Amazon S3 bietet verschiedene Funktionen zur Organisation und Verwaltung Ihrer Daten, um bestimmte Anwendungsfälle zu unterstützen, kosteneffizient zu arbeiten, die Sicherheit zu erhöhen und Compliance-Anforderungen zu erfüllen. Daten werden innerhalb von Ressourcen namens "Bucket" als Objekte gespeichert und ein einzelnes Objekt kann eine Größe von bis zu 5 Terabyte haben. Mithilfe der S3-Funktionen können Sie Metadaten-Tags an Objekte anhängen, Daten über S3-Speicherklassen hinweg verschieben und speichern, Datenzugriffskontrollen konfigurieren und erzwingen, Daten vor nicht autorisierten Benutzern schützen, Big-Data-Analysen ausführen und Daten auf Objekt- und Bucket-Ebene überwachen und Speichernutzung und Aktivitätstrends übergreifend über Ihr Unternehmen einsehen. Auf Objekte kann über S3 Access Points oder direkt über den Bucket-Hostnamen zugegriffen werden.
Speicherverwaltung und -überwachung
Die flache, nicht hierarchische Struktur und verschiedene Verwaltungsfunktionen von Amazon S3 unterstützen Kunden jeder Größenordnung und verschiedenster Branchen bei der Organisation ihrer Daten auf eine Weise, die für ihr Unternehmen und ihre Teams nutzbringend ist. Alle Objekte werden in S3 Buckets gespeichert und können unter gemeinsamen Namen (auch "Präfixe" genannt) abgelegt werden. Sie können auch bis zu 10 Schlüsselwertpaare, die sogenannten S3-Objekt-Tags, an jedes Objekt anhängen. Diese können während des Lebenszyklus eines Objekts erstellt, aktualisiert und gelöscht werden. Um den Überblick über Objekte und ihre zugeordneten Tags, Buckets und Präfixe zu behalten, können Sie einen S3 Inventory-Bericht verwenden, der Ihre in einem S3-Bucket gespeicherten Objekte oder Ihre Objekte mit einem bestimmten Präfix einschließlich ihrer entsprechenden Metadaten und ihrem Verschlüsselungsstatus auflistet. S3 Inventory kann zur Generierung von Berichten auf täglicher oder wöchentlicher Basis konfiguriert werden.
Speicherverwaltung
Mit S3-Bucket-Namen, Präfixen, Objekt-Tags und S3-Bestand verfügen Sie über zahlreiche Möglichkeiten zur Kategorisierung Ihrer Daten und zur Berichterstellung. Anschließend können andere S3-Funktionen konfigurieren, die Aktionen ausführen. Ganz gleich, ob Sie Tausende oder eine Milliarde Objekte speichern, S3 Batch Operations vereinfachen die Verwaltung von beliebig großen Datenmengen in Amazon S3. Mit S3 Batch Operations können Sie Objekte zwischen Buckets kopieren, Objekt-Tag-Sätze ersetzen, Zugriffskontrollen ändern und archivierte Objekte aus den Speicherklassen S3 Glacier Flexible Retrieval und S3 Glacier Deep Archive mit einer einzigen S3-API-Anforderung oder wenigen Schritten in der S3-Konsole wiederherstellen. Darüber hinaus können S3-Stapeloperationen verwendet werden, um AWS Lambda-Funktionen objektübergreifend auszuführen, oder um benutzerdefinierte Geschäftslogik wie das Verarbeiten von Daten oder die Transkodierung von Bilddateien zu erledigen. Erstellen Sie zuerst eine Liste von Zielobjekten mit einem S3-Lagerbestandsbericht oder einer benutzerdefinierten Liste und wählen Sie dann die gewünschte Operation aus dem vorausgefüllten Menü aus. Wenn die Anforderung für einen S3-Batchvorgang abgeschlossen ist, erhalten Sie eine Benachrichtigung und einen Abschlussbericht mit allen durchgeführten Änderungen. Weitere Informationen über S3-Batch Operations erhalten Sie in den Video-Anleitungen.
Amazon S3 unterstützt auch Funktionen, die bei der Datenversionsverwaltung behilflich sind, versehentlichen Löschvorgängen vorbeugen und Daten in andere oder identische AWS-Regionen replizieren. Mithilfe von S3 Versioning können Sie alle Versionen eines in Amazon S3 gespeicherten Objekts aufbewahren, abrufen und wiederherstellen. S3 Versioning ermöglicht die Wiederherstellung nach unbeabsichtigten Benutzeraktionen und nach Anwendungsfehlern. Um unbeabsichtigten Löschvorgängen vorzubeugen, aktivieren Sie für einen S3-Bucket die Funktion Multi-Factor Authentication (MFA) Delete. Wenn Sie versuchen, ein Objekt in einem Bucket zu löschen, für den „MFA Delete“ aktiviert wurde, benötigen Sie zwei Formen der Authentifizierung: Ihre AWS-Anmeldeinformationen und eine Kombination aus einer gültigen Seriennummer, einem Leerzeichen und dem sechsstelligen Code, der auf einem Authentifizierungsgerät (z. B. ein Hardware-Schlüsselanhänger oder ein Universal 2nd Factor (U2F)-Sicherheitsschlüssel) angezeigt wird.
