Konfigurieren von MFA Delete - Amazon Simple Storage Service
So aktivieren Sie das Löschen der S3-Versionsverwaltung und von MFA

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren von MFA Delete

Wenn Sie in Amazon-S3-Buckets mit S3-Versioning arbeiten, können Sie optional eine weitere Sicherheitsebene hinzufügen, indem Sie einen Bucket konfigurieren, um MFA (multi-factor authentication) delete zu aktivieren. In diesem Fall muss der Bucket-Eigentümer zwei Authentifizierungsformen in jede Anforderung aufnehmen, um eine Version zu löschen oder den Versioning-Status des Buckets zu ändern.

Die MFA-Löschfunktion erfordert eine zusätzliche Authentifizierung für die folgenden Vorgänge:

  • Ändern des Versioning-Status Ihres Buckets

  • Dauerhaftes Löschen einer Objektversion

MFA Delete fordert zwei Authentifizierungsformen in Kombination:

  • Ihre Sicherheitsanmeldeinformationen

  • Die Verkettung einer gültigen Seriennummer, eines Leerzeichens und des sechsstelligen Codes, der auf einem zugelassenen Authentifizierungsgerät angezeigt wird

MFA Delete bietet damit zusätzliche Sicherheit, wenn beispielsweise Ihre Sicherheitsanmeldeinformationen nicht mehr vertrauenswürdig sind. MFA Delete kann dazu beitragen, versehentliche Bucket-Löschungen zu verhindern, indem der Benutzer, der die Löschaktion einleitet, verpflichtet wird, den physischen Besitz eines MFA-Geräts mit einem MFA-Code nachzuweisen und der Löschaktion eine zusätzliche Sicherheitsschicht hinzuzufügen.

Um Buckets zu identifizieren, für die MFA Delete aktiviert ist, können Sie Metriken von Amazon S3 Storage Lens verwenden. S3 Storage Lens ist eine Cloud-Speicheranalysefunktion, mit der Sie unternehmensweite Einblicke in die Nutzung und Aktivität von Objektspeichern erhalten können. Weitere Informationen finden Sie unter Bewertung Ihrer Speicheraktivität und -nutzung mit S3 Storage Lens. Eine vollständige Liste der Metriken finden Sie im Glossar der S3-Storage-Lens-Metriken.

Der Bucket-Besitzer, derjenige AWS-Konto , der den Bucket erstellt hat (Root-Konto), und alle autorisierten Benutzer können die Versionierung aktivieren. Allerdings kann nur der Bucket-Eigentümer (Root-Konto) MFA Delete aktivieren. Weitere Informationen finden Sie unter Securing Access to AWS Using MFA im AWS Security Blog.

Anmerkung

Um MFA Delete mit Versioning zu verwenden, aktivieren Sie MFA Delete. Sie können jedoch nicht MFA Delete mit der AWS Management Console aktivieren. Sie müssen die AWS Command Line Interface (AWS CLI) oder die API verwenden.

Beispiele für die Verwendung von MFA Delete mit Versioning finden Sie im Abschnitt "Beispiele" im Thema Aktivieren des Versioning für Buckets.

Sie können MFA Löschen nicht mit Lebenszykluskonfigurationen verwenden. Weitere Informationen zu Lebenszykluskonfigurationen und deren Interaktion mit anderen Konfigurationen finden Sie unter Wie S3-Lebenszyklus mit anderen Bucket-Konfigurationen interagiert..

Für das Aktivieren oder Deaktivieren von MFA Delete verwenden Sie dieselbe API, die Sie für die Konfiguration des Versionings für einen Bucket verwenden. Amazon S3 speichert die MFA-Delete-Konfiguration in derselben Versioning-Subressource, in der auch der Versioning-Status des Buckets gespeichert ist.

<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> 
  <Status>VersioningState</Status>
  <MfaDelete>MfaDeleteState</MfaDelete>  
</VersioningConfiguration>

Um MFA Delete zu nutzen, verwenden Sie ein Hardwaregerät oder ein virtuelles MFA-Gerät, um einen Authentifizierungscode zu generieren. Das folgende Beispiel zeigt einen generierten Authentifizierungscode, angezeigt auf einem Hardwaregerät.

Ein Beispiel eines generierten Authentifizierungscodes, der auf einem Hardwaregerät angezeigt wird.

MFA Delete und ein durch MFA geschützter API-Zugriff sind Funktionen, die Schutz in bestimmten Situationen bieten sollen. Sie konfigurieren MFA Delete für einen Bucket, um sicherzustellen, dass die Daten in Ihrem Bucket nicht versehentlich gelöscht werden können. Der durch MFA geschützte API-Zugriff wird verwendet, um einen zusätzlichen Authentifizierungsfaktor (MFA-Code) einzuführen, wenn Sie auf sensible Amazon-S3-Ressourcen zugreifen. Sie können für alle Vorgänge für Amazon-S3-Ressourcen fordern, dass sie mit temporären Anmeldeinformationen ausgeführt werden, die mit MFA erstellt wurden. Ein Beispiel finden Sie unter Verlangen von MFA.

Weitere Informationen zum Kauf und zur Aktivierung eines Authentifizierungsgeräts finden Sie unter Multi-Faktor-Authentifizierung.

So aktivieren Sie das Löschen der S3-Versionsverwaltung und von MFA

Die Seriennummer ist die Nummer, die das MFA-Gerät eindeutig identifiziert. Bei physischen MFA-Geräten ist dies die eindeutige Seriennummer, die im Lieferumfang des Geräts enthalten ist. Bei virtuellen MFA-Geräten ist die Seriennummer der Geräte-ARN.

Das folgende Beispiel ermöglicht das Löschen der S3-Versionsverwaltung und Multi-Faktor Authentifizierung (MFA) für einen Bucket.


aws s3api put-bucket-versioning --bucket amzn-s3-demo-bucket1 --versioning-configuration Status=Enabled,MFADelete=Enabled --mfa "SERIAL 123456"

Weitere Informationen zur Angabe von MFA Delete mithilfe der Amazon S3 S3-REST-API finden Sie unter PutBucketVersioningAmazon Simple Storage Service API-Referenz.