Analogi dulu, lalu definisi.

Bayangkan S3 seperti gudang logistik raksasa yang menerima paket digital, menyimpannya dengan label unik, lalu mengirimkannya kembali kapan pun aplikasi meminta.

Di gudang biasa, barang disimpan di rak dan diberi nomor resi. Di Amazon S3, barang itu disebut object, rak besarnya disebut bucket, dan nomor resinya disebut key. Aplikasi tidak perlu tahu di server fisik mana file disimpan, karena S3 mengurus penyimpanan, skala, dan ketahanan datanya di balik layar. Kamu cukup memikirkan “objek apa yang mau saya simpan”, bukan “disk mana yang masih punya ruang”.

Secara sederhana, Amazon S3 adalah layanan object storage untuk menyimpan dan mengambil data dalam bentuk objek melalui internet atau jaringan AWS. Cocok untuk file statis, backup, arsip, data lake, log, gambar, video, aset website, dan data aplikasi yang tidak perlu diperlakukan seperti disk lokal. AWS menyebut S3 dirancang untuk durabilitas 99,999999999% (11 sembilan), artinya data yang kamu titipkan praktis tidak akan hilang karena S3 menyimpan banyak salinan di balik layar.

Kenapa kamu perlu membedakan S3 dari EBS sejak awal? Karena soal CLF-C02 sering menyodorkan tiga pilihan storage yang mirip, lalu menguji apakah kamu paham bentuk datanya. EBS adalah block storage yang melekat pada satu EC2 di satu Availability Zone, cocok untuk disk sistem dan database. S3 adalah object storage yang berdiri sendiri, diakses lewat API dari mana saja, dan otomatis tahan di beberapa Availability Zone.

S3 sering muncul di CLF-C02 karena ia menyentuh beberapa domain sekaligus. Dari sisi Cloud Concepts, S3 menunjukkan elastisitas dan pay-as-you-go. Dari sisi Security and Compliance, S3 punya bucket policy, encryption, Block Public Access, IAM Access Analyzer, dan audit. Dari sisi Cloud Technology and Services, S3 adalah layanan storage inti. Dari sisi Billing and Pricing, storage class dan lifecycle membantu optimasi biaya.

Fondasi istilah yang akan muncul terus di soal.

Sebelum membahas fitur canggih, pahami dulu kosakata S3 seperti alamat gudang, label paket, dan folder semu.

Bucket adalah wadah tingkat atas untuk menyimpan objek. Nama bucket harus unik secara global dalam partisi AWS tertentu karena nama itu menjadi bagian dari alamat akses. Saat membuat bucket, kamu memilih AWS Region untuk lokasi bucket tersebut, lalu objek di dalamnya berada di Region itu kecuali kamu mengatur replikasi atau fitur khusus lain.

Object adalah data yang disimpan, misalnya logo.png, backup.zip, data-penjualan.csv, atau video.mp4. Object berisi data, metadata, key, version ID bila versioning aktif, tag, serta informasi storage class. Dokumentasi S3 menjelaskan bahwa setiap objek disimpan dalam bucket, dan bucket harus dibuat sebelum kamu menyimpan data di S3.

Key adalah nama unik objek di dalam bucket. Jika object bernama images/produk/kopi.png, seluruh string itu adalah key. Bagian images/produk/ sering terlihat seperti folder, tetapi di S3 itu disebut prefix, yaitu pola nama yang membantu mengelompokkan objek.

S3 bukan database transaksional, bukan shared file system penuh, dan bukan tempat menjalankan kode. S3 adalah tempat menyimpan objek. Aplikasi boleh menyimpan database backup di S3, tetapi database aktif biasanya berjalan di RDS, DynamoDB, atau layanan database lain.

Walkthrough konseptual tanpa mengunci ke satu akun atau Region.

Hands-on S3 paling aman dimulai dari membuat bucket privat, mengunggah objek, lalu mengamati metadata, URL, dan izin aksesnya.

Ikuti alur ini di AWS Management Console saat latihan. Jangan gunakan data sensitif, dan hapus objek serta bucket setelah selesai bila hanya untuk belajar.

Saat file tidak bisa dibuka publik, bukan berarti S3 rusak. Itu berarti pengaturan akses privat bekerja. S3 modern cenderung aman secara default, terutama dengan Block Public Access dan encryption default.

