Caratteristiche di Amazon S3

S3 Storage Lens offre visibilità a livello di organizzazione sull'utilizzo dell'archiviazione di oggetti, delle tendenze delle attività, e fornisce consigli sulle azioni da intraprendere per migliorare la convenienza e applicare le best practice di protezione dei dati. S3 Storage Lens è la prima soluzione di strumenti di analisi dello storage su cloud a fornire una singola visualizzazione dell'utilizzo dello storage di oggetti e delle attività di centinaia, o addirittura migliaia, di account in un'organizzazione, con drill-down per la generazione di analisi a livello di account, di bucket o addirittura di prefisso. Grazie a oltre 16 anni di esperienza nell'aiutare i clienti a ottimizzare l'archiviazione, S3 Storage Lens analizza i parametri dell'intera organizzazione per fornire consigli contestuali su come ridurre i costi di archiviazione e applicare le best practice di protezione dei dati. 

L'analisi della classe di storage di Amazon S3 analizza i modelli di accesso per decidere quando trasferire i dati nella classe di archiviazione più idonea. Questa funzione di Amazon S3 osserva i modelli di accesso ai dati e consente di determinare quando è il momento di trasferire l’archiviazione a cui si accede con meno frequenza alla classe a basso costo. I risultati possono essere utilizzati per migliorare le policy del ciclo di vita S3. È possibile configurare l'analisi della classe di storage in modo da analizzare tutti gli oggetti in un bucket. Oppure è possibile configurare i filtri e raggruppare gli oggetti per l'analisi in base a prefisso comune, tag di oggetto o sia prefissi che tag. Per ulteriori informazioni, visita la pagina sulle informazioni e sull'analisi dei dati di archiviazione.

Le tabelle Amazon S3 offrono il primo archivio di oggetti cloud con supporto integrato per il formato aperto delle tabelle e il modo più semplice per archiviare dati tabulari su larga scala. Le tabelle S3 sono specificamente ottimizzate per i carichi di lavoro di analisi, con conseguenti prestazioni di query fino a 3 volte più veloci e transazioni al secondo fino a 10 volte superiori rispetto alle tabelle autogestite. Le tabelle S3 supportano lo standard Apache Iceberg e consentono ai più diffusi motori di query AWS e di terze parti di eseguire query facilmente. Inoltre, sono progettate per eseguire una manutenzione continua delle tabelle stesse in modo da ottimizzare automaticamente nel tempo l'efficienza delle query e i costi di archiviazione, anche se il data lake scala e si evolve. L'integrazione di tabelle S3 con il Catalogo dati AWS Glue è disponibile in anteprima e consente di trasmettere, interrogare e visualizzare i dati (incluse le tabelle di S3 Metadata) utilizzando i servizi AWS di analisi come Amazon Data Firehose, Amazon Athena, Amazon Redshift, Amazon EMR e Amazon QuickSight.

Le tabelle S3 utilizzano i bucket tabulari, un tipo di bucket creato appositamente per archiviare dati tabulari. Con questi nuovi bucket puoi creare facilmente le tabelle e impostare autorizzazioni a livello di tabella per gestire l'accesso al tuo data lake. Quindi puoi caricare e interrogare dati nelle tue tabelle con SQL standard, e sfruttare le funzionalità di analisi avanzate di Apache Iceberg come transazioni a livello di riga, snapshot interrogabili, evoluzione dello schema e altro ancora. I bucket tabulari forniscono anche una manutenzione delle tabelle basata su policy, aiutandoti ad automatizzare attività operative come la compattazione, la gestione degli snapshot e la rimozione di file senza riferimenti.

Amazon S3 supporta i casi d'uso relativi alla residenza e all'isolamento dei dati quando è necessario archiviare i dati in un perimetro di dati specifico. Se hai requisiti di residenza dei dati che non possono essere soddisfatti da una regione AWS esistente, puoi utilizzare le classi di archiviazione S3 per le zone locali AWS dedicate o i rack S3 on Outposts rack per archiviare i tuoi dati in un perimetro di dati specifico. L'AWS Digital Sovereignty Pledge è il nostro impegno nell'offrire a tutti i clienti AWS il set più avanzato di controlli e funzionalità di sovranità nel cloud.

Per impostazione predefinita, al fine di proteggere i dati in Amazon S3 gli utenti hanno accesso solo alle risorse S3 da loro create. È possibile concedere l'accesso ad altri utenti utilizzando una o più delle seguenti funzionalità di gestione degli accessi: AWS Identity and Access Management (IAM) per creare utenti e gestirne gli accessi; liste di controllo degli accessi (ACL) per rendere singoli oggetti accessibili a utenti autorizzati; policy del bucket per configurare le autorizzazioni per tutti gli oggetti all'interno di un singolo bucket S3; punti di accesso S3 per semplificare la gestione dell'accesso ai dati nei set di dati condivisi creando punti di accesso con nomi e autorizzazioni specifici per ciascuna applicazione o set di applicazioni; S3 Access Grants per gestire le autorizzazioni dei dati su vasta scala, concedendo automaticamente l'accesso S3 agli utenti finali in base alla loro identità aziendale; e autenticazione stringa della query per concedere ad altri l'accesso a tempo limitato tramite URL temporanei. Amazon S3 supporta anche i log di audit che elencano le richieste effettuate sulle risorse S3 per una visibilità completa su chi accede a quali dati.

