Amazon S3 的基礎設施安全性

身為受管服務，Amazon S3 受到 AWS Well-Architected Framework 安全支柱中所述的 AWS 全球網路安全程序保護。

透過網路存取 Amazon S3 是透過 AWS 發佈APIs。用戶端必須支援 Transport Layer Security (TLS) 1.2。我們也建議同時支援 TLS 1.3。（如需此建議的詳細資訊，請參閱 AWS 安全部落格上的使用 TLS 1.3 更快速的 AWS 雲端連線。) 用戶端還必須支援具備完全正向加密 (PFS) 功能的密碼套件，例如臨時 Diffie-Hellman (DHE) 或橢圓曲線臨時 Diffie-Hellman (ECDHE)。此外，必須使用 Signature V4 或 AWS Signature V2 簽署 AWS 請求，並提供有效的憑證。

您可以從任何網路位置來呼叫這些 API，但 Amazon S3 所支援的資源類型存取政策可能包含與來源 IP 地址相關的限制。您也可以使用 Amazon S3 儲存貯體政策來控制從特定 Virtual Private Cloud (VPC) 端點或特定 VPC 存取儲存貯體。實際上，這只會隔離網路中特定 VPC 對指定 Amazon S3 儲存貯體 AWS 的網路存取。如需詳細資訊，請參閱使用儲存貯體政策控制來自 VPC 端點的存取。

以下安全最佳實務也可用來解決 Amazon S3 中的基礎設施安全問題：