我們的企業在亞馬遜S3上存儲了不同類型的數據，包括視頻和圖表。有哪些選擇可以確保亞馬遜S3 bucket的安全，并且加密我們的數據?

亞馬遜S3 bucket和對象可以通過互聯網訪問。AWS安全控制用來保護其他的資源，比如安全群組和網絡訪問控制列表，但不保護S3中的數據。但是也有一些方法可以保護S3中的數據的機密性、完整性和可用性。

默認方式下，創建于亞馬遜簡單存儲服務(S3)的對象只能夠為創建它們的人訪問。所有者可以授權其他人以粗粒度和細粒度的方式訪問。比如一位所有者可以讓數據集公開使用，每一個人都可以用這個對象的URL來訪問。

或者所有者可以使用S3策略和身份及訪問管理用戶和群組，允許有限的用戶集訪問。S3策略也可以基于網絡連接屬性限制運行。如果你只希望企業網絡的用戶訪問S3中的對象，指定所有的連接都從一個可信任的IP地址范圍發出。其他地址嘗試訪問則會被拒絕。

如果你希望確保從S3下載下來的數據是加密的，拒絕訪問任何不適SSL加密的連接。

還有一些方法可以用來在S3中實現加密。如果你使用AWS Key Management Service，就可以使用服務器端加密，允許亞馬遜Web服務(AWS)管理加密密鑰。為了管理你自己的密鑰，你需要使用服務器端加密密鑰，并且在企業內部保存。第三種選擇是在將數據發送到AWS之前加密數據。在這種場景中，你要管理加密流程的所有方面。

對于在S3中保護數據而言，審計是一個重要的安全流程。存儲管理員可以配置亞馬遜S3 bucket來記錄所有的請求特定bucket的細節。他們可以在其他的亞馬遜S3 bucket中存儲日志文件，并且用不同的訪問控制授權來最小化干預。