Amazon S3 offre caratteristiche di sicurezza flessibili per impedire a utenti non autorizzati di accedere ai tuoi dati. Utilizza gli endpoint VPC per connettere le risorse S3 dall'Amazon Virtual Private Cloud (Amazon VPC) e da on-premises. Amazon S3 crittografa tutti i nuovi dati caricati su qualsiasi bucket (a partire dal 5 gennaio 2023). Amazon S3 supporta sia la crittografia lato server (con quattro opzioni di gestione delle chiavi) che la crittografia lato client per il caricamento dei dati (consulta la guida per l'utente di Amazon S3 per ulteriori informazioni sulla crittografia dei dati con S3). Utilizza l'inventario S3 per controllare lo stato della crittografia degli oggetti S3 (consulta la sezione relativa alla gestione dell'archiviazione per ulteriori informazioni sull'inventario S3).

Il blocco dell'accesso pubblico S3 è un set di controlli di sicurezza che assicura che i bucket e gli oggetti S3 non abbiano accesso pubblico. Per impostazione predefinita, in tutti i nuovi bucket è attivato il blocco dell'accesso pubblico. È possibile applicare in pochi clic nella Console di Amazon S3 le impostazioni del blocco dell'accesso pubblico S3 a tutti i bucket dell'account AWS oppure a bucket S3 specifici. Una volta applicate le impostazioni a un account AWS, tutti i bucket nuovi o esistenti e gli oggetti associati a tale account ereditano le impostazioni che impediscono l'accesso pubblico. Le impostazioni di blocco dell'accesso pubblico S3 sovrascrivono altre autorizzazioni di accesso S3, rendendo semplice per l'amministratore dell'account applicare una policy "nessun accesso pubblico" indipendentemente da come un oggetto viene aggiunto, come viene creato un bucket o se ci sono autorizzazioni di accesso esistenti. I controlli del blocco dell'accesso pubblico S3 sono revisionabili, forniscono un livello di controllo ulteriore e utilizzano i controlli di autorizzazione bucket di AWS Trusted Advisor, i log di AWS CloudTrail e gli allarmi di Amazon CloudWatch. È opportuno attivare il blocco dell'accesso pubblico per tutti gli account e i bucket che non si desidera rendere accessibili al pubblico.

La proprietà degli oggetti di S3 è una funzionalità che disabilita le liste di controllo degli accessi (ACL), modificando la proprietà di tutti gli oggetti al proprietario del bucket e semplificando la gestione degli accessi ai dati archiviati in S3. Nel configurare l'impostazione applicata del proprietario del bucket di proprietà degli oggetti S3, le ACL non influiranno più sulle autorizzazioni per il bucket e gli oggetti in esso contenuti. Tutto il controllo degli accessi verrà definito utilizzando policy basate sulle risorse, policy utente o una combinazione di questi due tipi. Prima di disabilitare le ACL, riesamina le ACL del tuo bucket e dei tuoi oggetti. Per identificare le richieste di Amazon S3 che richiedevano le ACL per l'autorizzazione, è possibile utilizzare il campo aclRequired nei  o .

Tramite i punti di accesso S3 limitati a un cloud privato virtuale (VPC), è possibile proteggere facilmente i dati S3 nella rete privata. Inoltre, è possibile utilizzare le policy di controllo dei servizi AWS per richiedere che qualsiasi nuovo S3 Access Point nella propria organizzazione sia limitato al solo accesso VPC.

IAM Access Analyzer per S3 è una funzionalità che permette di semplificare la gestione dei permessi durante l'impostazione, la verifica e il perfezionamento delle policy per i bucket S3 e i punti di accesso. Access Analyzer per S3 monitora le tue policy di accesso ai bucket esistenti per verificare che forniscano solo l'accesso richiesto alle tue risorse S3. Access Analyzer per S3 valuta le tue policy di accesso ai bucket in modo da poter rimediare rapidamente a qualsiasi bucket con accesso non richiesto. Quando esamini i risultati relativi a un potenziale accesso condiviso a un bucket, ti basterà un solo clic per bloccare tutti gli accessi pubblici al bucket dalla console di S3. Ai fini di verifica, è possibile scaricare i risultati di Access Analyzer per S3 come report CSV. Inoltre, la console S3 riporta avvisi di sicurezza, errori e suggerimenti da IAM Access Analyzer mentre si creano le policy S3. La console esegue automaticamente più di 100 controlli per convalidare le tue policy. Questi controlli ti fanno risparmiare tempo, ti guidano nella risoluzione degli errori e ti aiutano ad applicare le best practice di sicurezza.

