Amazon S3 Block Public Access

将您的数据存储在 Amazon S3 中，并使用 S3 Block Public Access 保护其免受未经授权的访问。Amazon S3 让您可以使用 S3 Block Public Access 永远阻止对您在存储桶和账户层面的所有对象的公共访问，而且是支持这一功能的唯一一种对象存储服务。 这一功能现已在由光环新网运营的亚马逊云科技中国（北京）区域和由西云数据运营的亚马逊云科技中国（宁夏）区域推出。

要确保阻止对所有 S3 存储桶和对象的公共访问，请打开“阻止所有公共访问”功能。这种设置适用于整个账户内现有和将来的所有存储桶。只需在 S3 管理控制台中单击几下，即可将 S3 Block Public Access 应用于账户中的每个存储桶（包括现有存储桶和将来创建的任何新存储桶），并避免任何对象受到公共访问。

除了使用 Block Public Access 之外，我们还建议您为 S3 存储桶设置默认加密。

S3 Block Public Access 可以在整个亚马逊云科技账户或单个 S3 存储桶层面实现控制，确保对象在现在和将来不受公共访问。

您可以通过访问控制列表 (ACL) 和/或存储桶策略来授予对存储桶和对象的公共访问权限。要确保阻止对所有 S3 存储桶和对象的公共访问，请在账户层面打开“阻止所有公共访问”功能。这种设置适用于整个账户内现有和将来的所有存储桶。

亚马逊云科技建议您阻止所有公共访问，但在应用这种设置之前，请确保您的应用程序能够在没有公共访问权限的情况下正常运行。如果您需要让存储桶或对象支持一定程度的公共访问，您可以自定义下面的各项设置，满足具体存储使用场景的需求。

S3 Block Public Access 的设置高于允许公共访问的 S3 权限，因此账户管理员能够轻松设置一种集中控制来避免安全配置发生变化，不受对象添加方式或存储桶创建方式的影响。

如果在启用 S3 Block Public Access 的情况下将对象写入亚马逊云科技账户或 S3 存储桶，然后该对象通过 ACL 或策略指定了任何类型的公共权限，那么这些公共权限均会被阻止。 

除了 S3 控制台之外，您还可以通过 Amazon CLI、SDK 或 REST API 启用 S3 Block Public Access。S3 Block Public Access 文档针对各种选项提供了详细说明。 注意，您始终可以在 S3 控制台中查看公共存储桶（包含的对象支持公共权限的存储桶会在控制台中以醒目的方式标出），而且您还可以使用 Amazon Trusted Advisor 的 S3 存储桶权限查看功能来发现可以免费使用的开放存储桶。