Untuk akses sementara, solusi yang lebih aman daripada membuka bucket adalah presigned URL, yaitu URL bertanda tangan yang berlaku terbatas waktu. Konsep ini sering membantu skenario seperti pelanggan mengunduh invoice atau aplikasi mobile mengunggah foto tanpa membuat bucket publik. Yang penting diingat, masa berlaku presigned URL ada batasnya, maksimum 12 jam bila dibuat lewat Console dan maksimum 7 hari (604800 detik) bila dibuat lewat AWS CLI atau SDK.

S3 aman bila izin aksesnya dipahami, bukan sekadar dicoba-coba.

Keamanan S3 mirip gedung arsip, ada kartu pegawai, aturan pintu, alarm publik, dan log siapa saja yang masuk.

Di S3, akses bisa dikendalikan dengan beberapa lapisan. IAM policy menempel pada user, group, atau role. Bucket policy menempel pada bucket. Access Control List pernah umum dipakai, tetapi untuk desain modern lebih baik mengandalkan IAM policy, bucket policy, Object Ownership, dan Block Public Access kecuali ada alasan khusus.

Bucket policy adalah resource-based policy yang menjawab pertanyaan, siapa boleh melakukan aksi apa pada bucket atau objek ini. Contoh aksi adalah s3:GetObject untuk membaca objek, s3:PutObject untuk mengunggah, dan s3:ListBucket untuk melihat daftar objek. Resource biasanya berbentuk ARN bucket atau ARN object. Bentuk policy-nya adalah dokumen JSON dengan field Effect, Principal, Action, dan Resource, misalnya { “Effect”: “Allow”, “Action”: “s3:GetObject” } ditulis dalam satu blok kurung kurawal.

Menurut dokumentasi S3, Block Public Access dapat diterapkan di level account, bucket, dan access point. Untuk bucket general purpose baru, pengaturan Block Public Access aktif secara default. Artinya, meskipun seseorang menulis policy yang tampak membuka akses publik, pengaturan Block Public Access dapat tetap memblokirnya. Inilah jaring pengaman utama melawan kebocoran tidak sengaja.

Dalam praktik, gunakan prinsip least privilege. Beri aplikasi hanya aksi yang diperlukan. Jika aplikasi hanya perlu membaca gambar produk, jangan beri s3:PutObject atau s3:DeleteObject. Jika hanya perlu menulis log ke prefix tertentu, batasi resource ke prefix itu.

S3 bisa menyajikan HTML statis, tetapi pahami batas keamanan dan HTTPS.

S3 static website seperti menaruh brosur HTML di rak publik, pengunjung bisa membaca, tetapi tidak ada server aplikasi yang memproses login atau transaksi.

S3 dapat digunakan untuk hosting static website, misalnya HTML, CSS, JavaScript, gambar, dan file statis. Ini cocok untuk landing page sederhana, dokumentasi statis, aset frontend, atau situs yang dibangun oleh static site generator seperti Astro.

Namun, website endpoint bawaan S3 bersifat HTTP. Jika kamu membutuhkan HTTPS, domain custom, caching global, redirect yang lebih fleksibel, atau proteksi tambahan, gunakan Amazon CloudFront di depan S3. Dokumentasi AWS juga merekomendasikan CloudFront bila kamu ingin website publik tanpa membuka Block Public Access langsung ke bucket.

Skenario ujian yang umum, perusahaan ingin website statis murah dan tahan skala. Jawaban sering mengarah ke S3 untuk file statis, CloudFront untuk distribusi global dan HTTPS, Route 53 untuk DNS, serta Certificate Manager untuk sertifikat TLS di CloudFront.

Melindungi data dari overwrite, delete, dan kebutuhan lintas Region.

Versioning seperti fitur riwayat dokumen, kalau file tertimpa atau terhapus, versi lama masih bisa dipulihkan.

S3 Versioning menyimpan beberapa versi dari objek yang sama. Jika objek ditimpa, S3 membuat versi baru dan versi lama menjadi noncurrent version. Jika objek dihapus dengan delete biasa, S3 membuat delete marker, sehingga objek tampak hilang tetapi versi sebelumnya masih dapat dipulihkan. Garis waktu ini sudah kamu lihat di Gambar 2.

Versioning berguna untuk pemulihan dari kesalahan manusia, bug aplikasi, overwrite tidak sengaja, dan sebagai prasyarat replikasi. Setelah versioning diaktifkan pada bucket, kamu bisa suspend, tetapi tidak benar-benar mengembalikan bucket ke kondisi belum pernah versioning. Untuk Cloud Practitioner, cukup pahami nilai proteksinya dan dampak biaya, karena versi lama juga menyimpan data dan ikut ditagih.

