 清单?
您可以使用亚马逊云科技管理控制台或 PUT Bucket Inventory API,为您 S3 存储桶中的所有对象或某个共享前缀下的对象子集配置每日或每周库存。在配置过程中,您可以指定清单的目标 S3 存储桶、输出文件的输出格式(CSV 或 ORC)以及您的业务应用程序所需的具体对象元数据,例如:对象名称、大小、上次修改日期、存储类型、版本 ID、删除标记、非当前版本标记、分段上传标记、复制状态或加密状态。
问:S3 清单是否可以改善大数据作业和业务流程应用程序的性能?
可以,S3 清单可用作大数据作业或工作流程应用程序的现成输入,而不是同步的 S3 LIST API,从而节约了它在调用和处理 LIST API 响应方面所用的时间和计算资源。
问:可以对使用 S3 清单编写的文件进行加密吗?
可以,您可以通过配置,对使用 S3 清单编写的所有文件进行 SSE-S3 加密。有关更多信息,请参阅用户指南。
问:如何使用 S3 清单?
您可以将 S3 清单用作应用程序工作流程或大数据作业的直接输入。您也可以借助 Presto、Hive 和 Spark 等工具使用标准 SQL 语言查询 S3 清单。
问:使用 S3 清单时,如何收费?
请查看 Amazon S3 定价页面,获取有关 S3 清单定价的一般信息。
就地查询
问:什么是“就地查询”功能?
借助 Amazon S3,客户可以对存储的数据运行复杂的查询,而不需要将数据移动到单独的分析平台。在 Amazon S3 上能够就地查询这些数据可以显著提高性能,并降低利用 S3 作为数据湖的分析解决方案的成本。S3 提供了多个就地查询选项,包括 Amazon Athena 和 Amazon Redshift Spectrum,您可以从中选择最适合自身使用案例的选项。