Mit der S3 Replication können Sie neue Objekte und deren entsprechende Metadaten und Objekt-Tags auf ein oder mehrere Ziel-Buckets in andere oder identische AWS-Regionen replizieren. Dies dient der Latenzreduzierung, Compliance, Sicherheit, Notfallwiederherstellung und anderen Anwendungsfällen. Sie können S3 Cross-Region Replication (CRR) für die Objekt-Replikation von einem S3-Quell-Bucket auf ein oder mehrere Zielbuckets in verschiedenen AWS-Regionen konfigurieren. S3 Same-Region Replication (SRR) repliziert Objekte zwischen Buckets in derselben AWS-Region. Während Live-Replikation wie CRR und SRR neu hochgeladene Objekte automatisch repliziert, sobald sie in Ihren Bucket geschrieben werden, ermöglicht Ihnen S3 Batch Replication die Replikation vorhandener Objekte. Sie können S3 Batch Replication verwenden, um einen neu erstellten Bucket mit vorhandenen Objekten aufzufüllen, Objekte, die zuvor nicht repliziert werden konnten, erneut zu replizieren, Daten zwischen Konten zu migrieren oder Ihrem Data Lake neue Buckets hinzuzufügen. Amazon S3 Replication Time Control (S3 RTC) unterstützt Sie beim Einhalten von Compliance-Anforderungen für die Datenreplikation durch Bereitstellen einer SLA und der Transparenz für Replikationszeiten.
Um auf replizierte Datensätze in S3-Buckets über AWS-Regionen hinweg zuzugreifen, verwenden Sie Amazon-S3-Zugriffspunkte für mehrere Regionen, um einen einzigen globalen Endpunkt zu erstellen, den Ihre Anwendungen und Kunden unabhängig von ihrem Standort nutzen können. Mit dem globalen Endpunkt können Sie Anwendungen für mehrere Regionen mit derselben einfachen Architektur erstellen, die Sie in einer einzelnen Region verwenden würden, und diese Anwendungen dann überall auf der Welt ausführen. Amazon-S3-Zugriffspunkte für mehrere Regionen können die Leistung um bis zu 60 % beim Zugriff auf Datensätze beschleunigen, die über mehrere AWS-Regionen repliziert sind. Die auf AWS Global Accelerator basierenden S3-Zugriffspunkte für mehrere Regionen berücksichtigen Faktoren wie Netzwerküberlastung und den Standort der anfordernden Anwendung, um Ihre Anforderungen dynamisch über das AWS-Netzwerk an die Kopie Ihrer Daten mit der geringsten Latenz zu leiten. Mit den Failover-Kontrollen für S3 Multi-Region Access Points können Sie ein Failover zwischen Ihren replizierten Datensätzen über AWS-Regionen hinweg durchführen, so dass Sie Ihren S3-Datenanforderungsverkehr innerhalb von Minuten in eine andere AWS-Region verlagern können.
Mit S3 Object Lock können Sie außerdem WORM-Richtlinien (Write Once Read Many) erzwingen. Mit dieser S3-Verwaltungsfunktion wird die Objektversionslöschung während eines kundendefinierten Aufbewahrungszeitraums blockiert. So können Sie Aufbewahrungsrichtlinien als zusätzliche Datenschutzmaßnahme oder zur Einhaltung von Compliance-Bestimmungen durchsetzen. Sie können Workloads aus bestehenden WORM-Systemen in Amazon S3 migrieren und die S3-Objektsperre auf Objekt- und Bucket-Ebenen konfigurieren, sodass Objektversionslöschungen vor einem festgelegten Aufbewahrungsdatum oder vor Ablauf der gesetzlichen Aufbewahrungspflicht verhindert werden. Objekte mit einer S3-Objektsperre behalten den WORM-Schutz, auch wenn sie mit einer S3-Lebenszyklusrichtlinie in andere Speicherklassen verschoben werden. Um festzustellen, welche Objekte eine S3-Objektsperre aufweisen, können Sie sich einen S3 Inventory-Bericht ansehen, der den WORM-Status der Objekte enthält. Die S3-Objektsperre kann in einem Modus oder in zwei Modi konfiguriert werden. Wenn die Bereitstellung im Governance-Modus erfolgt, können AWS-Konten mit bestimmten IAM-Berechtigungen die S3-Objektsperre von den Objekten entfernen. Wenn aufgrund von Richtlinien eine stärkere Unveränderlichkeit gewünscht wird, können Sie den Compliance-Modus verwenden. Im Compliance-Modus kann der Schutz von keinem Benutzer entfernt werden. Das gilt auch für das Root-Konto.
