多要素認証
バケットがオブジェクト・バージョン管理用に構成されている場合、開発者はオプションで、削除要求に多要素認証 (MFA) を必要とするようにバケットを構成できます。 MFA を使用すると、時間ベースのワンタイム・パスワード (TOTP) トークンが鍵として x-amz-mfa ヘッダーに渡されます。 トークンは、 Google Authenticator などの仮想 MFA デバイス、または Gemalto で提供されるハードウェア MFA デバイスで生成されます。
時間ベースのワンタイム・パスワード・トークンをユーザーに割り当てるには、 radosgw-admin を使用します。 シークレット・シードとシリアル ID を設定する必要があります。 radosgw-admin を使用して、トークンをリスト、削除、および再同期することもできます。
重要: マルチサイト環境では、ゾーンごとに異なるトークンを使用することをお勧めします。MFA ID はユーザーのメタデータに設定されますが、実際の MFA ワンタイム・パスワード構成はローカル・ゾーンの XSD に存在するためです。
| 用語 | 説明 |
|---|---|
TOTP |
時刻ベースのワンタイム・パスワード。 |
トークン・シリアル |
TOTP トークンの ID を表す文字列です。 |
トークン・シード |
TOTP の計算に使用されるシークレット・シード。 16 進数または base32にすることができます。 |
TOTP 秒 |
TOTP 生成に使用される時間分解能。 |
TOTP ウィンドウ |
トークンの検証時に現行トークンの前後に検査される TOTP トークンの数。 |
TOTP ピン |
ある時点での TOTP トークンの有効な値。 |
表: 用語