設定 MFA Delete - Amazon Simple Storage Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 MFA Delete

在 Amazon S3 儲存貯體中使用 S3 版本控制時,您可以選擇將儲存貯體設定為啟用 MFA (多重因素認證) Delete,來增加額外的安全性。當您這樣做時,儲存貯體擁有者必須在任一要求中包含兩種身分驗證形式,才能刪除版本或變更儲存貯體的版本控制狀態。

MFA Delete 會要求額外的身分驗證,才能進行下列任一操作:

  • 變更儲存貯體的版本控制狀態

  • 永久刪除物件版本

MFA Delete 要求同時使用兩種形式的身分驗證:

  • 安全憑證

  • 核准的身分驗證設備上顯示的有效序號、空格和六位代碼組合。

因此,MFA Delete 可提供額外的安全性,例如在安全憑證洩露時。在某個使用者執行刪除動作時,MFA Delete 會要求啟動刪除動作的使用者證明其擁有實體 MFA 裝置和 MFA 代碼,從而為刪除動作新增另一層阻力和安全性,協助防止意外刪除儲存貯體。

若要識別已啟用 MFA 刪除的儲存貯體,您可以使用 Amazon S3 Storage Lens 指標。S3 Storage Lens 是一種雲端儲存體分析功能,您可以用來了解整個組織使用物件儲存體的情況及其活動情形。如需詳細資訊,請參閱使用 S3 Storage Lens 評估儲存活動和用量。如需完整的指標清單,請參閱 S3 Storage Lens 指標詞彙表

值區擁有者、建立值區 (root 帳戶) 的擁有者,以及所有授權的使用者都可以啟用版本控制。 AWS 帳戶 但只有儲存貯體擁有者 (根帳戶) 才能啟用 MFA Delete。如需詳細資訊,請參閱 AWS 安全性部落格上的保護 AWS 使用 MFA 的存取安全。

注意

若要使用 MFA Delete 搭配額版本控制,請啟用 MFA Delete。但是,您無法使用 AWS Management Console啟用 MFA Delete。您必須使用 AWS Command Line Interface (AWS CLI) 或 API。

如需使用 MFA Delete 搭配版本控制的範例,請參閱 在儲存貯體上啟用版本控制 主題中的範例一節。

您無法搭配使用 MFA 刪除與生命週期組態。如需生命週期組態以及它們如何與其他組態互動的詳細資訊,請參閱 生命週期及其他儲存貯體組態

若要啟用或停用 MFA Delete,您可以使用用來設定儲存貯體版本控制的相同 API。Amazon S3 會在存放儲存貯體版本控制狀態的相同 versioning 子資源中存放 MFA Delete 組態。

<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Status>VersioningState</Status> <MfaDelete>MfaDeleteState</MfaDelete> </VersioningConfiguration>

若要使用 MFA Delete,您可以使用硬體或虛擬 MFA 裝置來產生身分驗證碼。下列範例顯示硬體裝置上所顯示的已產生身分驗證碼。

顯示在硬體裝置上產生的驗證碼範例。

MFA Delete 與 MFA 保護的 API 存取功能針對不同情境提供保護。您可以在儲存貯體上設定 MFA Delete,確保無法意外刪除儲存貯體中的資料。存取機密 Amazon S3 資源時,可以使用 MFA 保護的 API 存取來強制另一個身分驗證因素 (MFA 碼)。您可能需要透過使用 MFA 所建立的暫時性憑證,才能完成任何對這些 Amazon S3 資源的操作。如需範例,請參閱 需要 MFA

如需購買及啟用身分驗證裝置的詳細資訊,請參閱 Multi-Factor Authentication

啟用 S3 版本控制和設定 MFA Delete

下列範例會啟用儲存貯體上的 S3 版本控制和 多重要素驗證 (MFA) 刪除。

aws s3api put-bucket-versioning --bucket DOC-EXAMPLE-BUCKET1 --versioning-configuration Status=Enabled,MFADelete=Enabled --mfa "SERIAL 123456"

如需使用 Amazon S3 REST API 指定 MFA 刪除的詳細資訊,請參閱 PutBucketVersioningAmazon 簡單儲存服務 API 參考