Speicherüberwachung
Zusätzlich zu diesen Verwaltungsfunktionen können Sie Amazon-S3-Funktionen und andere AWS-Services zur Überwachung und Kontrolle Ihrer S3-Ressourcen einsetzen. Weisen Sie S3-Buckets Tags zu, wodurch Sie Ihre Kosten auf mehrere Unternehmensdimensionen (wie Kostenstellen, Anwendungsnamen oder -Eigentümer) umlegen können und verwenden Sie dann die AWS-Kostenzuordnungsberichte zum Abrufen der Nutzung und der von den Bucket-Tags aggregierten Kosten. Außerdem können Sie Amazon CloudWatch verwenden, um den Betriebszustand Ihrer AWS-Ressourcen zu verfolgen und Gebührenlimit-Warnungen für die geschätzten Gebühren, die einen benutzerdefinierten Schwellenwert erreichen, zu konfigurieren. Verwenden Sie AWS CloudTrail, um Aktivitäten auf Bucket- und Objektebene zu verfolgen und zu melden, und konfigurieren Sie S3 Event Notifications, um Workflows und Warnungen auszulösen, oder rufen Sie AWS Lambda auf, wenn eine bestimmte Änderung an Ihren S3-Ressourcen vorgenommen wird. S3 Event Notifications transcodiert automatisch Mediendateien, wenn sie auf S3 hochgeladen werden, verarbeitet Datendateien, sobald sie verfügbar sind, und synchronisiert Objekte mit anderen Datenspeichern. Außerdem können Sie die Integrität der zu und von Amazon S3 übertragenen Daten überprüfen und die Prüfsummeninformationen jederzeit über die GetObjectAttributes-S3-API oder einen S3-Bestandsbericht abrufen. Sie haben – je nach den Anforderungen Ihrer Anwendung – die Wahl zwischen vier unterstützten Prüfsummenalgorithmen (SHA-1, SHA-256, CRC32 oder CRC32C) für die Überprüfung der Datenintegrität bei Up- und Download-Anfragen.
Zusätzlich zu diesen Verwaltungsfunktionen können Sie S3-Funktionen und andere AWS-Services zur Überwachung und Kontrolle der Nutzung Ihrer S3-Ressourcen einsetzen. Sie können S3-Buckets Tags zuweisen, wodurch Sie Ihre Kosten auf mehrere Unternehmensdimensionen (wie Kostenstellen, Anwendungsnamen oder -eigentümer) umlegen können und dann die AWS-Kostenzuordnungsberichte zum Abrufen der Nutzung und der von den Bucket-Tags aggregierten Kosten verwenden. Außerdem können Sie Amazon CloudWatch verwenden, um den Betriebszustand Ihrer AWS-Ressourcen zu verfolgen und Gebührenlimit-Warnungen zu konfigurieren, die Sie erhalten, wenn die geschätzten Gebühren einen benutzerdefinierten Schwellenwert erreichen. Ein weiterer AWS-Überwachungsservice ist der AWS CloudTrail, der Aktivitäten auf Bucket- oder Objektebene verfolgt und meldet. Sie können S3-Ereignisbenachrichtigungen so konfigurieren, dass sie Workflows und Warnungen auslösen und AWS Lambda aufrufen, wenn eine bestimmte Änderung an Ihren S3-Ressourcen vorgenommen wird. S3-Ereignisbenachrichtigungen können beim Hochladen auf Amazon S3 zur automatischen Transcodierung von Mediendateien verwendet werden, zur Verarbeitung von Datendateien, sobald diese verfügbar werden, oder zur Synchronisierung von Objekten mit anderen Datenspeichern.
Weitere Informationen zur S3-Speicherverwaltung und -überwachung »
Speicheranalysen und Einblicke
S3 Storage Lens
S3 Storage Lens ermöglicht unternehmensweite Transparenz in die Objektspeichernutzung und Aktivitätentrends und spricht umsetzbare Empfehlungen aus, um Kosteneffizienz zu verbessern und bewährte Praktiken des Datenschutzes anzuwenden. S3 Storage Lens ist die erste Cloud-Speicheranalyselösung, die eine einzige Ansicht der Objekt-Speichernutzung und -aktivität über Hunderte oder sogar Tausende von Konten in einem Unternehmen bietet, mit Drill-Downs, um Einblicke auf Konto-, Bucket- oder sogar Präfixebene zu erhalten. Durch mehr als 14 Jahre Erfahrung darin, dem Kunden bei der Optimierung des Speichers zu helfen, analysiert S3 Storage Lens unternehmensweite Metriken, um kontextbezogene Empfehlungen bereitzustellen und Wege zu finden, die Speicherkosten zu reduzieren und bewährte Praktiken beim Datenschutz anzuwenden. Weitere Informationen finden Sie auf der Seite mit den Speicheranalysen und Einblicken.