IAM ti consente di analizzare gli accessi e di ridurre le autorizzazioni con facilità per garantire il privilegio minimo fornendo il timestamp dell'ultimo utilizzo di S3 e delle operazioni associate da parte di un utente o di un ruolo. Utilizza le informazioni sull'"ultimo accesso" per analizzare gli accessi a S3, identificare le autorizzazioni non utilizzate e rimuoverle in completa sicurezza. Per ulteriori informazioni, visita la sezione Restrizione delle autorizzazioni con i dati sull'ultimo accesso.

I clienti possono anche utilizzare Amazon Macie per rilevare e proteggere i dati sensibili archiviati in Amazon S3. Il servizio raccoglie automaticamente un inventario completo e valuta costantemente ogni bucket per segnalare tutti quelli accessibili pubblicamente, quelli non crittografati o quelli condivisi o replicati con gli account AWS al di fuori della tua organizzazione. Successivamente, Macie applica tecniche di machine learning e pattern matching ai bucket selezionati avvisandoti una volta individuati i dati sensibili, tra cui le informazioni personali di identificazione (PII). Quando viene generato un risultato di sicurezza, viene escluso verso Eventi Amazon CloudWatch, facilitando l'integrazione con i sistemi del flusso di lavoro esistenti e anche mettendo in atto rimedi automatici con servizi come AWS Step Functions, che permettono di agire con azioni come la chiusura del bucket pubblico e l'inserimento di tag risorsa.

AWS PrivateLink per S3 fornisce connettività privata tra Amazon S3 e gli ambienti on-premises. Puoi eseguire il provisioning degli endpoint VPC di interfaccia per S3 nel tuo VPC per connettere le applicazioni on-premise direttamente a S3 tramite AWS Direct Connect o AWS VPN. Le richieste di interfacciamento con gli endpoint VPC per S3 vengono automaticamente instradate a S3 tramite la rete Amazon. Puoi impostare gruppi di sicurezza e configurare le policy per endpoint VPC per gli endpoint VPC di interfaccia per ulteriori controlli sugli accessi.

Per ulteriori informazioni, consulta la sezione relativa alla gestione e sicurezza degli accessi S3, l'eBook sulla sicurezza e protezione dei dati di S3 e la protezione dei dati in Amazon S3.

Scambio dati su AWS per Amazon S3 accelera i tempi di analisi con l'accesso diretto ai dati Amazon S3 dei provider di dati. Scambio dati AWS per Amazon S3 ti aiuta a trovare, abbonarti e utilizzare facilmente file di dati di terze parti per l'ottimizzazione dei costi di archiviazione, la gestione semplificata delle licenze dei dati e altro ancora. È destinato agli abbonati che desiderano utilizzare facilmente file di dati di terze parti per l'analisi dei dati con i servizi AWS senza dover creare o gestire copie dei dati. È utile anche per i provider di dati che desiderano offrire accesso locale ai dati ospitati nei propri bucket Amazon S3.

Una volta che gli abbonati ai dati hanno diritto a un set di dati di Scambio dati AWS per Amazon S3, possono avviare l'analisi dei dati senza dover configurare i propri bucket S3, copiare i file di dati in tali bucket S3 o pagare le tariffe di archiviazione associate. L'analisi dei dati può essere eseguita con servizi AWS quali Amazon Athena, Amazon SageMaker Feature Store o Amazon EMR. Accedendo agli stessi oggetti S3 gestiti dal provider di dati, i sottoscrittori utilizzano sempre i dati più aggiornati disponibili, senza altre operazioni tecniche o operative. I provider di dati possono configurare facilmente lo scambio dati su AWS per Amazon S3 sui loro bucket S3 esistenti per condividere l'accesso diretto a un intero bucket S3 o prefissi e oggetti S3 specifici. Dopo la configurazione, Scambio dati AWS gestisce automaticamente abbonamenti, diritti, fatturazione e pagamenti.

Amazon S3 offre prestazioni leader del settore per lo storage di oggetti nel cloud. Amazon S3 supporta il calcolo in parallelo delle richieste, permettendo di ricalibrare le prestazioni di S3 secondo il cluster di elaborazione, senza dover adattare il codice dell'applicazione. Le risorse vengono ricalibrate in base al prefisso, pertanto è possibile utilizzarne in quantità variabile in parallelo per ottenere il throughput desiderato. Non è previsto alcun limite al numero di prefissi utilizzabili. Le prestazioni di Amazon S3 supportano almeno 3.500 richieste al secondo per aggiungere dati e 5.500 richieste al secondo per recuperarli. La nuova frequenza delle richieste è supportata da tutti i prefissi di S3, rendendo questo esponenziale aumento delle prestazioni semplice da utilizzare.

Per ottenere questo aumento delle prestazioni di S3 non è necessario randomizzare i prefissi degli oggetti e ottenere prestazioni più veloci. È possibile quindi assegnare nomi agli oggetti in S3 in modo sequenziale o logico senza nessun impatto sulle prestazioni. Per le informazioni più aggiornate sull'ottimizzazione delle prestazioni di Amazon S3, consulta le pagine Performance Guidelines for Amazon S3 e Performance Design Patterns for Amazon S3.