本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Amazon S3 的基礎設施安全性 Amazon S3 是受管服務,受到 [AWS Well-Architected Framework](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html) 安全支柱中所述的 AWS 全球網路安全程序的保護。 透過網路存取 Amazon S3 是透過 AWS 發佈APIs。用戶端必須支援 Transport Layer Security (TLS) 1.2。我們也建議支援 TLS 1.3 和混合式後量子金鑰交換。若要了解 的後量子密碼編譯 AWS,包括部落格文章和研究論文的連結,請參閱 [的後量子密碼編譯 AWS](https://aws.amazon.com/security/post-quantum-cryptography/)。 **注意** 所有 S3 端點都支援 TLS 1.3,但 Amazon S3 和多區域存取點 AWS PrivateLink 除外。 用戶端還必須支援具備完全正向加密 (PFS) 功能的密碼套件,例如臨時 Diffie-Hellman (DHE) 或橢圓曲線臨時 Diffie-Hellman (ECDHE)。此外,必須使用 Signature V4 或 AWS Signature V2 簽署 AWS 請求,並提供有效的登入資料。 您可以從任何網路位置來呼叫這些 API,但 Amazon S3 所支援的資源類型存取政策可能包含與來源 IP 位址相關的限制。您也可以使用 Amazon S3 儲存貯體政策來控制從特定 Virtual Private Cloud (VPC) 端點或特定 VPC 存取儲存貯體。實際上,這只會隔離網路中特定 VPC 對指定 Amazon S3 儲存貯體 AWS 的網路存取。如需詳細資訊,請參閱[使用儲存貯體政策控制來自 VPC 端點的存取](example-bucket-policies-vpc-endpoint.md)。 以下安全最佳實務也可用來解決 Amazon S3 中的基礎設施安全問題: + [Consider VPC endpoints for Amazon S3 access](security-best-practices.md#end-points) + [Identify and audit all your Amazon S3 buckets](security-best-practices.md#audit)