Amazon S3 中的安全性

重要

正如 2025 年 11 月 19 日宣布的那样，Amazon Simple Storage Service 正在部署新的默认存储桶安全设置，该设置将对所有新的通用存储桶自动禁用具有客户提供的密钥的服务器端加密（SSE-C）。对于 Amazon Web Services 账户中没有 SSE-C 加密对象的现有存储桶，Amazon S3 还将对所有新的写入请求禁用 SSE-C。对于使用 SSE-C 的 Amazon Web Services 账户，Amazon S3 不会更改这些账户中任何现有存储桶的存储桶加密配置。此次部署于 2026 年 4 月 6 日启动，并将在接下来的几周内在 37 个 Amazon 区域完成，包括 Amazon 中国和 Amazon GovCloud（美国）区域。

通过这些更改，需要 SSE-C 加密的应用程序必须在创建新的存储桶后，专门使用 PutBucketEncryption API 操作启用 SSE-C。有关此更改的更多信息，请参阅新存储桶的默认 SSE-C 设置常见问题解答。

Amazon的云安全性的优先级最高。作为 Amazon 客户，您将从专为满足大多数安全敏感型组织的要求而打造的数据中心和网络架构中受益。

安全性是 Amazon 和您的共同责任。责任共担模式将其描述为云本身的安全性和云中的安全性：

云的安全性

Amazon 负责保护在 Amazon Web Services 云中运行 Amazon 服务的基础设施。Amazon 还向您提供可安全使用的服务。作为 Amazon 合规计划的一部分，我们的安全有效性会定期由第三方审核员进行测试和验证。要了解适用于 Amazon S3 的合规性计划，请参阅 Amazon 按合规性计划提供的范围内服务。

云中的安全性

您的责任由您使用的 Amazon 服务决定。您还需要对其他因素负责，包括您的数据的敏感性、您组织的要求以及适用的法律法规。对于 Amazon S3，您的责任包括以下各个方面：

管理数据，包括对象所有权和加密。
对资产进行分类。
使用 IAM 角色管理您数据的访问权以及其他服务配置来应用适当的权限。
启用侦测性控制，例如适用于 Amazon S3 的 Amazon CloudTrail 或 Amazon GuardDuty。

此文档将帮助您了解如何在使用 Amazon S3 时应用责任共担模式。以下主题说明如何配置 Amazon S3 以实现您的安全性和合规性目标。您还将了解如何使用其他 Amazon 服务来帮助您监控和保护您的 Amazon S3 资源。

注意

有关将 Amazon S3 Express One Zone 存储类与目录存储桶配合使用的更多信息，请参阅 S3 Express One Zone 和使用目录存储桶。

主题

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

问题排查

安全最佳实践