Configurazione dell'eliminazione di MFA - Amazon Simple Storage Service

Configurazione dell'eliminazione di MFA

Quando si utilizza la funzione Controllo versioni S3 nei bucket Amazon S3, puoi aggiungere un altro livello di sicurezza configurando un bucket per abilitare l'eliminazione MFA (autenticazione a più fattori). In tal caso, il proprietario del bucket deve includere due tipi di autenticazione in qualsiasi richiesta per eliminare una versione o modificare lo stato della funzione Controllo delle versioni del bucket.

La cancellazione MFA richiede autenticazione aggiuntiva per le seguenti operazioni:

  • Modifica dello stato della funzione Controllo delle versioni del bucket

  • Eliminazione permanente della versione di un oggetto

La cancellazione MFA richiede due forme di autenticazione contemporaneamente:

  • Le credenziali di sicurezza

  • la sequenza di un numero di serie valido, uno spazio e il codice a sei cifre visualizzato sul dispositivo di autenticazione approvato.

La cancellazione MFA fornisce così una protezione ulteriore, ad esempio se le credenziali di sicurezza fossero compromesse. L'eliminazione di MFA può aiutare a prevenire le eliminazioni accidentali dei bucket richiedendo all'utente che avvia l'azione di eliminazione di dimostrare il possesso fisico di un dispositivo MFA con un codice MFA e aggiungendo un ulteriore livello di interazione e sicurezza all'azione di eliminazione.

Il proprietario del bucket, l'Account AWS che ha creato il bucket (account root) e tutti gli utenti IAM autorizzati possono abilitare il controllo delle versioni. Tuttavia, solo il proprietario del bucket (account root) può abilitare l'eliminazione di MFA. Per ulteriori informazioni, consulta il post Protezione dell'accesso ad AWS tramite MFA sul blog di AWS sulla sicurezza.

Nota

Per utilizzare l'eliminazione MFA con la funzione Controllo delle versioni, abilita MFA Delete. Tuttavia, non è possibile abilitare MFA Delete l'utilizzo la AWS Management Console. È necessario utilizzare la AWS Command Line Interface (AWS CLI) o l'API.

Per esempi sull'utilizzo dell'eliminazione MFA con il controllo delle versioni, consulta la sezione degli esempi nell'argomento Abilitazione della funzione Controllo delle versioni sui bucket.

Non puoi utilizzare l'eliminazione MFA con le configurazioni del ciclo di vita. Per ulteriori informazioni sulle configurazioni del ciclo di vita e sul modo in cui interagiscono con altre configurazioni, consulta Configurazioni del ciclo di vita e altre configurazioni del bucket.

Per abilitare o disabilitare la cancellazione MFA si ricorre alla stessa API utilizzata per configurare la funzione Controllo delle versioni di un bucket. Amazon S3 archivia la configurazione della cancellazione MFA nella stessa sottorisorsa della funzione Controllo delle versioni che contiene lo stato della funzione Controllo delle versioni del bucket.

<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Status>VersioningState</Status> <MfaDelete>MfaDeleteState</MfaDelete> </VersioningConfiguration>

Per usare la cancellazione MFA si può utilizzare un dispositivo MFA fisico o virtuale per generare un codice di autenticazione. L'esempio seguente mostra il codice di autenticazione generato visualizzato su un dispositivo hardware.

La cancellazione MFA e l'accesso all'API protetto con autenticazione MFA sono caratteristiche destinate a offrire protezione in vari scenari. La cancellazione MFA viene configurata su un bucket per far sì che i dati del bucket non possano essere eliminati accidentalmente. Si utilizza l'accesso all'API protetto con autenticazione MFA per forzare un altro fattore di autenticazione (codice MFA) durante l'accesso a risorse Amazon S3 sensibili. Puoi richiedere che qualsiasi operazione su tali risorse di Amazon S3 venga eseguita fornendo credenziali temporanee create utilizzando MFA. Per un esempio, consulta Aggiunta di una policy di bucket per la richiesta dell'autenticazione MFA.

Per ulteriori informazioni su come acquistare e attivare un dispositivo di autenticazione, consulta Autenticazione a più fattori.

Abilitazione del controllo delle versioni S3 e configurazione dell'eliminazione MFA

L'esempio seguente abilita la funzione Controllo delle versioni S3 e l'eliminazione dell'autenticazione a più fattori (MFA) su un bucket.

aws s3api put-bucket-versioning --bucket DOC-EXAMPLE-BUCKET1 --versioning-configuration Status=Enabled,MFADelete=Enabled --mfa "SERIAL 123456"

Per ulteriori informazioni sulla specifica dell'eliminazione di MFA tramite REST API Amazon S3, consulta PutBucketVersioning nella Documentazione di riferimento delle API di Amazon Simple Storage Service.