助客户防範资料外洩AWS S3新增加密与安全机制

AWS

近年来不少使用Amazon S3云端储存服务的企业都传出资料外洩的灾情，绝大多数的灾情都是源自于企业自己的疏失，像是设定错误或是忘了加密等，对此，Amazon Web Services（AWS）本周一（11/6）发表了5项与S3相关的加密与安全功能，盼能减轻客户资料意外外洩的风险。

Amazon S3的全名为Amazon Simple Storage Service，这是一个物件储存服务，允许客户透过Web介面来存放及撷取各种类型的资料，并根据所使用的空间、流量与请求数量来计费。然而，光是今年，该平台就有2亿美国选民资料、600万Verizon用户资料及400万时代华纳用户资料因客户的设定疏失而曝光。

本周Amazon S3新增的功能包含预设加密、权限检查、跨区域複製的存取权限名单改写功能、支援KMS的跨区域複製能力，以及详细的库存报告等。

其中，预设加密功能让客户可规定所有放置于储存贮体（bucket）中的物件都必须以加密格式存放，而不需再另行建立一个拒绝未加密物件的储存贮体政策。且现在的S3管理介面将会在可公开存取的储存贮体旁增添一个显眼的「Public」符号，藉以提醒客户。

当複製物件到其他AWS帐号时，S3原本也会同时複製与这些物件相对应的存取控制清单（access control list ，ACL），但现在则可改写相关的ACL；亦开始支援基于AWS Key Management Service（KMS）之加密物件的跨区域複製。

至于新的库存报告将纳入每个物件的加密状态，且报告本身亦可加密。上述功能已于即日上线，且并不额外收费。