Configuration de la fonction Supprimer MFA - Amazon Simple Storage Service
Pour activer la gestion des versions S3 et configurer la fonction Supprimer MFA

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de la fonction Supprimer MFA

Lorsque vous travaillez avec la gestion des versions S3 dans des compartiments Simple Storage Service (Amazon S3), vous pouvez ajouter une couche de sécurité en activant la fonction MFA delete (Suppression de l'authentification multifacteur). Quand vous procédez ainsi, le propriétaire du compartiment doit inclure deux formes d'authentification dans toute demande pour supprimer une version ou modifier l'état de la gestion des versions du compartiment.

La fonction Supprimer MFA exige une authentification supplémentaire pour les opérations suivantes :

  • Changer l'état de la gestion des versions de votre compartiment

  • Supprimer définitivement une version d'objet

La fonction Supprimer MFA exige deux formes d'authentification appliquées ensemble :

  • Les informations d'identification de sécurité

  • L'enchaînement d'un numéro de série valide, d'un espace et du code à six chiffres affiché sur un appareil d'authentification approuvé

La fonction Supprimer MFA fournit donc une sécurité supplémentaire, par exemple, en cas de mise en danger de vos informations d'identification de sécurité. La fonction Supprimer MFA peut aider à prévenir les suppressions accidentelles de compartiments en obligeant l'utilisateur qui lance l'action de suppression à prouver la possession physique d'un appareil MFA avec un code MFA et en ajoutant une couche de friction et de sécurité supplémentaire à l'action de suppression.

Pour identifier les compartiments pour lesquels la suppression MFA est activée, vous pouvez utiliser les métriques Amazon S3 Storage Lens. S3 Storage Lens est une fonction d'analyse du stockage dans le cloud que vous pouvez utiliser pour obtenir une visibilité à l'échelle de l'organisation sur l'utilisation et l'activité du stockage d'objets. Pour plus d’informations, consultez Évaluer l’activité et l’utilisation de votre stockage avec S3 Storage Lens. Pour obtenir la liste complète des métriques, consultez le Glossaire des métriques S3 Storage Lens.

Le propriétaire du bucket, celui Compte AWS qui a créé le bucket (compte root) et tous les utilisateurs autorisés peuvent activer le versionnement. Toutefois, seul le propriétaire du compartiment (compte racine) peut activer la fonction Supprimer MFA. Pour plus d'informations, consultez la section Sécurisation de l'accès à AWS l'utilisation de la MFA sur le blog de AWS sécurité.

Note

Pour utiliser la suppression MFA avec la gestion des versions, vous devez activer MFA Delete. Toutefois, vous ne pouvez pas activer MFA Delete à l'aide de la AWS Management Console. Vous devez utiliser le AWS Command Line Interface (AWS CLI) ou l'API.

Consultez la section Exemples dans la rubrique Activation de la gestion des versions sur les compartiments pour découvrir des cas d'utilisation de la suppression MFA avec la gestion des versions.

Vous ne pouvez pas utiliser la suppression MFA avec des configurations de cycle de vie. Pour en savoir plus sur les configurations de cycle de vie et sur leur interaction avec d'autres configurations, consultez Cycle de vie et autres configurations de compartiment.

Pour activer ou désactiver la suppression MFA, vous devez utiliser la même API que celle utilisée pour configurer la gestion des versions sur un compartiment. Simple Storage Service (Amazon S3) stocke la configuration de la fonction Supprimer MFA dans la même sous-ressource de gestion des versions que celle de l'état de la gestion des versions du compartiment.

<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> 
  <Status>VersioningState</Status>
  <MfaDelete>MfaDeleteState</MfaDelete>  
</VersioningConfiguration>

Pour utiliser la fonction Supprimer MFA, vous pouvez utiliser un appareil MFA matériel ou virtuel pour générer un code d'authentification. L'exemple suivant montre un code d'authentification généré et affiché sur un périphérique matériel.

Les fonctions Supprimer MFA et d'accès à l'API protégée par MFA sont conçues pour fournir une protection dans différents scénarios. Vous configurez la fonction Supprimer MFA sur un compartiment pour garantir que les données de votre compartiment ne puissent pas être supprimées par erreur. La fonction d'accès à l'API protégée par MFA est utilisée pour appliquer un autre facteur d'authentification (code MFA) lors de l'accès aux ressources Amazon S3 sensibles. Vous pouvez exiger que toute opération sur ces ressources Amazon S3 soit effectuée avec des informations d'identification temporaires créées grâce à la fonction MFA. Pour voir un exemple, consultez Exigence d'une MFA.

Pour en savoir plus sur l'achat et l'activation d'un appareil d'authentification, veuillez consulter la section Authentification multi-facteurs.

Pour activer la gestion des versions S3 et configurer la fonction Supprimer MFA

L'exemple suivant active la gestion des versions S3 et la fonction Supprimer l'authentification multifactorielle (MFA) sur un compartiment.


aws s3api put-bucket-versioning --bucket DOC-EXAMPLE-BUCKET1 --versioning-configuration Status=Enabled,MFADelete=Enabled --mfa "SERIAL 123456"

Pour plus d'informations sur la spécification de la suppression MFA à l'aide de l'API REST Amazon S3, consultez le manuel PutBucketVersioningAmazon Simple Storage Service API Reference.