本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 MFA Delete
在 Amazon S3 儲存貯體中使用 S3 版本控制時,您可以選擇將儲存貯體設定為啟用 MFA (多重因素認證) Delete,來增加額外的安全性。當您這樣做時,儲存貯體擁有者必須在任一要求中包含兩種身分驗證形式,才能刪除版本或變更儲存貯體的版本控制狀態。
MFA Delete 會要求額外的身分驗證,才能進行下列任一操作:
-
變更儲存貯體的版本控制狀態
-
永久刪除物件版本
MFA Delete 要求同時使用兩種形式的身分驗證:
-
安全憑證
-
核准的身分驗證設備上顯示的有效序號、空格和六位代碼組合。
因此,MFA Delete 可提供額外的安全性,例如在安全憑證洩露時。在某個使用者執行刪除動作時,MFA Delete 會要求啟動刪除動作的使用者證明其擁有實體 MFA 裝置和 MFA 代碼,從而為刪除動作新增另一層阻力和安全性,協助防止意外刪除儲存貯體。
若要識別已啟用 MFA 刪除的儲存貯體,您可以使用 Amazon S3 Storage Lens 指標。S3 Storage Lens 是一種雲端儲存體分析功能,您可以用來了解整個組織使用物件儲存體的情況及其活動情形。如需詳細資訊,請參閱使用 S3 Storage Lens 評估儲存活動和用量。如需完整的指標清單,請參閱 S3 Storage Lens 指標詞彙表。
儲存貯體擁有者、建立儲存貯體 AWS 帳戶 的 (根帳戶),以及所有授權使用者可以啟用版本控制。但只有儲存貯體擁有者 (根帳戶) 才能啟用 MFA Delete。如需詳細資訊,請參閱 AWS 安全部落格上的安全存取 AWS 使用 MFA
注意
若要使用 MFA Delete 搭配額版本控制,請啟用 MFA Delete。但是,您無法使用 AWS Management Console啟用 MFA Delete。您必須使用 AWS Command Line Interface (AWS CLI) 或 API。
如需使用 MFA Delete 搭配版本控制的範例,請參閱 在儲存貯體上啟用版本控制 主題中的範例一節。
您無法搭配使用 MFA 刪除與生命週期組態。如需生命週期組態以及它們如何與其他組態互動的詳細資訊,請參閱 S3 生命週期如何與其他儲存貯體組態互動。
若要啟用或停用 MFA Delete,您可以使用用來設定儲存貯體版本控制的相同 API。Amazon S3 會在存放儲存貯體版本控制狀態的相同 versioning 子資源中存放 MFA Delete 組態。
<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Status>VersioningState</Status> <MfaDelete>MfaDeleteState</MfaDelete> </VersioningConfiguration>
若要使用 MFA Delete,您可以使用硬體或虛擬 MFA 裝置來產生身分驗證碼。下列範例顯示硬體裝置上所顯示的已產生身分驗證碼。
MFA Delete 與 MFA 保護的 API 存取功能針對不同情境提供保護。您可以在儲存貯體上設定 MFA Delete,確保無法意外刪除儲存貯體中的資料。存取機密 Amazon S3 資源時,可以使用 MFA 保護的 API 存取來強制另一個身分驗證因素 (MFA 碼)。您可能需要透過使用 MFA 所建立的暫時性憑證,才能完成任何對這些 Amazon S3 資源的操作。如需範例,請參閱 需要 MFA。
如需購買及啟用身分驗證裝置的詳細資訊,請參閱 Multi-Factor Authentication
啟用 S3 版本控制和設定 MFA Delete
序號是可唯一識別 MFA 裝置的號碼。對於實體 MFA 裝置,這是裝置隨附的唯一序號。對於虛擬 MFA 裝置,序號是裝置 ARN。
下列範例會啟用儲存貯體上的 S3 版本控制和 多重要素驗證 (MFA) 刪除。
aws s3api put-bucket-versioning --bucketamzn-s3-demo-bucket1--versioning-configuration Status=Enabled,MFADelete=Enabled --mfa "SERIAL 123456"
如需使用 Amazon S3 REST API 指定 MFA Delete 的詳細資訊,請參閱 PutBucketVersioning《Amazon Simple Storage Service API 參考》。
