growing hard days.

Amazon S3バケットでMFA Deleteを有効にする

2021/08/23 2021/08/23

バージョニングが有効なバケットでバージョン削除でMFA Deleteを有効にして、整合性を守ろうという機能です。

目次

設定をIAMユーザーで実行してみる

バケットにバージョニングとMFA Deleteを有効にできるのは、ルートユーザーだけとのことです。
AWS管理ポリシー AmazonS3FullAccessをアタッチしたユーザーで試してみました。

aws s3api put-bucket-versioning \
--bucket mfa-delete-test-yamashita \
--versioning-configuration Status=Enabled,MFADelete=Enabled \
--mfa "arn:aws:iam::123456789012:mfa/mfa-test-user 581922"

An error occurred (AccessDenied) when calling the PutBucketVersioning operation: This operation may only be performed by the bucket owner

1

2

3

4

5

6

7

aws s3api put-bucket-versioning \

--bucket mfa-delete-test-yamashita \

--versioning-configuration Status=Enabled,MFADelete=Enabled \

--mfa "arn:aws:iam::123456789012:mfa/mfa-test-user 581922"

An error occurred (AccessDenied) when calling the PutBucketVersioning operation: This operation may only be performed by the bucket owner

バケットのオーナーしかだめですよ。
というようなメッセージです。

ルートユーザーで実行する

おとなしくルートユーザーで実行しました。
いやですがアクセスキーIDとシークレットアクセスキーを発行しました。

そしてコマンドを実行しました。

aws s3api put-bucket-versioning \
--bucket mfa-delete-test-yamashita \
--versioning-configuration Status=Enabled,MFADelete=Enabled \
--mfa "arn:aws:iam::123456789012:mfa/root-account-mfa-device 678391"

1

2

3

4

5

aws s3api put-bucket-versioning \

--bucket mfa-delete-test-yamashita \

--versioning-configuration Status=Enabled,MFADelete=Enabled \

--mfa "arn:aws:iam::123456789012:mfa/root-account-mfa-device 678391"

特にレスポンスはありませんでしたが、設定できました。

バージョンを削除してみる

はい。
もちろんマネジメントコンソールからは削除できませんでした。

aws s3api delete-object \
--bucket mfa-delete-test-yamashita \
--key mfa-delete-1.png \
--version-id  H.zY2NUm0kQ0mIacJGFR5.K2EOHFE0q7

An error occurred (AccessDenied) when calling the DeleteObject operation: Mfa Authentication must be used for this request

1

2

3

4

5

6

7

aws s3api delete-object \

--bucket mfa-delete-test-yamashita \

--key mfa-delete-1.png \

--version-id H.zY2NUm0kQ0mIacJGFR5.K2EOHFE0q7

An error occurred (AccessDenied) when calling the DeleteObject operation: Mfa Authentication must be used for this request

CLIでMFAなしで実行するとMFAが必要というメッセージでした。

aws s3api delete-object \
--bucket mfa-delete-test-yamashita \
--key mfa-delete-1.png \
--version-id  H.zY2NUm0kQ0mIacJGFR5.K2EOHFE0q7 \
--mfa "arn:aws:iam::123456789012:mfa/root-account-mfa-device 678391"

{
    "VersionId": "H.zY2NUm0kQ0mIacJGFR5.K2EOHFE0q7"
}

1

2

3

4

5

6

7

8

9

10

aws s3api delete-object \

--bucket mfa-delete-test-yamashita \

--key mfa-delete-1.png \

--version-id H.zY2NUm0kQ0mIacJGFR5.K2EOHFE0q7 \

--mfa "arn:aws:iam::123456789012:mfa/root-account-mfa-device 678391"

{

"VersionId": "H.zY2NUm0kQ0mIacJGFR5.K2EOHFE0q7"

}

MFAありで実行したら削除が完了しました。

これ、削除もルートユーザーが実行しないといけないので、アクセスキーID、シークレットアクセスキーを持ち続けないといけないので辛いですね。
オブジェクトロックのほうがいいですね。

