Para habilitar el control de versiones de S3 y configurar la eliminación de MFA

Configurar la eliminación de MFA

Cuando se trabaja con S3 Versioning en buckets de Amazon S3, puede agregar de forma opcional otra capa de seguridad al configurar un bucket para habilitar la eliminación con MFA (autenticación multifactor). Si lo hace, el propietario del bucket debe incluir dos formas de autenticación en cualquier solicitud para eliminar una versión o cambiar el estado de control de versiones del bucket.

La eliminación de MFA precisa una autenticación adicional para cualquiera de las siguientes operaciones:

Cambiar el estado de control de versiones del bucket
Eliminar de forma permanente la versión de un objeto

La eliminación MFA requiere dos formas combinadas de autenticación:

Sus credenciales de seguridad
La concatenación de un número de serie válido, un espacio y el código de seis dígitos que se muestra en un dispositivo de autenticación autorizado

La eliminación de MFA refuerza la seguridad en caso de que, por ejemplo, sus credenciales de seguridad estén en riesgo. La eliminación de MFA puede ayudar a prevenir las eliminaciones accidentales de buckets ya que requiere que el usuario que inicia la acción de eliminación pruebe la posesión física de un dispositivo MFA con un código MFA y agregue una capa adicional de fricción y seguridad a la acción de eliminación.

Para identificar buckets que tienen habilitada la eliminación de MFA, puede utilizar las métricas de Lente de almacenamiento de S3. Lente de almacenamiento de S3 es una función de análisis de almacenamiento en la nube que puede utilizar para obtener visibilidad en toda la organización sobre el uso y la actividad del almacenamiento de objetos. Para obtener más información, consulte Evaluación de la actividad y el uso de almacenamiento con S3 Storage Lens. Para obtener una lista completa de las métricas, consulte el Glosario de métricas de Lente de almacenamiento de S3.

El propietario del bucket, la Cuenta de AWS que creó el bucket (cuenta raíz) y todos los usuarios autorizados pueden habilitar el control de versiones. Sin embargo, solo el propietario del bucket (cuenta raíz) puede habilitar la eliminación de MFA. Para obtener más información, consulte Protección del acceso a AWS utilizando MFA en el blog de seguridad de AWS.

nota

Para utilizar la eliminación con MFA con el control de versiones, habilite MFA Delete. Sin embargo, no puede habilitar MFA Delete mediante la AWS Management Console. Para ello debe utilizar AWS Command Line Interface (AWS CLI) o la API.

Para obtener ejemplos de cómo utilizar la eliminación con MFA con el control de versiones, consulte la sección de ejemplos en el tema Habilitar el control de versiones en buckets.

No se puede utilizar la eliminación de MFA con configuraciones del ciclo de vida. Para obtener más información sobre las configuraciones del ciclo de vida y cómo interactúan con otras configuraciones, consulte Configuraciones del ciclo de vida y otras configuraciones del bucket.

Para habilitar o deshabilitar la eliminación de MFA, utilice la misma API que utiliza para configurar el control de versiones en un bucket. Amazon S3 almacena la configuración de la eliminación de MFA en el mismo subrecurso de control de versiones que almacena el estado del control de versiones del bucket.


<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> 
  <Status>VersioningState</Status>
  <MfaDelete>MfaDeleteState</MfaDelete>  
</VersioningConfiguration>

Para usar la eliminación de MFA, puede usar hardware o un dispositivo virtual de MFA para generar un código de autenticación. En el siguiente ejemplo se muestra un código de autenticación generado en un dispositivo de hardware.

La eliminación de MFA y el acceso a la API protegido con MFA son características cuyo objetivo es proporcionar protección en distintos escenarios. Puede configurar la eliminación de MFA en un bucket para garantizar que los datos en el bucket no se puedan eliminar por accidente. El acceso a la API protegido por MFA se usa para aplicar otro factor de autenticación (código de MFA) al obtener acceso a recursos de Amazon S3 confidenciales. Se puede requerir que todas las operaciones relacionadas con estos recursos de Amazon S3 se realicen utilizando credenciales temporales creadas con MFA. Para ver un ejemplo, consulte Exigir MFA.

Para obtener más información acerca de cómo comprar y activar un dispositivo de autenticación, consulte Multi-factor authentication.

Para habilitar el control de versiones de S3 y configurar la eliminación de MFA

En el siguiente ejemplo se habilita el control de versiones de S3 y la eliminación de autenticación multifactor (MFA) en un bucket.



aws s3api put-bucket-versioning --bucket DOC-EXAMPLE-BUCKET1 --versioning-configuration Status=Enabled,MFADelete=Enabled --mfa "SERIAL 123456"

Para obtener más información sobre la especificación de la eliminación de MFA mediante la API de REST de Amazon S3, consulte la referencia de la API PutBucketVersioning de Amazon Simple Storage Service.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Habilitar el control de versiones en buckets

Trabajar con objetos habilitados para el control de versiones