Configurazione dell'eliminazione di MFA - Amazon Simple Storage Service
Abilitazione del controllo delle versioni S3 e configurazione dell'eliminazione MFA

Configurazione dell'eliminazione di MFA

Quando si utilizza la funzione Controllo delle versioni S3 nei bucket Amazon S3, puoi aggiungere un altro livello di sicurezza configurando un bucket per abilitare l'eliminazione MFA (autenticazione a più fattori). In tal caso, il proprietario del bucket deve includere due tipi di autenticazione in qualsiasi richiesta per eliminare una versione o modificare lo stato della funzione Controllo delle versioni del bucket.

La cancellazione MFA richiede autenticazione aggiuntiva per le seguenti operazioni:

  • Modifica dello stato della funzione Controllo delle versioni del bucket

  • Eliminazione permanente della versione di un oggetto

La cancellazione MFA richiede due forme di autenticazione contemporaneamente:

  • Le credenziali di sicurezza

  • la sequenza di un numero di serie valido, uno spazio e il codice a sei cifre visualizzato sul dispositivo di autenticazione approvato.

La cancellazione MFA fornisce così una protezione ulteriore, ad esempio se le credenziali di sicurezza fossero compromesse. L'eliminazione di MFA può aiutare a prevenire le eliminazioni accidentali dei bucket richiedendo all'utente che avvia l'azione di eliminazione di dimostrare il possesso fisico di un dispositivo MFA con un codice MFA e aggiungendo un ulteriore livello di interazione e sicurezza all'azione di eliminazione.

Per identificare i bucket con la funzionalità di eliminazione dell'autenticazione a più fattori (MFA) abilitata, puoi utilizzare i parametri di Amazon S3 Storage Lens. S3 Storage Lens è una funzionalità di analisi dell'archiviazione su cloud che puoi utilizzare per avere una panoramica completa a livello di organizzazione sull'utilizzo e sulle attività relative all'archiviazione di oggetti. Per ulteriori informazioni, consulta Valutazione dell'attività e dell'utilizzo dello storage con S3 Storage Lens. Per un elenco completo dei parametri, consulta Glossario dei parametri di S3 Storage.

Il proprietario del bucket, l'Account AWS che ha creato il bucket (account root) e tutti gli utenti autorizzati possono abilitare il controllo delle versioni. Tuttavia, solo il proprietario del bucket (account root) può abilitare l'eliminazione di MFA. Per ulteriori informazioni, consulta il post Protezione dell'accesso ad AWS tramite MFA sul blog di AWS sulla sicurezza.

Nota

Per utilizzare l'eliminazione MFA con la funzione Controllo delle versioni, abilita MFA Delete. Tuttavia, non è possibile abilitare MFA Delete l'utilizzo la AWS Management Console. È necessario utilizzare la AWS Command Line Interface (AWS CLI) o l'API.

Per esempi sull'utilizzo dell'eliminazione MFA con il controllo delle versioni, consulta la sezione degli esempi nell'argomento Abilitazione della funzione Controllo delle versioni sui bucket.

Non puoi utilizzare l'eliminazione MFA con le configurazioni del ciclo di vita. Per ulteriori informazioni sulle configurazioni del ciclo di vita e sul modo in cui interagiscono con altre configurazioni, consulta Come il ciclo di vita S3 interagisce con altre configurazioni del bucket.

Per abilitare o disabilitare la cancellazione MFA si ricorre alla stessa API utilizzata per configurare la funzione Controllo delle versioni di un bucket. Amazon S3 archivia la configurazione della cancellazione MFA nella stessa sottorisorsa della funzione Controllo delle versioni che contiene lo stato della funzione Controllo delle versioni del bucket.

<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> 
  <Status>VersioningState</Status>
  <MfaDelete>MfaDeleteState</MfaDelete>  
</VersioningConfiguration>

Per usare la cancellazione MFA si può utilizzare un dispositivo MFA fisico o virtuale per generare un codice di autenticazione. L'esempio seguente mostra il codice di autenticazione generato visualizzato su un dispositivo hardware.

Un esempio di codice di autenticazione generato visualizzato su un dispositivo hardware.

La cancellazione MFA e l'accesso all'API protetto con autenticazione MFA sono caratteristiche destinate a offrire protezione in vari scenari. La cancellazione MFA viene configurata su un bucket per far sì che i dati del bucket non possano essere eliminati accidentalmente. Si utilizza l'accesso all'API protetto con autenticazione MFA per forzare un altro fattore di autenticazione (codice MFA) durante l'accesso a risorse Amazon S3 sensibili. Puoi richiedere che qualsiasi operazione su tali risorse di Amazon S3 venga eseguita fornendo credenziali temporanee create utilizzando MFA. Per un esempio, consulta Richiesta di MFA.

Per ulteriori informazioni su come acquistare e attivare un dispositivo di autenticazione, consulta Autenticazione a più fattori.

Abilitazione del controllo delle versioni S3 e configurazione dell'eliminazione MFA

Il numero di serie è il numero che identifica in modo univoco il dispositivo MFA. Per i dispositivi MFA fisici, si tratta del numero di serie univoco fornito con il dispositivo. Per i dispositivi MFA virtuali, il numero di serie è l'ARN del dispositivo.

L'esempio seguente abilita la funzione Controllo delle versioni S3 e l'eliminazione dell'autenticazione a più fattori (MFA) su un bucket.


aws s3api put-bucket-versioning --bucket amzn-s3-demo-bucket1 --versioning-configuration Status=Enabled,MFADelete=Enabled --mfa "SERIAL 123456"

Per ulteriori informazioni sulla specifica dell'eliminazione di MFA tramite REST API Amazon S3, consulta PutBucketVersioning nella Documentazione di riferimento delle API di Amazon Simple Storage Service.