1
votes

Pourquoi le contrôle de version est-il nécessaire pour activer la suppression MFA sur S3?

Je veux dire que vous pouvez avoir des capacités de suppression MFA sans contrôle de version. Alors pourquoi cette contrainte?


0 commentaires

3 Réponses :



0
votes

Vous pouvez utiliser la gestion des versions pour conserver plusieurs versions d'un objet dans un même compartiment.

Fondamentalement, l'utilisation de compartiments S3 protégés par MFA activera une couche de protection supplémentaire pour garantir que les objets S3 ne peuvent pas être supprimés accidentellement ou intentionnellement par les utilisateurs AWS qui ont accès aux compartiments.


2 commentaires

Je comprends ça. Mais vous pouvez faire supprimer MFA sans contrôle de version. Alors pourquoi est-ce une nécessité ?


Pour éviter les suppressions accidentelles



1
votes

La suppression MFA vise principalement à empêcher la perte de données accidentelle due à la suppression ou à l'écrasement.

MFA Delete nécessite un bucket versionné, car si un bucket n'est pas versionné, vous pouvez "supprimer" définitivement tout objet (c'est-à-dire que vous pouvez effacer son contenu) simplement en écrasant l'objet, ce qui se fait en créant un nouveau objet avec la même clé - donc exiger MFA pour les suppressions dans ce cas ne servirait à rien car il serait trivial de remplacer ou de contourner, que ce soit accidentellement ou intentionnellement.

Avec la suppression MFA active (et le contrôle des versions actif, si nécessaire), vous pouvez toujours "écraser" un objet en créant un nouvel objet avec la même clé, mais ce n'est pas vraiment un écrasement. Aucune donnée n'est perdue, car la version actuelle précédente de l'objet devient simplement une version précédente de l'objet. Son contenu est conservé dans le bucket et la modification "écraser" peut être annulée en supprimant la version nouvellement créée (avec MFA, bien sûr), ce qui rétablit automatiquement la version précédente la plus récente de l'objet pour qu'elle devienne la version actuelle de l'objet.

Mais le contrôle de version peut être suspendu sur un bucket, ce qui nous ramènerait au même problème, et c'est pourquoi MFA Delete nécessite également l'utilisation de MFA si vous essayez de suspendre le contrôle de version sur le bucket.

En fonction de ce que vous essayez d'accomplir, exiger l'authentification MFA pour tous les appels d'API peut être plus appropriée que la suppression MFA:

< gagnantRemarque

La suppression MFA et l'accès aux API protégés par MFA sont des fonctionnalités destinées à fournir une protection pour différents scénarios. Vous configurez la suppression MFA sur un compartiment pour vous assurer que les données de votre compartiment ne peuvent pas être supprimées accidentellement. L'accès API protégé par MFA est utilisé pour appliquer un autre facteur d'authentification (code MFA) lors de l'accès aux ressources Amazon S3 sensibles. Vous pouvez exiger que toutes les opérations sur ces ressources Amazon S3 soient effectuées avec des informations d'identification temporaires créées à l'aide de MFA.

https://docs.aws.amazon.com /AmazonS3/latest/dev/Versioning.html#MultiFactorAuthenticationDelete


0 commentaires