启用 MFA S3 删除

启用 MFA S3 删除

我有 THALES TOTP 硬件令牌 (MFA),我想使用它作为额外的保护,防止意外删除 S3 对象(https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html

我知道如何通过 AWS CLI 执行此操作,并且只能由帐户的根用户启用它。但我不明白谁应该是令牌设备的所有者?它不能是根用户,因为将其分配给根用户会自动启用 AWS 控制台登录的令牌,而且最多有 8 个设备...

如果 MFA 未分配给任何用户,我会收到此错误: 调用 PutBucketVersioning 操作时发生错误(NotDeviceOwnerError):生成令牌 123456 的序列号为 XXXXXXXXX 的设备不属于经过身份验证的用户

我需要令牌的原因是,在使用 WORM S3 存储桶(即对象版本控制 + 对象锁定和保留模式)时,一些用户仍然可以删除文件,甚至它们并没有真正被删除,而是使用删除标记,这非常令人困惑,一些工具不知道如何处理版本控制,因此文件(对象)看起来已被删除。

我看不出还有其他方法可以解决这个问题。一方面,我希望用户拥有完整的 S3 权限,但有些存储桶必须是只读的……

我将非常感激您的任何建议。

彼得

相关内容