Replication menyalin objek dari source bucket ke destination bucket. S3 Replication punya dua bentuk live replication utama, Cross-Region Replication untuk Region berbeda dan Same-Region Replication untuk Region sama. Ada juga S3 Batch Replication untuk objek yang sudah ada.

Kunci optimasi biaya S3.

Storage class seperti pilihan layanan pengiriman, ada yang cepat dan selalu siap, ada yang murah untuk barang yang jarang diambil, ada yang arsip sangat murah tetapi butuh proses ambil.

S3 menyediakan delapan storage class aktif untuk pola akses berbeda. Jangan menghafal harga per GB, karena harga berubah menurut Region dan komponen biaya. Untuk ujian, pahami kapan memilih kelas mana dan dua pengetahuan kunci di tiap kelas, yaitu seberapa cepat data bisa diambil dan apakah ada biaya retrieval.

Cara memutuskan storage class

Ada dua pertanyaan yang nyaris selalu cukup untuk menjawab soal CLF-C02. Pertama, seberapa sering data dibaca? Sering berarti Standard, jarang tetapi harus cepat berarti Standard-IA atau Glacier Instant Retrieval, sangat jarang dan boleh lambat berarti Glacier Flexible Retrieval atau Deep Archive. Kedua, berapa toleransi waktu ambil data? Butuh milidetik mengarah ke Standard, IA, atau Glacier Instant Retrieval, sedangkan boleh menunggu menit sampai jam mengarah ke Glacier Flexible atau Deep Archive.

S3 Lifecycle membantu memindahkan objek ke storage class lain (transition) atau menghapus objek (expiration) setelah umur tertentu, secara otomatis. Contohnya, log aplikasi disimpan di Standard selama beberapa minggu, dipindah ke Standard-IA atau Glacier, lalu dihapus setelah masa retensi berakhir, semua tanpa intervensi manual.

Menurut halaman pricing S3, biaya S3 tidak hanya storage. Ada komponen request (PUT, COPY, POST, LIST lebih mahal dari GET, HEAD), retrieval, data transfer keluar ke internet, management, dan replication. Sebagai catatan, request DELETE dan CANCEL tidak dikenai biaya, dan encryption default SSE-S3 tidak menambah biaya. Jadi jawaban hemat biaya bukan sekadar memilih kelas paling murah, tetapi memilih kelas yang cocok dengan pola akses.

Kelas performa tinggi untuk workload khusus.

S3 Express One Zone seperti loker khusus tepat di sebelah meja kerja, aksesnya sangat cepat, tetapi lokasinya lebih spesifik daripada gudang multi-AZ umum.

S3 Express One Zone adalah storage class S3 berperforma tinggi untuk aplikasi yang sangat sensitif terhadap latency. AWS menggambarkannya punya latency single-digit milidetik, akses data sampai 10x lebih cepat dibanding S3 Standard, dan biaya request 50% lebih rendah dari S3 Standard. Sebagai imbalannya, data disimpan di satu Availability Zone dan menggunakan konsep directory bucket.

Gunakan cara berpikir ini. Jika data harus sering dibaca atau ditulis dengan latency sangat rendah dan aplikasi berjalan dekat dengan data di AZ yang sama, S3 Express One Zone bisa relevan. Jika yang dibutuhkan adalah ketahanan multi-AZ untuk object storage umum, S3 Standard lebih mudah dipahami dan lebih umum untuk CLF-C02.

Keamanan S3 bukan satu tombol, tetapi beberapa kontrol yang saling melengkapi.

Jika bucket adalah gudang, encryption adalah gembok isi paket, Access Analyzer adalah petugas audit pintu, dan logging adalah buku tamu.

Sejak 5 Januari 2023, semua objek baru di S3 otomatis memiliki default server-side encryption SSE-S3 (AES-256), tanpa biaya tambahan, dan tidak bisa dinonaktifkan untuk upload baru. Untuk kontrol kunci lebih besar, gunakan SSE-KMS dengan AWS Key Management Service. Untuk kebutuhan regulasi lebih ketat, ada DSSE-KMS (dual-layer). Ada juga SSE-C di mana kunci disediakan pelanggan, tetapi sejak April 2026 SSE-C dinonaktifkan secara default untuk bucket general purpose baru dan harus diaktifkan manual bila dibutuhkan.

IAM Access Analyzer for S3 membantu meninjau bucket general purpose yang memberikan akses ke internet publik atau account AWS lain. Ini berguna untuk menemukan bucket yang tidak sengaja dibagikan terlalu luas.