S3 Storage Class Analysis
Amazon S3 Storage Class Analysis analysiert Speicherzugriffsmuster, um zu entscheiden, wann die richtigen Daten in die richtige Speicherklasse überführt werden sollen. Diese Funktion von Amazon S3 überwacht Datenzugriffsmuster, damit Sie leichter bestimmen können, wann seltener aufgerufene Daten in eine kostengünstigere Speicherklasse überführt werden sollen. Sie können die Ergebnisse verwenden, um Ihre S3-Lebenszyklus-Richtlinien zu optimieren. Die Analyse der Speicherklassen lässt sich so konfigurieren, dass alle Objekte in einem Bucket analysiert werden. Alternativ können Sie Filter konfigurieren, um Objekte zusammen für die Analyse durch ein gemeinsames Präfix, Objekt-Tags oder sowohl Präfix als auch Tags zu gruppieren. Weitere Informationen finden Sie auf der Seite mit den Speicheranalysen und Einblicken.
Speicherklassen
Mit Amazon S3 können Sie Daten in verschiedenen S3-Speicherklassen speichern, die eigens für spezifische Anwendungsfälle und Zugriffsmuster entwickelt wurden: S3 Intelligent-Tiering, S3 Standard, S3 Standard-Infrequent Access (S3 Standard-IA), S3 One Zone-Infrequent Access (S3 One Zone-IA), S3 Glacier Instant Retrieval, S3 Glacier Flexible Retreival, S3 Glacier Deep Archive und S3 Outposts.
Jede S3-Speicherklasse unterstützt eine bestimmte Datenzugriffsebene zu entsprechenden Kosten oder an einem bestimmten geografischen Standort.
Für Daten mit wechselbaren, unbekannten oder unverhersehbaren Zugriffsmustern, wie Data Lakes, Analytik oder neue Anwendungen, verwenden Sie S3 Intelligent-Tiering, das automatisch Ihre Speicherkosten optimiert. S3 Intelligent-Tiering verschiebt automatisch Ihre Daten zwischen drei Zugriffsebenen mit niedriger Latenz, die für häufigen, mäßigen und seltenen Zugriff optimiert sind. Wenn Teilmengen von Objekten mit der Zeit archiviert werden, können Sie die Archiv-Zugriffsebene aktivieren, die für den asynchronen Zugriff entwickelt wurde.
Für genauere Prognosen zu Zugrifssmustern, können Sie geschäftskritische Produktionsdaten, auf die häufig zugegriffen wird, in S3 Standard speichern. Sie sparen Kosten, indem Sie Daten, auf die selten zugegriffen wird, in S3 Standard-IA oder S3 One Zone-IA speichern. In den kostengünstigsten Archivierungs-Speicherklassen S3 Glacier und S3 Glacier Deep Archive können Sie Ihre Daten archivieren. Mit der S3-Speicherklassenanalyse können Sie objektübergreifend Zugriffsmuster überwachen und Daten erkennen, die in günstigere Speicherklassen verschoben werden sollten. Anhand dieser Informationen können Sie eine S3-Lebenszyklusrichtlinie konfigurieren, die die Datenübertragung veranlasst. S3-Lebenszyklusrichtlinien können auch verwendet werden, um Objekte am Ende ihres Lebenszyklus ablaufen zu lassen.
Wenn Sie Datenresidenzanforderungen haben, die von einer bestehenden AWS Region nicht erfüllt werden können, können Sie die Speicherklasse S3 Outposts verwenden, um Ihre S3-Daten mit S3 on Outposts On-Premise zu speichern.
Weitere Informationen erhalten Sie unter S3-Speicherklassen, S3-Speicherklassenanalyse und S3-Lebenszyklusverwaltung »
Zugriffsverwaltung und Sicherheit
Zugriffsverwaltung
Zum Schutz Ihrer Daten in Amazon S3 haben Benutzer standardmäßig nur Zugriff auf die von ihnen erstellten S3-Ressourcen. Sie können anderen Benutzern Zugriff gewähren, indem Sie eine oder mehrere der folgenden Zugriffsverwaltungsfunktionen verwenden: AWS Identity and Access Management (IAM), um Benutzer zu erstellen und deren jeweiligen Zugriff zu verwalten. Zugriffssteuerungslisten (ACLs), um einzelne Objekte autorisierten Benutzern zugänglich zu machen. Bucket-Richtlinien zum Konfigurieren von Berechtigungen für alle Objekte in einem einzelnen S3-Bucket; S3-Zugriffspunkte zur Vereinfachung des Datenzugriffs auf gemeinsam genutzte Datensätze durch Erstellen von Zugriffspunkten mit Namen und Berechtigungen, die für die einzelnen Anwendungen oder Anwendungssätze spezifisch sind; und Abfrage-String-Authentifizierung, um anderen Benutzern mit temporären URLs zeitlich begrenzten Zugriff zu gewähren. Amazon S3 unterstützt ebenfalls Prüfprotokolle, die an Ihre S3-Ressourcen gestellte Anforderungen auflisten und so umfassende Transparenz darüber bieten, wer auf welche Daten zugreift.
