# Amazon S3 中的数据保护 Amazon S3 为任务关键型和主要数据存储提供了高度持久的存储基础设施。S3 Standard、S3 Intelligent-Tiering、S3 Standard-IA、S3 Glacier Instant Retrieval、S3 Glacier Flexible Retrieval、S3 Glacier Deep Archive 在 AWS 区域 中至少三个可用区的多个设备上冗余存储对象。可用区是 AWS 区域 中一个或多个具有冗余电源、网络和连接的离散数据中心。可用区与任何其他可用区之间有意义的距离(许多公里数)在物理上隔开,尽管所有可用区之间的距离都在 100 公里(60 英里)以内。S3 One Zone-IA 存储类将数据冗余存储在单个可用区中的多个设备上。这些服务旨在通过快速检测和修复任何丢失的冗余来处理并发设备故障,还可以使用校验和定期验证数据的完整性。 Amazon S3 standard 存储提供以下特征: + 以 [Amazon S3 服务等级协议](https://aws.amazon.com/s3/sla/)作为后盾 + 设计目的是在指定年度内为对象提供 99.999999999% 的持久性和 99.99% 的可用性 + S3 Standard、S3 Intelligent-Tiering、S3 Standard-IA、S3 Glacier Instant Retrieval、S3 Glacier Flexible Retrieval 和 S3 Glacier Deep Archive 都是为了在整个 Amazon S3 可用区丢失的情况下维持数据。 Amazon S3 使用版本控制功能进一步保护您的数据。对于 Amazon S3 存储桶中存储的每个对象,您可以使用版本控制功能来保存、检索和还原它们的每个版本。使用版本控制能够轻松从用户意外操作和应用程序故障中恢复数据。默认情况下,请求会检索最新写入的版本。您可以通过指定请求中对象的版本,来检索该对象的旧版本。 除了 S3 版本控制之外,您还可以使用 Amazon S3 对象锁定和 S3 复制来保护您的数据。有关更多信息,请参阅 [Amazon S3 中的数据保护](data-protection.md)。 出于数据保护的目的,我们建议您保护 AWS 账户凭证并使用 AWS Identity and Access Management 设置单个用户账户,以便仅向每个用户提供履行其工作职责所需的权限。 如果在通过命令行界面或 API 访问 AWS 时需要经过 FIPS 140-2 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅[《美国联邦信息处理标准 (FIPS) 第 140-2 版》](https://aws.amazon.com/compliance/fips/)。 下面的安全最佳实践也探讨 Amazon S3 中的数据保护: + [Implement server-side encryption](security-best-practices.md#server-side) + [Enforce encryption of data in transit](security-best-practices.md#transit) + [Consider using Macie with Amazon S3](security-best-practices.md#macie) + [Identify and audit all your Amazon S3 buckets](security-best-practices.md#audit) + [Monitor Amazon Web Services security advisories](security-best-practices.md#advisories)