Selain enkripsi dan analisis akses, S3 juga mendukung Object Lock dengan model WORM (Write Once Read Many) untuk mencegah objek dihapus atau ditimpa selama periode tertentu. Object Lock punya dua retention mode, Compliance (tidak bisa dihapus siapa pun, bahkan root account, sampai masa retensi berakhir) dan Governance (bisa di-override oleh user dengan permission khusus). Ada juga legal hold yang menahan objek tanpa tanggal kedaluwarsa sampai dilepas manual. Fitur ini penting untuk kepatuhan dan perlindungan dari ransomware.

Untuk audit, gunakan AWS CloudTrail untuk aktivitas API, S3 server access logging bila perlu log request tingkat bucket, Amazon CloudWatch untuk alarm, Amazon Macie untuk menemukan data sensitif di S3, dan Trusted Advisor untuk pemeriksaan umum terkait keamanan dan biaya. Tidak semua ini harus dikonfigurasi di modul pemula, tetapi nama layanan dan tujuannya penting untuk ujian.

Saat internet bukan jalur terbaik untuk migrasi data besar.

Snow Family seperti truk pengiriman data terenkripsi, bukan mengirim semuanya lewat jalan internet yang macet, AWS mengirim perangkat fisik ke lokasimu.

AWS Snow Family membantu memindahkan data dalam skala besar ke dan dari AWS, atau menjalankan storage dan compute AWS secara lokal di tempat yang koneksi internetnya terbatas. Untuk CLF-C02, hubungan utamanya dengan S3 adalah migrasi data offline ke S3 dan edge computing.

Snow Family bukan layanan yang dipilih untuk upload file kecil harian. Ia relevan saat ukuran data sangat besar, koneksi lambat, biaya transfer jaringan tidak efisien, lokasi terpencil, atau ada kebutuhan memproses data di edge sebelum dikirim ke AWS.

Tentang pricing, hindari menghafal angka. Pricing Snowball bergantung pada perangkat, durasi penggunaan, lokasi, pengiriman, transfer data, dan layanan tambahan. Untuk ujian, pahami pola biayanya, bukan angka spesifik.

Jembatan hybrid antara on-premises dan AWS storage.

Storage Gateway seperti pintu belakang gudang AWS yang dipasang di kantor lama, aplikasi lokal tetap merasa berbicara ke file share, tetapi datanya mengalir ke AWS.

AWS Storage Gateway adalah layanan hybrid cloud storage. Dalam konteks S3, yang paling relevan adalah Amazon S3 File Gateway. Dokumentasi S3 File Gateway menjelaskan bahwa gateway ini menyederhanakan penyimpanan file ke Amazon S3, mendukung protokol file standar, dan menyediakan cache lokal untuk akses latency rendah.

Gunakan S3 File Gateway saat aplikasi on-premises sudah terbiasa memakai NFS atau SMB, tetapi perusahaan ingin menyimpan data sebagai objek di S3. Aplikasi lama tidak harus langsung diubah menjadi aplikasi cloud-native berbasis S3 API.

Peta cepat untuk CLF-C02.

S3 adalah layanan storage paling penting di level Cloud Practitioner karena menggabungkan konsep cloud, keamanan, layanan inti, dan optimasi biaya.

Pemetaan ke domain CLF-C02

Jebakan soal yang sering muncul

• Soal menyebut file statis dan traffic global, pikirkan S3 plus CloudFront, bukan EC2 hanya untuk menyajikan HTML.
• Soal menyebut bucket tidak sengaja publik, jawab S3 Block Public Access atau IAM Access Analyzer sesuai konteks.
• Soal menyebut data jarang diakses tetapi harus cepat tersedia, jangan langsung pilih Deep Archive, pikirkan Standard-IA atau Glacier Instant Retrieval.
• Soal menyebut pola akses tidak diketahui, pertimbangkan S3 Intelligent-Tiering.
• Soal menyebut pemulihan dari object overwrite, jawab S3 Versioning.
• Soal menyebut replikasi harus mencakup objek lama, ingat live replication hanya objek baru, butuh Batch Replication.
• Soal menyebut salinan lintas Region untuk compliance atau disaster recovery, jawab Cross-Region Replication.
• Soal menyebut dataset sangat besar dan koneksi internet terbatas, jawab AWS Snowball Edge.
• Soal menyebut aplikasi on-premises butuh NFS atau SMB tetapi targetnya S3, jawab S3 File Gateway.

Sumber resmi yang direkomendasikan

• AWS Certified Cloud Practitioner CLF-C02 Exam Guide
• Amazon S3 User Guide
• Security best practices for Amazon S3
• Amazon S3 storage classes
• Amazon S3 Pricing
• AWS Snow Family devices
• Amazon S3 File Gateway