Sicherheit
Amazon S3 bietet flexible Sicherheitsfunktionen, um den Datenzugriff für nicht autorisierte Benutzer zu blockieren. Sie können mithilfe von VPC-Endpunkten eine Verbindung mit den S3-Ressourcen aus Ihrer Amazon Virtual Private Cloud (Amazon VPC) und Ihrer On-Premises-Umgebung herstellen. Amazon S3 verschlüsselt alle neuen Daten-Uploads in einen beliebigen Bucket (Stand: 5. Januar 2023). Amazon S3 unterstützt sowohl die serverseitige Verschlüsselung (mit drei Optionen zur Schlüsselverwaltung) als auch die clientseitige Verschlüsselung beim Upload von Daten. Mit dem S3 Inventory können Sie den Verschlüsselungsstatus Ihrer S3-Objekte überprüfen (weitere Informationen zum S3 Inventory finden Sie unter Speicherverwaltung).
S3 Block Public Access ist ein Satz von Sicherheitskontrollen, mit dem sichergestellt wird, dass kein öffentlicher Zugriff auf S3-Buckets und Objekte besteht. In nur wenigen Schritten können Sie in der Amazon S3 Management-Konsole die S3 Block Public Access-Einstellungen auf alle Buckets innerhalb Ihres AWS-Kontos oder auf bestimmte S3-Buckets anwenden. Sobald die Einstellungen auf ein AWS-Konto angewendet wurden, werden die Einstellungen, die einen öffentlichen Zugriff verhindern, von bestehenden und neuen Buckets und Objekten des Kontos übernommen. Die S3 Block Public Access-Einstellungen haben vor anderen S3-Zugriffsberechtigungen Vorrang. So kann der Kontoadministrator eine Richtlinie vom Typ "kein öffentlicher Zugriff" festlegen, unabhängig von der Art, wie Objekte hinzugefügt oder Buckets erstellt werden, oder ob Zugriffsberechtigungen bestehen. S3 Block Public Access-Kontrollen sind prüffähig, bieten eine zusätzliche Kontrollebene und verwenden Bucket-Berechtigungsprüfungen von AWS Trusted Advisor, AWS CloudTrail-Protokolle und Amazon CloudWatch-Alarme. Sie sollten Block Public Access für alle Konten und Buckets aktivieren, von denen Sie nicht möchten, dass sie öffentlich zugänglich sind.
S3 Object Ownership ist eine Funktion, die Zugriffskontrolllisten (ACLs) deaktiviert und somit die Besitzer für alle Objekte in den Bucket-Besitzer ändert. Damit vereinfacht sie die Zugriffsverwaltung für in S3 gespeicherte Daten. Wenn Sie die Einstellung Bucket owner enforced von S3 Object Ownership konfigurieren, haben ACLs keine Auswirkung mehr auf die Berechtigungen für Ihren Bucket und die Objekte darin. Die gesamte Zugriffssteuerung wird mit ressourcenbasierten Richtlinien, Benutzerrichtlinien oder einer Kombination davon definiert. Bevor Sie ACLs deaktivieren, überprüfen Sie Ihre Bucket- und Objekt-ACLs. Um Amazon S3-Anfragen zu identifizieren, für die ACLs zur Autorisierung erforderlich waren, können Sie das Feld aclRequired in Amazon-S3-Server-Zugriffsprotokollen oder AWS CloudTrail verwenden.
Mit S3-Zugriffspunkten, die auf eine Virtual Private Cloud (VPC) beschränkt sind, können Sie Ihre S3-Daten problemlos in Ihrem privaten Netzwerk durch eine Firewall schützen. Darüber hinaus können Sie mithilfe von AWS Service Control-Richtlinien festlegen, dass ein neuer S3-Zugriffspunkt in Ihrer Organisation nur auf VPC zugreifen darf.
