步骤 2:创建 S3 Express One Zone 目录存储桶
登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/
。 -
在页面顶部的导航栏中,选择当前所显示 Amazon Web Services 区域的名称。接下来,选择要在其中创建存储桶的区域。
注意
要最大程度地减少延迟和成本以及满足法规要求,请选择一个靠近您的区域。在某一区域存储的对象将一直留在该区域,除非您特意将其转移到其他区域。有关 Amazon S3 Amazon Web Services 区域的列表,请参阅《Amazon Web Services 一般参考》中的 Amazon Web Services 服务 端点。
-
在左侧导航窗格中,选择目录存储桶。
-
选择创建存储桶。此时将打开创建存储桶页面。
-
在常规配置下,查看将在其中创建存储桶的 Amazon Web Services 区域。
在存储桶类型下,请选择目录。
注意
-
如果您选择的区域不支持目录桶,则桶类型选项将消失,桶类型默认为通用桶。要创建目录桶,您必须选择受支持的区域。有关支持目录桶和 Amazon S3 Express One Zone 存储类的区域列表,请参阅S3 Express One Zone 可用区和区域。
-
在创建存储桶后,便无法更改存储桶类型。
注意
创建存储桶后无法更改可用区。
-
-
对于可用区,请选择计算服务本地的可用区。有关支持目录桶和 S3 Express One Zone 存储类的可用区列表,请参阅S3 Express One Zone 可用区和区域。
在可用区下,选中复选框以确认在可用区中断时,您的数据可能不可用或丢失。
重要
尽管目录桶存储在单个可用区中的多个设备上,但目录桶不会跨可用区冗余存储数据。
-
对于存储桶名称,请输入目录存储桶的名称。
以下命名规则适用于目录存储桶。
-
在选定的区域(Amazon 可用区或 Amazon 本地区域)内是唯一的。
-
名称的长度必须介于 3(最小)到 63(最大)个字符之间,包括后缀。
-
仅包含小写字母、数字和连字符(-)。
-
以字母或数字开头和结尾。
-
必须包含以下后缀:
--。zone-id--x-s3 -
存储桶名称不得以前缀
xn--开头。 -
存储桶名称不得以前缀
sthree-开头。 -
存储桶名称不得以前缀
sthree-configurator开头。 -
存储桶名称不得以前缀
amzn-s3-demo-开头。 -
存储桶名称不得以后缀
-s3alias结尾。此后缀是为接入点别名预留的。有关更多信息,请参阅 通用存储桶的接入点别名。 -
存储桶名称不得以后缀
--ol-s3结尾。此后缀是为对象 Lambda 接入点别名预留的。有关更多信息,请参阅 如何为您的 S3 存储桶对象 Lambda 接入点使用存储桶式别名。 -
存储桶名称不得以后缀
.mrap结尾。此后缀预留用于多区域接入点名称。有关更多信息,请参阅 命名 Amazon S3 多区域接入点的规则。
后缀将自动添加到您使用控制台创建目录存储桶时提供的基本名称中。此后缀包括您选择的可用区的可用区 ID。
创建存储桶后,便无法更改其名称。有关给存储桶命名的更多信息,请参阅通用存储桶命名规则。
重要
请勿在桶名称中包含敏感信息,如账号。存储桶名称会显示在指向存储桶中的对象的 URL 中。
-
-
在对象所有权下,将自动启用强制桶拥有者设置,并禁用所有访问控制列表(ACL)。对于目录存储桶,无法启用 ACL。
强制存储桶拥有者(默认):ACL 已禁用,存储桶拥有者自动拥有并完全控制通用存储桶中的每个对象。ACL 不再影响对 S3 通用存储桶中数据的访问权限。存储桶专门使用策略来定义访问控制。
-
在此桶的屏蔽公共访问权限设置下,目录桶的所有屏蔽公共访问权限设置已自动启用。无法修改目录桶的这些设置。有关阻止公共访问的更多信息,请参阅阻止对您的 Amazon S3 存储的公有访问。
-
要配置默认加密,请在加密类型下,选择以下选项之一:
-
具有 Amazon S3 托管式密钥的服务器端加密(SSE-S3)
-
具有 Amazon Key Management Service 密钥的服务器端加密(SSE-KMS)
有关使用 Amazon S3 服务器端加密对数据进行加密的更多信息,请参阅数据保护和加密。
重要
如果您将 SSE-KMS 选项用于默认加密配置,则您将受到 Amazon KMS 的每秒请求数(RPS)限额限制。有关 Amazon KMS 限额以及如何请求增加限额的更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的限额。
