MFALöschen konfigurieren - Amazon Simple Storage Service
Um die S3-Versionierung zu aktivieren und zu konfigurierenMFA, löschen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

MFALöschen konfigurieren

Wenn Sie mit der S3-Versionierung in Amazon S3 S3-Buckets arbeiten, können Sie optional eine weitere Sicherheitsebene hinzufügen, indem Sie einen Bucket so konfigurieren, dass er das Löschen MFA(Multi-Faktor-Authentifizierung) aktiviert. In diesem Fall muss der Bucket-Eigentümer zwei Authentifizierungsformen in jede Anforderung aufnehmen, um eine Version zu löschen oder den Versioning-Status des Buckets zu ändern.

MFAdelete erfordert eine zusätzliche Authentifizierung für einen der folgenden Vorgänge:

  • Ändern des Versioning-Status Ihres Buckets

  • Dauerhaftes Löschen einer Objektversion

MFAdelete erfordert zwei Arten der Authentifizierung zusammen:

  • Ihre Sicherheitsanmeldeinformationen

  • Die Verkettung einer gültigen Seriennummer, eines Leerzeichens und des sechsstelligen Codes, der auf einem zugelassenen Authentifizierungsgerät angezeigt wird

MFAdelete bietet somit zusätzliche Sicherheit, falls beispielsweise Ihre Sicherheitsanmeldedaten gefährdet sind. MFAdelete kann dazu beitragen, das versehentliche Löschen von Buckets zu verhindern, indem der Benutzer, der die Löschaktion initiiert, den physischen Besitz eines MFA Geräts anhand eines MFA Codes nachweisen muss. Dadurch wird die Löschaktion noch reibungsloser und sicherer.

Um Buckets zu identifizieren, für die das MFA Löschen aktiviert ist, können Sie Amazon S3 Storage Lens-Metriken verwenden. S3 Storage Lens ist eine Cloud-Speicheranalysefunktion, mit der Sie unternehmensweite Einblicke in die Nutzung und Aktivität von Objektspeichern erhalten können. Weitere Informationen finden Sie unter Bewertung Ihrer Speicheraktivität und -nutzung mit S3 Storage Lens. Eine vollständige Liste der Metriken finden Sie im Glossar der S3-Storage-Lens-Metriken.

Der Bucket-Besitzer, derjenige AWS-Konto , der den Bucket erstellt hat (Root-Konto), und alle autorisierten Benutzer können die Versionierung aktivieren. Allerdings kann nur der Bucket-Besitzer (Root-Konto) das MFA Löschen aktivieren. Weitere Informationen finden Sie im AWS Sicherheitsblog unter Sichern des Zugriffs MFA auf die AWS Nutzung.

Anmerkung

Um MFA Löschen zusammen mit der Versionierung zu verwenden, aktivieren MFA Delete Sie. Sie können jedoch nicht MFA Delete mit der AWS Management Console aktivieren. Sie müssen das AWS Command Line Interface (AWS CLI) oder das API verwenden.

Beispiele für die Verwendung von MFA Delete zusammen mit der Versionierung finden Sie im Abschnitt mit den Beispielen des ThemasAktivieren des Versioning für Buckets.

Sie können MFA Delete nicht mit Lebenszykluskonfigurationen verwenden. Weitere Informationen zu Lebenszykluskonfigurationen und deren Interaktion mit anderen Konfigurationen finden Sie unter Wie S3 Lifecycle mit anderen Bucket-Konfigurationen interagiert.

Um das MFA Löschen zu aktivieren oder zu deaktivieren, verwenden Sie dasselbe VerfahrenAPI, mit dem Sie die Versionierung für einen Bucket konfigurieren. Amazon S3 speichert die MFA Löschkonfiguration in derselben Versionierungs-Subressource, die den Versionsstatus des Buckets speichert.

<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> 
  <Status>VersioningState</Status>
  <MfaDelete>MfaDeleteState</MfaDelete>  
</VersioningConfiguration>

Um MFA Delete zu verwenden, können Sie entweder ein Hardware- oder ein virtuelles MFA Gerät verwenden, um einen Authentifizierungscode zu generieren. Das folgende Beispiel zeigt einen generierten Authentifizierungscode, angezeigt auf einem Hardwaregerät.

Ein Beispiel für einen generierten Authentifizierungscode, der auf einem Hardwaregerät angezeigt wird.

MFALöschen und MFA geschützter API Zugriff sind Funktionen, die Schutz für verschiedene Szenarien bieten sollen. Sie konfigurieren das MFA Löschen für einen Bucket, um sicherzustellen, dass die Daten in Ihrem Bucket nicht versehentlich gelöscht werden können. MFA-geschützter API Zugriff wird verwendet, um einen anderen Authentifizierungsfaktor (MFACode) beim Zugriff auf sensible Amazon S3 S3-Ressourcen durchzusetzen. Sie können verlangen, dass alle Operationen mit diesen Amazon S3 S3-Ressourcen mit temporären Anmeldeinformationen ausgeführt werden, die mit erstellt wurdenMFA. Ein Beispiel finden Sie unter Erforderlich MFA.

Weitere Informationen zum Kauf und zur Aktivierung eines Authentifizierungsgeräts finden Sie unter Multi-Faktor-Authentifizierung.

Um die S3-Versionierung zu aktivieren und zu konfigurierenMFA, löschen

Die Seriennummer ist die Nummer, die das MFA Gerät eindeutig identifiziert. Bei physischen MFA Geräten ist dies die eindeutige Seriennummer, die im Lieferumfang des Geräts enthalten ist. Bei virtuellen MFA Geräten ist die Seriennummer das GerätARN.

Das folgende Beispiel aktiviert die S3-Versionierung und das Löschen mit Multi-Faktor-Authentifizierung (MFA) für einen Bucket.


aws s3api put-bucket-versioning --bucket amzn-s3-demo-bucket1 --versioning-configuration Status=Enabled,MFADelete=Enabled --mfa "SERIAL 123456"

Weitere Informationen zur Angabe von MFA Delete mithilfe von Amazon S3 REST API finden Sie unter PutBucketVersioningAmazon Simple Storage Service API Reference.