IAM Access Analyzer für S3 ist eine Funktion mit der Sie die Berechtigungs-Verwaltung vereinfachen können, indem Sie Richtlinien für Ihre S3-Buckets und Zugriffspunkte verifizieren und optimieren. Access Analyzer für S3 überwacht Ihre bestehenden Bucket-Zugriffsrichtlinien, um zu bestätigen, dass sie Ihren S3-Ressourcen nur den notwendigen Zugriff erteilen. Access Analyzer für S3 wertet Ihre Bucket-Zugriffsrichtlinien aus, sodass Sie schnell unnötige Zugriffsberechtigungen aus Buckets entfernen. Wenn Sie Ergebnisse überprüfen, die einen potenziell gemeinsamen Zugriff auf einen Bereich anzeigen, können Sie den öffentlichen Zugriff auf den Bucket mit einem einzigen Klick in der S3-Konsole blockieren. Zu Prüfungszwecken können die Ergebnisse von Access Analyzer für S3 als CSV-Bericht heruntergeladen werden. Die Amazon-S3-Konsole meldet jetzt Sicherheitswarnungen, Fehler und Vorschläge von IAM Access Analyzer, während Sie Ihre S3-Richtlinien erstellen. Die Konsole führt automatisch mehr als 100 Richtlinienprüfungen durch, um Ihre Richtlinien zu validieren. Diese Prüfungen sparen Ihnen Zeit, helfen Ihnen bei der Fehlerbehebung und unterstützen Sie bei der Anwendung bewährter Sicherheitsverfahren.
Mithilfe von IAM können Sie den Zugriff leichter analysieren und Berechtigungen reduzieren, um lediglich die geringfügigsten Rechte zu erteilen. Geben Sie hierzu den Zeitstempel an, wann ein Benutzer oder eine Rolle S3 und die damit verbundenen Aktionen zuletzt verwendet hat. Verwenden Sie Informationen zum „letzten Zugriff“, um den S3-Zugriff zu analysieren, nicht verwendete Berechtigungen aufzuspüren und diese vertraulich zu entfernen. Um mehr zu erfahren, besuchen Sie die Dokumentation zur Verfeinerung von Berechtigungen unter Verwendung des letzten Zugriffsdatums.
Sie können Amazon Macie auch zum Erkennen und Schützen Ihrer in Amazon S3 gespeicherten vertraulichen Daten verwenden. Macie erfasst automatisch ein vollständiges S3-Inventar und bewertet jeden Bucket automatisch und fortlaufend, um auf sämtliche öffentlich zugänglichen Buckets, unverschlüsselte Buckets oder für AWS-Konten freigegebene bzw. replizierte Buckets außerhalb Ihres Unternehmens hinzuweisen. Danach wendet Macie Machine Learning- und Musterabgleichstechniken auf die ausgewählten Buckets an, um vertrauliche Daten, beispielsweise personenbezogene Daten (Personally Identifiable Information, PII), zu identifizieren und Sie entsprechend zu benachrichtigen. Wenn Erkenntnisse im Bereich der Sicherheit gewonnen werden, werden diese an Amazon CloudWatch Events weitergeleitet. Dadurch wird die Integration in bestehende Systeme für Workflows zur Auslösung der automatisierten Problembehebung mit Services wie AWS Step Functions vereinfacht, um bestimmte Maßnahmen ergreifen zu können. Beispiele hierfür sind das Schließen eines öffentlichen Buckets oder das Hinzufügen von Ressourcentags.
AWS PrivateLink für S3 bietet private Konnektivität zwischen Amazon S3 und der On-Premises-Umgebung. Sie können Schnittstellen-VPC-Endpunkte für S3 in Ihrer VPC bereitstellen, um Ihre lokalen Anwendungen über AWS Direct Connect oder AWS VPN direkt mit S3 zu verbinden. Anforderungen an Schnittstellen-VPC-Endpunkte für S3 werden automatisch über das Amazon-Netzwerk an S3 weitergeleitet. Sie können für Ihre Schnittstellen-VPC-Endpunkte Sicherheitsgruppen festlegen und VPC-Endpunkt-Richtlinien konfigurieren, um zusätzliche Sicherheitskontrollen einzurichten.
Weitere Informationen erhalten Sie unter S3-Zugriffsverwaltung und Sicherheit und Schutz von Daten in Amazon S3 »
Datenverarbeitung
S3 Objekt Lambda
Mit S3 Objekt Lambda können Sie Ihren eigenen Code zu S3-GET-, HEAD- und LIST-Anforderungen hinzufügen, um Daten zu ändern und zu verarbeiten, wenn sie an eine Anwendung zurückgegeben werden. Sie können benutzerdefinierten Code verwenden, um die von standardmäßigen S3-GET-Anforderungen zurückgegebenen Daten zu ändern, um Zeilen zu filtern, die Größe von Bildern dynamisch zu ändern, vertrauliche Daten zu redigieren und vieles mehr. Sie können S3 Objekt Lambda auch verwenden, um die Ausgabe von S3-LIST-Anforderungen zu ändern, um eine benutzerdefinierte Ansicht von Objekten in einem Bucket zu erstellen, und S3-HEAD-Anforderungen, um Objektmetadaten wie Objektname und -größe zu ändern. Powered-by-AWS-Lambda-Funktionen wird Ihr Code auf einer Infrastruktur ausgeführt, die vollständig von AWS verwaltet wird, sodass keine abgeleiteten Kopien Ihrer Daten erstellt und gespeichert oder teure Proxys ausgeführt werden müssen, ohne dass Änderungen an Anwendungen erforderlich sind.
