本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 MFA Delete
<a name="MultiFactorAuthenticationDelete"></a>

在 Amazon S3 儲存貯體中使用 S3 版本控制時，您可以選擇將儲存貯體設定為啟用 *MFA (多重因素認證) Delete*，來增加額外的安全性。當您這樣做時，儲存貯體擁有者必須在任一要求中包含兩種身分驗證形式，才能刪除版本或變更儲存貯體的版本控制狀態。

MFA Delete 會要求額外的身分驗證，才能進行下列任一操作：
+ 變更儲存貯體的版本控制狀態
+ 永久刪除物件版本

MFA Delete 要求同時使用兩種形式的身分驗證：
+ 安全憑證
+ 核准的身分驗證設備上顯示的有效序號、空格和六位代碼組合。

因此，MFA Delete 可提供額外的安全性，例如在安全憑證洩露時。在某個使用者執行刪除動作時，MFA Delete 會要求啟動刪除動作的使用者證明其擁有實體 MFA 裝置和 MFA 代碼，從而為刪除動作新增另一層阻力和安全性，協助防止意外刪除儲存貯體。

若要識別已啟用 MFA 刪除的儲存貯體，您可以使用 Amazon S3 Storage Lens 指標。S3 Storage Lens 是一種雲端儲存體分析功能，您可以用來了解整個組織使用物件儲存體的情況及其活動情形。如需詳細資訊，請參閱[使用 S3 Storage Lens 評估儲存活動和用量](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage_lens?icmpid=docs_s3_user_guide_MultiFactorAuthenticationDelete.html)。如需完整的指標清單，請參閱 [S3 Storage Lens 指標詞彙表](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage_lens_metrics_glossary.html?icmpid=docs_s3_user_guide_MultiFactorAuthenticationDelete.html)。

儲存貯體擁有者、建立儲存貯體 AWS 帳戶 的 （根帳戶），以及所有授權使用者可以啟用版本控制。但只有儲存貯體擁有者 (根帳戶) 才能啟用 MFA Delete。如需詳細資訊，請參閱 AWS 安全部落格上的[安全存取 AWS 使用 MFA](https://aws.amazon.com/blogs/security/securing-access-to-aws-using-mfa-part-3/)。

**注意**  
若要使用 MFA Delete 搭配額版本控制，請啟用 `MFA Delete`。但是，您無法使用 AWS 管理主控台啟用 `MFA Delete`。您必須使用 AWS Command Line Interface (AWS CLI) 或 API。  
如需使用 MFA Delete 搭配版本控制的範例，請參閱 [在儲存貯體上啟用版本控制](manage-versioning-examples.md) 主題中的範例一節。  
您無法搭配使用 MFA 刪除與生命週期組態。如需生命週期組態以及它們如何與其他組態互動的詳細資訊，請參閱 [S3 生命週期如何與其他儲存貯體組態互動](lifecycle-and-other-bucket-config.md)。

若要啟用或停用 MFA Delete，您可以使用用來設定儲存貯體版本控制的相同 API。Amazon S3 會在存放儲存貯體版本控制狀態的相同 *versioning* 子資源中存放 MFA Delete 組態。

```
<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> 
  <Status>VersioningState</Status>
  <MfaDelete>MfaDeleteState</MfaDelete>  
</VersioningConfiguration>
```

若要使用 MFA Delete，您可以使用硬體或虛擬 MFA 裝置來產生身分驗證碼。下列範例顯示硬體裝置上所顯示的已產生身分驗證碼。

![\[硬體裝置上所顯示之已產生身分驗證碼的範例。\]](http://docs.aws.amazon.com/zh_tw/AmazonS3/latest/userguide/images/MFADevice.png)


MFA Delete 與 MFA 保護的 API 存取功能針對不同情境提供保護。您可以在儲存貯體上設定 MFA Delete，確保無法意外刪除儲存貯體中的資料。存取機密 Amazon S3 資源時，可以使用 MFA 保護的 API 存取來強制另一個身分驗證因素 (MFA 碼)。您可能需要透過使用 MFA 所建立的暫時性憑證，才能完成任何對這些 Amazon S3 資源的操作。如需範例，請參閱 [需要 MFA](example-bucket-policies.md#example-bucket-policies-MFA)。

如需購買及啟用身分驗證裝置的詳細資訊，請參閱 [Multi-Factor Authentication](https://aws.amazon.com/iam/details/mfa/)。

## 啟用 S3 版本控制和設定 MFA Delete
<a name="enable-versioning-mfa-delete"></a>

### 使用 AWS CLI
<a name="enable-versioning-mfa-delete-cli"></a>

序號是可唯一識別 MFA 裝置的號碼。對於實體 MFA 裝置，這是裝置隨附的唯一序號。對於虛擬 MFA 裝置，序號是裝置 ARN。若要使用下列命令，請以您自己的資訊取代*使用者輸入預留位置*。

下列範例會啟用實體 MFA 裝置的儲存貯體上的 S3 版本控制和多重要素驗證 (MFA) 刪除。對於實體 MFA 裝置，在 `--mfa` 參數中傳遞 MFA 裝置序號、空格字元和身分驗證裝置上顯示值的串連。

```
aws s3api put-bucket-versioning --bucket amzn-s3-demo-bucket1 --versioning-configuration Status=Enabled,MFADelete=Enabled --mfa "SerialNumber 123456"
```

下列範例會啟用虛擬 MFA 裝置的儲存貯體上的 S3 版本控制和多重要素驗證 (MFA) 刪除。對於虛擬 MFA 裝置，在 `--mfa` 參數中傳遞 MFA 裝置 ARN 的串連、空格字元，以及身分驗證裝置上顯示的值。

```
aws s3api put-bucket-versioning --bucket amzn-s3-demo-bucket1 --versioning-configuration Status=Enabled,MFADelete=Enabled --mfa "arn:aws:iam::account-id:mfa/root-account-mfa-device 123789"
```

如需詳細資訊，請參閱 AWS rePost 文章[如何為 Amazon S3 儲存貯體開啟 MFA 刪除？](https://repost.aws/knowledge-center/s3-bucket-mfa-delete)。

### 使用 REST API
<a name="enable-versioning-mfa-delete-rest-api"></a>

如需使用 Amazon S3 REST API 指定 MFA Delete 的詳細資訊，請參閱 [PutBucketVersioning](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketVersioning.html)《Amazon Simple Storage Service API 參考》**。