Amazon S3 Block Public Access

S3 Block Public Access 可以在整个亚马逊云科技账户或单个 S3 存储桶层面实现控制，确保对象在现在和将来不受公共访问。

您可以通过访问控制列表 (ACL) 和/或存储桶策略来授予对存储桶和对象的公共访问权限。要确保阻止对所有 S3 存储桶和对象的公共访问，请在账户层面打开“阻止所有公共访问”功能。这种设置适用于整个账户内现有和将来的所有存储桶。

亚马逊云科技建议您阻止所有公共访问，但在应用这种设置之前，请确保您的应用程序能够在没有公共访问权限的情况下正常运行。如果您需要让存储桶或对象支持一定程度的公共访问，您可以自定义下面的各项设置，满足具体存储使用场景的需求。

S3 Block Public Access 的设置高于允许公共访问的 S3 权限，因此账户管理员能够轻松设置一种集中控制来避免安全配置发生变化，不受对象添加方式或存储桶创建方式的影响。如果在启用 S3 Block Public Access 的情况下将对象写入亚马逊云科技账户或 S3 存储桶，然后该对象通过 ACL 或策略指定了任何类型的公共权限，那么这些公共权限均会被阻止。 

除了 S3 控制台之外，您还可以通过 Amazon CLI、SDK 或 REST API 启用 S3 Block Public Access。 S3 Block Public Access文档针对各种选项提供了详细说明。 注意，您始终可以在 S3 控制台中查看公共存储桶（包含的对象支持公共权限的存储桶会在控制台中以醒目的方式标出），而且您还可以使用 Amazon Trusted Advisor 的 S3 存储桶权限查看功能来发现可以免费使用的开放存储桶。

将您的数据存储在 Amazon S3 中，并使用 S3 屏蔽公共访问权限保护其免受未经授权的访问。Amazon S3 让您可以使用 S3 屏蔽公共访问权限永远屏蔽对您在存储桶、账户或组织层面的所有对象的公共访问权限，而且是支持这一功能的唯一一种对象存储服务。S3 屏蔽公共访问权限功能现已与 Amazon Organizations 集成，让您能够通过单一策略配置集中管理整个组织的 S3 屏蔽公共访问权限设置。为确保屏蔽对所有 S3 存储桶和对象的公共访问权限，请在账户级别开启屏蔽所有公有访问权限设置，或通过组织级别强制实施将设置应用于多个 Amazon 账户。只需在 S3 管理控制台或 Amazon Organizations 控制台中单击几下，即可将 S3 屏蔽公共访问权限应用于账户中的每个存储桶（包括现有存储桶和将来创建的任何新存储桶），并避免任何对象受到公共访问。对于拥有多个亚马逊账户的组织，您目前可以使用 Amazon Organizations 策略集中管理所有成员账户的这些设置。默认情况下，所有新存储桶均已启用 S3 屏蔽公共访问权限。

S3 屏蔽公共访问权限可以在整个亚马逊云科技账户或单个 S3 存储桶层面实现控制，确保对象在现在和将来不受公共访问。

您可以通过访问控制列表（ACL）和/或存储桶策略来授予对存储桶和对象的公共访问权限。要确保屏蔽对所有 S3 存储桶和对象的公共访问，请在账户层面开启“屏蔽所有公共访问权限”功能。这种设置适用于整个账户内现有和将来的所有存储桶。

亚马逊云科技建议您开启“屏蔽所有公共访问权限”，但在应用这种设置之前，请确保您的应用程序能够在没有公共访问权限的情况下正常运行。如果您需要让存储桶或对象支持一定程度的公共访问，您可以自定义下面的各项设置，满足具体存储应用场景的需求。

S3 屏蔽公共访问权限的设置会覆盖允许公共访问的 S3 权限，这使账户管理员能够轻松设置一种集中控制来避免安全配置发生变化，不受对象添加方式或存储桶创建方式的影响。

如果在启用 S3 屏蔽公共访问权限的情况下将对象写入亚马逊云科技账户或 S3 存储桶，然后该对象通过 ACL 或策略指定了任何类型的公共权限，那么这些公共权限均会被屏蔽。

除了 S3 控制台之外，您还可以通过 Amazon CLI、SDK 或 REST API 启用“S3 屏蔽公共访问权限”功能。S3 屏蔽公共访问权限文档针对各种选项提供了详细说明。注意，您始终可以在 S3 控制台中查看公共存储桶（包含的对象支持公共权限的存储桶会在控制台中以醒目的方式标出），而且您还可以使用 Amazon Trusted Advisor 的 S3 存储桶权限查看功能来发现可以免费使用的开放存储桶。

使用本服务需遵循亚马逊云科技客户协议。