步骤 1:创建您的第一个 S3 存储桶 - Amazon Simple Storage Service

步骤 1:创建您的第一个 S3 存储桶

注册 AWS 后,您即可使用 AWS Management Console 在 Amazon S3 中创建存储桶了。Amazon S3 中的每个对象都存储在存储桶中。必须先创建一个存储桶,然后才能在 Amazon S3 中存储数据。

注意

有关将 Amazon S3 Express One Zone 存储类与目录存储桶配合使用的更多信息,请参阅什么是 S3 Express One Zone?目录存储桶

注意

您无需为创建存储桶付费。只有将对象存储到存储桶中以及从存储桶传入和传出对象才需要付费。仿照本指南中的示例操作产生的费用非常少(不到 1 USD)。有关存储费用的更多信息,请参阅 Amazon S3 定价

  1. 登录到 AWS Management Console,然后通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/

  2. 在左侧导航窗格中,选择存储桶

  3. 选择创建存储桶

    此时将打开创建存储桶页面。

  4. 对于存储桶名称,请输入存储桶的名称。

    存储桶名称必须满足以下要求:

    • 在分区中是唯一的。分区是一组区域。AWS 目前有三个分区:aws(标准区域)、aws-cn(中国区域)和 aws-us-gov (AWS GovCloud (US) Regions)。

    • 长度必须介于 3 到 63 个字符之间。

    • 只能由小写字母、数字、句点(.)和连字符(-)组成。为了获得最佳兼容性,我们建议您避免在存储桶名称中使用句点 (.),但仅用于静态网站托管的存储桶除外。

    • 以字母或数字开头和结尾。

    创建存储桶后,便无法更改其名称。有关给存储桶命名的更多信息,请参阅存储桶命名规则

    重要

    避免在存储桶名称中包含敏感信息,如账号。存储桶名称会显示在指向存储桶中的对象的 URL 中。

  5. 对于区域,选择要放置存储桶的 AWS 区域。

    要最大程度地减少延迟和成本以及满足法规要求,请选择一个靠近您的区域。在某一区域存储的对象将一直留在该区域,除非您特意将其转移到其他区域。有关 Amazon S3 AWS 区域的列表,请参阅《Amazon Web Services 一般参考》中的 AWS 服务 端点

  6. 对象所有权下方,要禁用或启用 ACL,并控制上传到存储桶中的对象的所有权,请选择以下设置之一:

    已禁用 ACL
    • 强制存储桶拥有者(默认)– ACL 已禁用,存储桶拥有者自动拥有并完全控制存储桶中的每个对象。ACL 不再影响对 S3 存储桶中数据的访问权限。存储桶专门使用策略来定义访问控制。

      默认情况下,ACL 处于禁用状态。Amazon S3 中的大多数现代使用案例不再需要使用 ACL。我们建议您将 ACL 保持为禁用状态,除非有必须单独控制每个对象的访问权限的特殊情况。有关更多信息,请参阅 为您的存储桶控制对象所有权和禁用 ACL。

    已启用 ACL
    • 首选存储桶拥有者 – 存储桶拥有者拥有并完全控制其他账户使用 bucket-owner-full-control 标准 ACL 写入存储桶的新对象。

      如果应用首选存储桶拥有者设置,以要求所有 Amazon S3 上传都包含 bucket-owner-full-control 标准 ACL,则可以添加存储桶策略,该策略只允许使用此 ACL 上传对象。

    • 对象编写者 – 上传对象的 AWS 账户拥有该对象,对其拥有完全控制权,并且可以通过 ACL 授予其他用户访问该对象的权限。

    注意

    默认设置为强制存储桶拥有者。要应用默认设置并将 ACL 保持为禁用状态,只需要 s3:CreateBucket 权限。要启用 ACL,您必须具有 s3:PutBucketOwnershipControls 权限。

  7. 此存储桶的屏蔽公共访问权限设置中,请选择要应用于存储桶的屏蔽公共访问权限设置。

    默认情况下,启用所有四个“屏蔽公共访问权限”设置。我们建议您将所有设置保持为启用状态,除非您知道您需要为您的特定使用案例关闭其中一个或多个设置。有关屏蔽公共访问权限的更多信息,请参阅阻止对您的 Amazon S3 存储的公有访问

    注意

    要启用所有“屏蔽公共访问权限”设置,只需要 s3:CreateBucket 权限。要关闭任何“屏蔽公共访问权限”设置,您必须拥有 s3:PutBucketPublicAccessBlock 权限。

  8. (可选)在存储桶版本控制下,您可以选择是否要在存储桶中保留对象的变体。有关版本控制的更多信息,请参阅在 S3 存储桶中使用版本控制

    要在存储桶上禁用或启用版本控制,请选择 Disable(禁用)或 Enable(启用)。

  9. (可选)在 Tags(标签)下,您可以选择向存储桶添加标签。标签是用于对存储进行分类的键/值对。

    要添加存储桶标签,请输入,并(可选)输入,然后选择添加标签

  10. 默认加密下,请选择编辑

  11. 要配置默认加密,请在加密类型下,选择以下选项之一:

    • Amazon S3 托管密钥 (SSE-S3)

    • AWS Key Management Service 密钥 (SSE-KMS)

      重要

      如果您将 SSE-KMS 选项用于默认加密配置,则您将受到 AWS KMS 的每秒请求数(RPS)限额限制。有关 AWS KMS 限额以及如何请求增加限额的更多信息,请参阅《AWS Key Management Service 开发人员指南》中的限额

    存储桶和新对象使用具有 Amazon S3 托管密钥的服务器端加密进行加密,作为加密配置的基本级别。有关默认加密的更多信息,请参阅为 Amazon S3 存储桶设置默认服务器端加密行为

    有关使用 Amazon S3 服务器端加密对数据进行加密的更多信息,请参阅使用具有 Amazon S3 托管式密钥的服务器端加密(SSE-S3)

  12. 如果选择了 AWS Key Management Service 密钥(SSE-KMS),则执行以下操作:

    1. AWS KMS 密钥下,通过以下方式之一指定您的 KMS 密钥:

      • 要从可用的 KMS 密钥列表中进行选择,请选择从您的 AWS KMS keys 密钥中进行选择,并从可用密钥的列表中选择您的 KMS 密钥

        AWS 托管式密钥(aws/s3)和您的客户自主管理型密钥都显示在此列表中。有关客户自主管理型密钥的更多信息,请参阅《AWS Key Management Service 开发人员指南》中的客户密钥和 AWS 密钥

      • 要输入 KMS 密钥 ARN,请选择输入 AWS KMS key ARN,然后在显示的字段中输入您的 KMS 密钥 ARN。

      • 要在 AWS KMS 控制台中创建新的客户自主管理型密钥,请选择创建 KMS 密钥

        有关创建 AWS KMS key 的更多信息,请参阅《AWS Key Management Service 开发人员指南》中的创建密钥

      重要

      您只能使用与存储桶所在相同的 AWS 区域中可用的 KMS 密钥。Amazon S3 控制台仅列出与存储桶位于同一区域中的前 100 个 KMS 密钥。要使用未列出的 KMS 密钥,您必须输入 KMS 密钥 ARN。如果您希望使用其他账户拥有的 KMS 密钥,则必须首先有权使用该密钥,然后必须输入相应的 KMS 密钥 ARN。有关 KMS 密钥的跨账户权限的更多信息,请参阅《AWS Key Management Service 开发人员指南》中的创建其他账户可以使用的 KMS 密钥。有关 SSE-KMS 的更多信息,请参阅使用 AWS KMS (SSE-KMS) 指定服务器端加密

      在 Amazon S3 中使用 AWS KMS key 进行服务器端加密时,您必须选择对称加密 KMS 密钥。Amazon S3 仅支持对称加密 KMS 密钥,而不支持非对称 KMS 密钥。有关更多信息,请参阅《AWS Key Management Service 开发人员指南》中的确定对称和非对称 KMS 密钥

      有关创建 AWS KMS key 的更多信息,请参阅《AWS Key Management Service 开发人员指南》中的创建密钥。有关将 AWS KMS 与 Amazon S3 结合使用的更多信息,请参阅使用具有 AWS KMS 密钥的服务器端加密(SSE-KMS)

    2. 将存储桶配置为使用 SSE-KMS 进行默认加密时,您还可以启用 S3 存储桶密钥。S3 存储桶密钥可通过减少从 Amazon S3 到 AWS KMS 的请求流量,降低加密成本。有关更多信息,请参阅 使用 Amazon S3 存储桶密钥降低 SSE-KMS 的成本

      要使用 S3 存储桶密钥,请在存储桶密钥下,选择启用

  13. (可选)如果要启用 S3 对象锁定,请执行以下操作:

    1. 选择高级设置

      重要

      您只能在创建存储桶时为其启用对象锁定,且之后无法禁用它。启用对象锁定还会启用存储桶的版本控制。启用后,必须配置对象锁定默认保留和法律保留设置,以保护新对象不被删除或覆盖。

    2. 如果要启用对象锁定,请选择 Enable(启用),阅读出现的警告,并予以确认。

    有关更多信息,请参阅 使用 S3 对象锁定

    注意

    要创建启用对象锁定的存储桶,您必须具有以下权限:s3:CreateBuckets3:PutBucketVersionings3:PutBucketObjectLockConfiguration

  14. 选择创建存储桶

您已在 Amazon S3 中完成存储桶创建。

下一步

要将对象添加到您的存储桶,请参阅步骤 2:将对象上传到存储桶