当您启用默认加密时,您可能需要更新存储桶策略。有关更多信息,请参阅 使用 SSE-KMS 加密进行跨账户操作。
-
-
如果您选择具有 Amazon S3 托管式密钥的服务器端加密(SSE-S3),则在存储桶密钥下方将显示已启用。当您将目录存储桶配置为使用 SSE-S3 进行默认加密时,始终启用 S3 存储桶密钥。始终为目录存储桶中的
GET和PUT操作启用 S3 存储桶密钥,并且不能禁用。当您通过 CopyObject、UploadPartCopy、批量操作中的 Copy 操作或 import 任务,将 SSE-KMS 加密的对象从通用存储桶复制到目录存储桶、从目录存储桶复制到通用存储桶,或在目录存储桶之间复制时,不支持 S3 存储桶密钥。在这种情况下,每次对 KMS 加密的对象发出复制请求时,Amazon S3 都会调用 Amazon KMS。S3 存储桶密钥可通过减少从 Amazon S3 到 Amazon KMS 的请求流量,降低加密成本。有关更多信息,请参阅 使用 Amazon S3 存储桶密钥降低 SSE-KMS 的成本。
-
如果您选择具有 Amazon Key Management Service 密钥的服务器端加密(SSE-KMS),则在 Amazon KMS 密钥下方,通过以下方式之一指定您的 Amazon Key Management Service 密钥或创建新密钥。
-
要从可用 KMS 密钥列表中进行选择,选择从您的 Amazon KMS keys中进行选择,并从可用的 Amazon KMS keys中选择您的 KMS 密钥。
只有您的客户自主管理型密钥显示在此列表中。目录存储桶不支持 Amazon 托管式密钥 (
aws/s3)。有关客户自主管理型密钥的更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的客户密钥和 Amazon 密钥。 -
要输入 KMS 密钥 ARN 或别名,选择输入 Amazon KMS key ARN,然后在 Amazon KMS key ARN 中输入您的 KMS 密钥 ARN 或别名。
-
要在 Amazon KMS 控制台中创建新的客户自主管理型密钥,请选择创建 KMS 密钥。
有关创建 Amazon KMS key 的更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的创建密钥。
重要
在存储桶的生命周期内,SSE-KMS 配置只能支持每个目录存储桶 1 个 customer managed key。Amazon 托管式密钥 (
aws/s3) 不受支持。此外,在为 SSE-KMS 指定客户自主管理型密钥后,无法覆盖存储桶的 SSE-KMS 配置的客户自主管理型密钥。可以通过以下方式,确定您为存储桶的 SSE-KMS 配置指定的客户自主管理型密钥:
您发出
HeadObjectAPI 操作请求以查找响应中x-amz-server-side-encryption-aws-kms-key-id的值。
要对数据使用新的客户自主管理型密钥,我们建议使用新的客户自主管理型密钥将现有对象复制到新的目录存储桶中。
您只能使用与存储桶所在相同的 Amazon Web Services 区域中可用的 KMS 密钥。Amazon S3 控制台仅列出与存储桶位于同一区域中的前 100 个 KMS 密钥。要使用未列出的 KMS 密钥,您必须输入 KMS 密钥 ARN。如果您希望使用其他账户拥有的 KMS 密钥,则必须首先有权使用该密钥,然后必须输入相应的 KMS 密钥 ARN。有关 KMS 密钥的跨账户权限的更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的创建其他账户可以使用的 KMS 密钥。有关 SSE-KMS 的更多信息,请参阅为目录存储桶中的新对象上传指定具有 Amazon KMS 的服务器端加密(SSE-KMS)。
在目录存储桶中使用 Amazon KMS key进行服务器端加密时,您必须选择对称加密 KMS 密钥。Amazon S3 仅支持对称加密 KMS 密钥,而不支持非对称 KMS 密钥。有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的确定对称和非对称 KMS 密钥。
有关将 Amazon KMS 与 Amazon S3 结合使用的更多信息,请参阅在目录存储桶中使用具有 Amazon KMS 密钥的服务器端加密(SSE-KMS)。
-
-
选择 创建存储桶 。创建存储桶后,您可以向存储桶中添加文件和文件夹。有关更多信息,请参阅 使用目录桶中的对象。