MFA Delete 구성
Amazon S3 버킷에서 S3 버전 관리를 사용하는 경우 선택적으로 MFA(멀티 팩터 인증) Delete를 사용 설정하도록 버킷을 구성하여 다른 보안 계층을 추가할 수 있습니다. 이렇게 하면 버킷 소유자가 버전을 삭제하거나 버킷의 버전 관리 상태를 변경하는 모든 요청에 두 가지 형식의 인증을 포함해야 합니다.
MFA Delete는 다음 작업에 대해 추가 인증을 요구합니다.
-
버킷의 버전 관리 상태 변경
-
객체 버전 영구 삭제
MFA Delete는 다음 두 가지 인증 유형을 모두 요구합니다.
-
보안 자격 증명
-
승인된 인증 디바이스에 표시된 유효한 일련 번호, 공백, 6자리 코드 연결
MFA Delete는 예를 들어 보안 자격 증명이 손상된 경우에 대비하여 보안을 강화합니다. MFA Delete는 삭제 작업을 시작하는 사용자에게 MFA 코드를 통해 MFA 디바이스의 물리적 소유를 증명할 것을 요구하고 삭제 작업에 추가 마찰 및 보안 계층을 추가합니다. 따라서 실수로 인한 버킷 삭제를 방지하는 데 도움이 될 수 있습니다.
MFA 삭제가 활성화된 버킷을 식별하려면 Amazon S3 스토리지 렌즈 지표를 사용하면 됩니다. S3 스토리지 렌즈는 조직 전반에서 객체 스토리지 사용 및 활동에 대한 가시성을 확보하는 데 사용할 수 있는 클라우드 스토리지 분석 기능입니다. 자세한 내용은 S3 스토리지 렌즈를 사용한 스토리지 활동 및 사용량 평가를 참조하십시오. 지표의 전체 목록은 S3 스토리지 렌즈 지표 용어집을 참조하십시오.
버킷 소유자, 버킷을 생성한 AWS 계정(루트 계정) 및 승인된 모든 사용자는 버전 관리를 사용할 수 있습니다. 그러나 MFA 삭제는 버킷 소유자(루트 계정)만 사용 설정할 수 있습니다. 자세한 내용은 AWS 보안 블로그에서 MFA를 사용하여 AWS에 대한 액세스 보안
참고
버전 관리에 MFA Delete를 사용하려면 MFA Delete
를 사용 설정합니다. 그러나 AWS Management Console을 사용하여 MFA Delete
를 사용할 수 없습니다. AWS Command Line Interface(AWS CLI) 또는 API를 사용해야 합니다.
버전 관리에서 MFA Delete를 사용하는 예는 주제 버킷에 버전 관리 사용 설정의 예제 섹션을 참조하세요.
수명 주기 구성과 함께 MFA 삭제를 사용할 수 없습니다. 수명 주기 구성 및 수명 주기 구성이 다른 구성과 상호 작용하는 방법에 대한 자세한 내용은 S3 수명 주기가 다른 버킷 구성과 상호 작용하는 방식 섹션을 참조하세요.
MFA Delete를 사용 설정 또는 사용 중지하려면 버킷에 대한 버전 관리를 구성하는 데 사용한 것과 동일한 API를 사용합니다. Amazon S3는 버킷의 버전 관리 상태를 저장하는 동일한 버전 관리 하위 리소스에 MFA Delete 구성을 저장합니다.
<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Status>
VersioningState
</Status> <MfaDelete>MfaDeleteState
</MfaDelete> </VersioningConfiguration>
MFA Delete를 사용하려면 하드웨어 또는 가상 MFA 디바이스 중에 하나를 사용하여 인증 코드를 생성할 수 있습니다. 다음은 생성된 인증 코드가 하드웨어 디바이스에 표시된 것을 보여 주는 예제입니다.
MFA Delete 및 MFA 보호 API 액세스는 서로 다른 시나리오에 대한 보호를 제공하기 위해 마련된 기능입니다. 버킷의 데이터가 실수로 삭제되는 것을 방지하려면 버킷에 MFA Delete를 구성합니다. MFA 보호 API 액세스는 민감한 Amazon S3 리소스에 액세스할 때 다른 인증 요소(MFA 코드)를 적용하는 데 사용됩니다. 이 Amazon S3 리소스에 대한 모든 작업은 MFA를 사용하여 생성한 임시 자격 증명으로 수행하도록 요구할 수 있습니다. 관련 예제는 MFA 필요 섹션을 참조하세요
인증 디바이스를 구입하고 활성화하는 방법에 대한 자세한 내용은 멀티 팩터 인증
S3 버전 관리를 활성화하고 MFA 삭제를 구성하려면
일련 번호는 MFA 디바이스를 고유하게 식별하는 번호입니다. 물리적 MFA 디바이스의 경우, 디바이스와 함께 제공되는 고유 일련 번호입니다. 가상 MFA 디바이스의 경우 일련 번호는 디바이스 ARN입니다.
다음 예에서는 버킷에서 S3 버전 관리 및 다중 인증(MFA) 삭제를 활성화합니다.
aws s3api put-bucket-versioning --bucket
amzn-s3-demo-bucket1
--versioning-configuration Status=Enabled,MFADelete=Enabled --mfa "SERIAL 123456
"
Amazon S3 REST API를 사용하여 MFA 삭제를 지정하는 방법에 대한 자세한 내용은 PutBucketVersioning Amazon Simple Storage Service API 참조에서 확인하세요.