S3 Objekt Lambda verwendet AWS Lambda-Funktionen, um die Ausgabe einer standardmäßigen S3-GET-, HEAD- oder LIST-Anforderung automatisch zu verarbeiten. AWS Lambda ist ein Serverless-Rechenservice, der kundenspezifischen Code ausführt, ohne dass die zugrunde liegenden Rechenressourcen verwaltet werden müssen. Mit nur wenigen Klicks in der AWS-Managementkonsole können Sie eine Lambda-Funktion konfigurieren und an einen S3-Objekt-Lambda-Zugriffspunkt anhängen. Ab diesem Zeitpunkt ruft S3 automatisch Ihre Lambda-Funktion auf, um alle über den S3 Objekt-Lambda-Zugriffspunkt abgerufenen Daten zu verarbeiten und ein transformiertes Ergebnis an die Anwendung zurückzugeben. Sie können Ihre eigenen benutzerdefinierten Lambda-Funktionen erstellen und ausführen und die Datentransformation von S3 Objekt Lambda an Ihren spezifischen Anwendungsfall anpassen.
Weitere Informationen finden Sie auf der Funktionsseite von S3 Object Lambda.
Direkte Abfragen
Amazon S3 verfügt über eine integrierte Funktion und kostenlose Services, mit denen Daten ohne Kopieren und Laden in eine separate Analyseplattform oder ein Data-Warehouse abgefragt werden können. Das bedeutet, Sie können Big Data-Analysen direkt für Ihre in Amazon S3 gespeicherten Daten ausführen. S3 Select ist eine S3-Funktion, die entwickelt wurde, um die Abfrageleistung um bis zu 400 % zu steigern und die Abfragekosten um bis zu 80 % zu senken. Statt des gesamten Objekts, das eine Größe von bis zu 5 Terabytes haben kann, ruft S3 Select unter Verwendung einfacher SQL-Ausdrücke eine Teilmenge der Daten eines Objekts ab.
Amazon S3 ist ebenfalls mit den AWS-Analyseservices von Amazon Athena und Amazon Redshift Spectrum kompatibel. Amazon Athena ruft Ihre Daten aus Amazon S3 ab, ohne dass diese in einen separaten Service oder eine separate Plattform extrahiert und geladen werden müssen. Der Service verwendet SQL-Standardausdrücke zur Analyse Ihrer Daten, liefert innerhalb von Sekunden Ergebnisse und wird im allgemeinen für die Ad-Hoc-Datenermittlung verwendet. Amazon Redshift Spectrum führt ebenfalls direkte SQL-Abfragen für Daten im Ruhezustand in Amazon S3 aus und eignet sich besser für komplexe Abfragen und große Datensets (bis zu Exabytes). Da Amazon Athena und Amazon Redshift einen gemeinsamen Datenkatalog und gemeinsame Datenformate haben, können Sie beide für dieselben Datensets in Amazon S3 verwenden.
Weitere Informationen erhalten Sie unter Aufbau von Big Data-Speicherlösungen und S3 Select »
Datenübertragung
AWS bietet ein Portfolio von Datenübertragungsdiensten, um für jedes Datenmigrationsprojekt die richtige Lösung zu finden. Der Grad der Konnektivität ist ein wichtiger Faktor bei der Datenmigration, und AWS hat Angebote, die Ihren Anforderungen an hybriden Cloud-Speicher, Online-Datentransfer und Offline-Datentransfer gerecht werden können.
Hybrid-Cloud-Speicher: AWS Storage Gateway ist ein hybrider Cloud-Speicherdienst, mit dem Sie Ihre On-Premise-Anwendungen nahtlos mit AWS Storage verbinden und erweitern können. Kunden verwenden Storage Gateway, um Bandbibliotheken nahtlos durch Cloud Storage zu ersetzen, Cloud Storage-unterstützte Dateifreigaben bereitzustellen oder einen Cache mit geringer Latenz für den Zugriff auf Daten in AWS für On-Premise-Anwendungen zu erstellen.
Online-Datenübertragung: AWS DataSync macht es einfach und effizient, Hunderte von Terabyte und Millionen von Dateien auf Amazon S3 zu übertragen, bis zu 10 mal schneller als Open-Source-Tools. DataSync wickelt viele manuelle Aufgaben automatisch ab oder eliminiert sie, einschließlich der Erstellung von Skript-Kopieraufträgen, der Planung und Überwachung von Übertragungen, der Validierung von Daten und der Optimierung der Netzwerkauslastung. Zusätzlich können Sie AWS DataSync verwenden, um Objekte zwischen einem Bucket auf S3 auf Outpost und einem in einer AWS Region gespeicherten Bucket zu kopieren. Die AWS Transfer Family ermöglicht die vollständig verwaltete, einfache und problemlose Dateiübertragung in Amazon S3 mit SFTP, FTPS und FTP. Amazon S3 Transfer Acceleration ermöglicht die schnelle Übertragung von Dateien über große Entfernungen zwischen Ihrem Client und Ihrem Amazon S3-Bucket.