実際の運用では、削除メンテナンスするときだけアクセスキーを作成するか、普段無効化しておくかですかね。

最後までお読みいただきましてありがとうございました！

【PR】「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

【PR】「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第2版」という本を書きました。

【PR】「ポケットスタディ AWS認定デベロッパーアソシエイト」という本を書きました。

【PR】「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

【PR】「AWSではじめるLinux入門ガイド」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

Tweet

関連記事

: AWS GlueでAurora JDBC接続でS3へのジョブを実行

Aurora Serverless v1のMySQLタイプデータベースからS3へ …

: AWS CLIを使用したIAMロールの引き受けコマンドのメモ

よく忘れて調べるのでメモです。公式のこちらAWS CLI を使用して IAM …

: AWS Storage Gatewayボリュームゲートウェイを作成してWindowsから使用

ボリュームゲートウェイの作成 Storage Gateway作成メニューからボリ …

: RDS for MySQL のインスタンスタイプ変更

当ブログのデータベースは、RDS for MySQLです。個人利用ですし、障害 …

: RedmineをELB(ALB)でAutoScalingグループへ負荷分散

高可用なRedmineを作るためのELBの設定です。高可用なRedmine R …

: AWS Transfer Family S3向けのSFTP対応サーバー

S3バケットは作成済です。 IAMロールの作成 [crayon-650d2f82 …

: RDSスナップショットをS3にエクスポートする新機能を試そうかと思った

やったこと RDSスナップショットをS3にエクスポートできる、という新機能が追加 …

: API Gatewayで顧客レベルの使用量プランを設定する

API GatewayのAPIキーを使って使用量プランでのスロットリングも設定し …

: 「AWSではじめるLinux入門ガイド」を執筆しました

2020年4月30日に、「AWSではじめるLinux入門ガイド」という本を発行い …

: AWS Cost Anomaly Detectionでコストモニターを作成しました

[ご利用開始にあたって]を押下しました。このあと画面を説明してくれるツアーがあ …

PREV: AWSアカウントのルートユーザーのセキュリティ認証情報
NEXT: X-Ray SDK for Python でライブラリへのパッチ適用

NEW POST

: Mountpoint for Amazon S3を試しました

このブログでは、画像などの配信にS3を使用しています。 WordPressのプラ …

: 「四国クラウドお遍路 2023 – 四国の外のモノサシを知ってみよう-」に参加しました

2023/9/16に愛媛大学で開催された四国クラウドお遍路 2023 &#821 …

: Lambda関数をPython3.6から3.9に変更

CodeGuru ProfilerでLambda関数(Python 3.9)のパ …

: CodeGuru ProfilerでLambda関数(Python 3.9)のパフォーマンスを確認した

CodeGuru ProfilerでPython 3.9のLambda関数の推奨 …

: 「ChatGPTで開発する技術勉強会」に参加しました

ビヨンドさんの「ChatGPTで開発する技術勉強会」に参加しました。ビアバッシ …

自己紹介

[PR] AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト – プロフェッショナル改訂第2版

[PR] AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第2版

[PR] ポケットスタディ AWS認定デベロッパー – アソシエイト

[PR] 要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト

AWSではじめるLinux入門ガイド

タグ
alexa alexaday2019 api apigateway AWS CentOS cloud9 cloudformation cloudwatch devsumi2018 dynamodb EC2 google iam iot iphone Java jaws jaws-ug kintone lambda Linux m1mac mac Markdown mint MySQL organizations PHP python RDS re:dash Redmine remote s3 Silver sns ssm Twilio vpc waf windows WordPress yamamugi 勉強会

アーカイブ
アーカイブ

AMAZONアソシエイト

「Amazon.co.jpアソシエイト」または「ヤマムギ」は、Amazon.co.jpを宣伝しリンクすることによってサイトが紹介料を獲得できる手段を提供することを目的に設定されたアフィリエイトプログラムである、Amazonアソシエイト・プログラムの参加者です。