Mengonfigurasi penghapusan MFA - Amazon Simple Storage Service
Untuk mengaktifkan Penentuan Versi S3 dan mengkonfigurasi penghapusan MFA

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengonfigurasi penghapusan MFA

Saat bekerja dengan Penentuan Versi S3 di bucket Amazon S3, Anda dapat secara opsional menambahkan lapisan keamanan lainnya dengan mengonfigurasi bucket untuk mengaktifkan Penghapusan MFA (autentikasi multi-faktor). Saat melakukannya, pemilik bucket harus menyertakan dua bentuk autentikasi dalam setiap permintaan untuk menghapus sebuah versi atau mengubah status Penentuan Versi bucket.

Penghapusan MFA memerlukan autentikasi tambahan untuk salah satu dari operasi berikut:

  • Mengubah status Penentuan Versi bucket Anda

  • Menghapus versi objek secara permanen

Penghapusan MFA memerlukan dua bentuk autentikasi secara bersamaan:

  • Kredensial keamanan Anda

  • Gabungan nomor seri yang valid, spasi, dan kode enam digit yang ditampilkan di perangkat autentikasi yang disetujui

Penghapusan MFA memberikan keamanan tambahan jika, misalnya, kredensial keamanan Anda disusupi. Penghapusan MFA dapat membantu mencegah penghapusan bucket yang tidak disengaja dengan mengharuskan pengguna yang memulai tindakan penghapusan untuk membuktikan kepemilikan fisik perangkat MFA dengan kode MFA dan menambahkan lapisan gesek dan keamanan ekstra ke tindakan penghapusan.

Untuk mengidentifikasi bucket dengan penghapusan MFA yang aktif, Anda dapat menggunakan metrik Lensa Penyimpanan Amazon S3. Lensa Penyimpanan S3 adalah fitur analisis penyimpanan cloud yang dapat Anda gunakan untuk mendapatkan visibilitas seluruh organisasi ke dalam penggunaan dan aktivitas penyimpanan objek. Untuk informasi selengkapnya, lihat Menilai aktivitas penyimpanan dan penggunaan Anda dengan Lensa Penyimpanan S3. Untuk daftar lengkap metrik, lihat Glosarium metrik Lensa Penyimpanan S3.

Pemilik bucket, Akun AWS yang membuat bucket (akun root), dan semua pengguna yang berwenang dapat mengaktifkan pembuatan versi. Namun, hanya pemilik bucket (akun root) yang dapat mengaktifkan penghapusan MFA. Untuk informasi selengkapnya, lihat Mengamankan Akses AWS Menggunakan MFA di Blog Keamanan AWS .

catatan

Untuk menggunakan MFA dengan Penentuan Versi, Anda mengaktifkan MFA Delete. Namun, Anda tidak dapat mengaktifkan MFA Delete menggunakan AWS Management Console. Anda harus menggunakan AWS Command Line Interface (AWS CLI) atau API.

Untuk contoh menggunakan penghapusan MFA dengan Penentuan Versi, lihat bagian contoh dalam topik Mengaktifkan Penentuan Versi pada bucket.

Anda tidak dapat menggunakan penghapusan MFA dengan konfigurasi siklus hidup. Untuk informasi selengkapnya tentang konfigurasi siklus hidup dan caranya berinteraksi dengan konfigurasi lain, lihat Bagaimana Siklus Hidup S3 berinteraksi dengan konfigurasi bucket lainnya.

Untuk mengaktifkan atau menonaktifkan penghapusan MFA, Anda menggunakan API yang sama yang Anda gunakan untuk mengonfigurasi Penentuan Versi pada bucket. Amazon S3 menyimpan konfigurasi penghapusan MFA dalam subsumber daya Penentuan Versi yang menyimpan status Penentuan Versi bucket.

<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> 
  <Status>VersioningState</Status>
  <MfaDelete>MfaDeleteState</MfaDelete>  
</VersioningConfiguration>

Untuk menggunakan penghapusan MFA, Anda dapat menggunakan perangkat keras atau perangkat MFA virtual untuk menghasilkan kode autentikasi. Contoh berikut menunjukkan kode autentikasi yang dihasilkan yang ditampilkan pada perangkat keras.

Contoh kode otentikasi yang dihasilkan ditampilkan pada perangkat keras.

Penghapusan MFA dan akses API yang dilindungi MFA adalah fitur yang dimaksudkan untuk memberikan perlindungan untuk skenario yang berbeda. Anda mengonfigurasi penghapusan MFA di bucket untuk membantu memastikan bahwa data di bucket Anda tidak dapat terhapus secara tidak sengaja. Akses API yang dilindungi MFA digunakan untuk memberlakukan faktor autentikasi lain (kode MFA) ketika mengakses sumber daya Amazon S3 yang sensitif. Anda dapat meminta operasi apa pun terhadap sumber daya Amazon S3 ini dilakukan dengan kredensial sementara yang dibuat menggunakan MFA. Sebagai contoh, lihat Membutuhkan MFA.

Untuk informasi selengkapnya tentang cara membeli dan mengaktifkan perangkat autentikasi, lihat Autentikasi multi-faktor.

Untuk mengaktifkan Penentuan Versi S3 dan mengkonfigurasi penghapusan MFA

Nomor seri adalah nomor yang secara unik mengidentifikasi perangkat MFA. Untuk perangkat MFA fisik, ini adalah nomor seri unik yang disediakan dengan perangkat. Untuk perangkat MFA virtual, nomor seri adalah perangkat ARN.

Contoh berikut mengaktifkan penghapusan Penentuan Versi S3 dan autentikasi multi-faktor (MFA) pada bucket.


aws s3api put-bucket-versioning --bucket amzn-s3-demo-bucket1 --versioning-configuration Status=Enabled,MFADelete=Enabled --mfa "SERIAL 123456"

Untuk informasi selengkapnya tentang menentukan penghapusan MFA menggunakan Amazon S3 REST API, lihat Referensi API Layanan Penyimpanan Sederhana PutBucketVersioningAmazon.