Offline-Datenübertragung: Die AWS Snow Family ist speziell für den Einsatz an Edge-Standorten mit begrenzter oder nicht vorhandener Netzwerkkapazität konzipiert und bietet Speicher- und Rechenkapazität in rauen Umgebungen. Der AWS Snowball-Service verwendet robuste, tragbare Speicher- und Edge-Computing-Geräte für die Datenerfassung, -verarbeitung und -migration. Kunden können das physische Snowball-Gerät für die Offline-Datenmigration zu AWS liefern. AWS Snowmobile ist ein Datenübertragungsdienst im Exabyte-Bereich, der dazu dient, riesige Datenmengen in die Cloud zu verlagern, einschließlich Videobibliotheken, Bildrepositorys oder sogar eine komplette Rechenzentrumsmigration.
Kunden können auch mit Drittanbietern aus dem AWS Partner Network (APN) zusammenarbeiten, um hybride Speicherarchitekturen bereitzustellen, Amazon S3 in vorhandene Anwendungen und Workflows zu integrieren und Daten zu und von der AWS Cloud zu übertragen.
Weitere Informationen finden Sie unter AWS Cloud-Datenmigrationsservices » , AWS Storage Gateway » , AWS DataSync » , AWS Transfer Family » , Amazon S3 Transfer Acceleration » , AWS Snow Family »
Leistung
Amazon S3 bietet branchenführende Leistung für die Speicherung von Cloud-Objekten. Amazon S3 unterstützt parallele Anfragen. Das bedeutet, dass Sie Ihre S3-Leistung um den Faktor Ihres Rechen-Clusters skalieren können, ohne Anpassungen an Ihrer Anwendung vornehmen zu müssen. Die Leistung wird linear nach Präfix skaliert, sodass Sie so viele Präfixe parallel verwenden können, wie Sie benötigen, um den erforderlichen Durchsatz zu erzielen. Die Anzahl der Präfixe ist nicht beschränkt. Die Leistung von Amazon S3 unterstützt mindestens 3 500 Anfragen pro Sekunde für das Hinzufügen von Daten und 5 500 Anfragen pro Sekunde für das Abrufen von Daten. Jedes S3-Präfix kann diese Anfrageraten unterstützen, wodurch die Leistung deutlich erhöht werden kann.
Zum Erreichen dieser Leistungssteigerung der S3-Anforderungsrate ist kein Randomisieren von Objektpräfixen nötig, um eine schnellere Leistung zu erzielen. Das bedeutet, dass Sie logische oder sequenzielle Benennungsmuster bei der Benennung von S3-Objekten ohne Leistungseinbußen verwenden können. Unter Leistungsrichtlinien für Amazon S3 und Leistungs-Entwurfsmuster für Amazon S3 finden Sie die aktuellsten Informationen zur Leistungsoptimierung für Amazon S3.
Konsistenz
Amazon S3 bietet automatisch für alle Anwendungen hohe Read-after-Write-Konsistenz, ohne Änderungen an der Leistung oder Verfügbarkeit, ohne Abstriche bei der regionalen Isolierung für Anwendungen und ohne zusätzliche Kosten. Mit starker Konsistenz vereinfacht S3 die Migration von lokalen Analyse-Workloads, da keine Änderungen an den Anwendungen vorgenommen werden müssen, und reduziert die Kosten, da für die Bereitstellung starker Konsistenz keine zusätzliche Infrastruktur erforderlich ist.
Alle Anfragen für S3-Speicher zeichnen sich durch hohe Konsistenz aus. Nach dem erfolgreichen Schreiben eines neuen Objekts oder dem Überschreiben eines vorhandenen Objekts, erhält jede nachfolgende Leseanforderung sofort die neueste Version des Objekts. S3 bietet auch starke Konsistenz für Listenvorgänge, sodass Sie nach einem Schreibvorgang sofort eine Auflistung der Objekte in einem Bucket durchführen können, bei der alle Änderungen berücksichtigt werden.
Weitere Informationen zur starken Konsistenz von S3 »
Vorgesehene Verwendung und Einschränkungen
Die Nutzung dieses Service unterliegt der Amazon Web Services-Kundenvereinbarung.
Sind Sie startbereit?
Sie zahlen nur für das, was Sie nutzen. Es gibt keine Mindestgebühr.
Erhalten Sie sofort Zugang zum kostenlosen Kontingent für AWS und beginnen Sie mit dem Experimentieren mit Amazon S3.
Fangen Sie an, mit Amazon S3 in der AWS-Konsole zu entwickeln.