# Amazon S3 中的基础设施安全性
<a name="network-isolation"></a>

作为一个受管理的服务，Amazon S3 受到 Amazon 全局网络安全过程的保护，这些过程在 [Amazon Well-Architected 框架](https://docs.amazonaws.cn/wellarchitected/latest/security-pillar/welcome.html)的安全支柱中进行了描述。

通过网络访问 Amazon S3 是通过 Amazon 发布的 API 进行的。客户端必须支持传输层安全性协议（TLS）1.2。此外，我们建议支持 TLS 1.3 和混合后量子密钥交换。要了解 Amazon 的后量子密码术，包括博客文章和研究论文的链接，请参阅 [Post-Quantum Cryptography for Amazon](https://www.amazonaws.cn/security/post-quantum-cryptography/)。

**注意**  
除了适用于 Amazon S3 的 Amazon PrivateLink 和多区域接入点之外，所有 S3 端点均支持 TLS 1.3。

客户端还必须支持具有完全向前保密 (PFS) 的密码套件，例如 Ephemeral Diffie-Hellman (DHE) 或 Elliptic Curve Diffie-Hellman Ephemeral (ECDHE)。另外，请求必须使用 Amazon 签名 V4 或 Amazon 签名 V2 进行签名，同时要求提供有效凭证。

这些 API 可以从任何网络位置调用。然而，Amazon S3 的确支持基于资源的访问策略，其中可以包含基于源 IP 地址的限制。您还可以使用 Amazon S3 存储桶策略控制从特定 Virtual Private Cloud（VPC）端点或特定 VPC 对存储桶的访问。事实上，这隔离了在 Amazon 网络中仅从特定 VPC 到给定 Amazon S3 存储桶的网络访问。有关更多信息，请参阅 [使用存储桶策略控制从 VPC 端点的访问](example-bucket-policies-vpc-endpoint.md)。

下面的安全最佳实践也处理 Amazon S3 中的基础设施安全性：
+ [Consider VPC endpoints for Amazon S3 access](security-best-practices.md#end-points)
+ [Identify and audit all your Amazon S3 buckets](security-best-practices.md#audit)