Configurando a exclusão de MFA - Amazon Simple Storage Service

Configurando a exclusão de MFA

Ao trabalhar com o Versionamento do S3 em buckets do Amazon S3, você pode, opcionalmente, adicionar outra camada de segurança configurando um bucket para habilitar a exclusão de MFA (autenticação multifator). Quando você faz isso, o proprietário do bucket precisa incluir dois formulários de autenticação em qualquer solicitação para excluir uma versão ou modificar o estado de versionamento do bucket.

A exclusão de MFA requer autenticação adicional para uma das seguintes operações:

  • Alterar o estado de versionamento de seu bucket

  • Excluir, permanentemente, uma versão de objeto

A exclusão de MFA exige duas formas de autenticação:

  • Suas credenciais de segurança

  • A concatenação de um número serial válido, um espaço e o código de seis dígitos exibidos em um dispositivo de autenticação aprovado

A exclusão de MFA oferece segurança adicional se, por exemplo, suas credenciais de segurança forem comprometidas. A exclusão de MFA pode ajudar a evitar exclusões acidentais de bucket exigindo que o usuário que inicia a ação de exclusão para provar a posse física de um dispositivo MFA com um código MFA e adicionando uma camada extra de atrito e segurança à ação de exclusão.

Para identificar buckets que têm exclusão de MFA habilitada, você pode usar as métricas da Lente de Armazenamento do Amazon S3. A Lente de Armazenamento do S3 é um recurso de análise de armazenamento em nuvem que você pode usar para obter visibilidade em toda a organização sobre o uso e a atividade do armazenamento de objetos. Para obter mais informações, consulte Avaliar a atividade e o uso do armazenamento com o S3 Storage Lens. Para obter uma lista completa de métricas, consulte o Glossário de métricas da Lente de Armazenamento do S3.

O proprietário do bucket, a Conta da AWS que criou o bucket (conta raiz) e todos os usuários autorizados podem habilitar o versionamento. No entanto, somente o proprietário do bucket (conta raiz) pode habilitar a exclusão de MFA. Para obter mais informações, consulte a publicação Proteção do acesso à AWS usando MFA no Blog de segurança da AWS.

nota

Para usar a exclusão de MFA com versionamento, habilite MFA Delete. No entanto, não é possível habilitar o MFA Delete usando o AWS Management Console. É necessário usar a AWS Command Line Interface (AWS CLI) ou API.

Para obter exemplos de como usar a exclusão de MFA com versionamento, consulte a seção de exemplos no tópico Habilitar o versionamento em buckets.

Não é possível usar a exclusão de MFA com configurações de ciclo de vida. Para obter mais informações sobre as configurações de ciclo de vida e como elas interagem com outras configurações, consulte Ciclo de vida e outras configurações de bucket.

Para ativar ou desativar a exclusão de MFA, use a mesma API usada para configurar o versionamento em um bucket. O Amazon S3 armazena a configuração de exclusão de MFA no mesmo sub-recurso de versionamento que armazena o status de versionamento do bucket.

<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Status>VersioningState</Status> <MfaDelete>MfaDeleteState</MfaDelete> </VersioningConfiguration>

Para usar a exclusão de MFA, você pode usar um dispositivo de hardware ou MFA virtual para gerar um código de autenticação. O exemplo a seguir mostra um código de autenticação gerado exibido em um dispositivo de hardware.

A exclusão de MFA e o acesso à API protegido por MFA são recursos que visam fornecer proteção para diferentes cenários. Você configura a exclusão de MFA em um bucket para ajudar a garantir que os dados em seu bucket não sejam excluídos acidentalmente. O acesso à API protegido por MFA é usado para impor outro fator de autenticação (código MFA) ao acessar recursos confidenciais do Amazon S3. Você pode exigir que qualquer operação nesses recursos do Amazon S3 seja feita com credenciais temporárias criadas usando a MFA. Para ver um exemplo, consulte Exigir MFA.

Para obter mais informações sobre como comprar e ativar um dispositivo de autenticação, consulte Autenticação multifator.

Como ativar o versionamento do S3 e configurar a exclusão de MFA

O exemplo a seguir ativa o versionamento do S3 e a exclusão de autenticação multifator (MFA) em um bucket.

aws s3api put-bucket-versioning --bucket DOC-EXAMPLE-BUCKET1 --versioning-configuration Status=Enabled,MFADelete=Enabled --mfa "SERIAL 123456"

Para obter mais informações sobre como especificar a exclusão de MFA usando a API REST do Amazon S3, consulte PutBucketVersioning na Referência de API do Amazon Simple Storage Service.