EL storage (Wasabi): Benutzer auf bestimmte Buckets beschränken

Mit dem EL storage auf Basis von Wasabi steht einem IT-Systemhaus ein kostengünstiger S3-kompatibler Objektspeicher zur Verfügung der beispielsweise für BackupAssist, Altaro und mehr genutzt werden kann.

Am Beispiel von Backup-Anwendungen und der Best Practice das für jeden Kunden ein eigener (programmatischer) Benutzer angelegt werden sollte, lässt sich der Zugriff auf bestimmte Buckets einschränken.

So kann Kunde A nur auf seine Speicherplätze zugreifen, Kunde B kann wiederum nur auf die Eigenen, nicht aber auf Fremde zugreifen, usw. Der Weg zum Ziel ist einfach und schnell:

  • An der Wasabi-Konsole anmelden.
  • Zu “Datenzugriff – Richtlinien” wechseln.
  • Auf “Richtlinie erstellen” klicken.
  • Einen Namen und optional eine Beschreibung vergeben.
  • Im Feld “Richtliniendokument” folgende Vorlage einfügen und anpassen:
    {
    "Version": "2012-10-17",
    "Statement": [
    {
    "Effect": "Allow",
    "Action": "s3:*",
    "Resource": [
    "arn:aws:s3:::<Bucket>/*",
    "arn:aws:s3:::<Bucket>"
    ]
    }
    ]
    }

    Tipp: Beim Bucket-Namen können Wildcards, z.B. “Kunden-PC*”, verwendet werden. So lässt sich einfach ein Benutzer für mehrere Buckets berechtigen.
    Wichtig: Die Bucket-Namen sind Case-sensitive!

  • Zu “Benutzer und Gruppen – Benutzer” wechseln.
  • Entweder einen neuen Benutzer erstellen oder einen bestehenden Benutzer editieren.
  • Bei “Richtlinien” die neu erstellte Richtlinie zuweisen.

Der Vorteil an dieser Richtlinie ist, das der Benutzer die vorhandenen Buckets nicht auflisten bzw. sehen kann.

Zugänge und Berechtigungen testen

Benutzer-Zugänge sowie Berechtigungen lassen sich gut und schnell mit dem Wasabi Explorer (auf Basis des CloudBerry Explorers von MSP360) testen. In dieser Anwendung lassen sich unterschiedliche Benutzer hinterlegen und man erhält brauchbare Fehlermeldungen, wie beim Testen der obigen Richtlinie entsprechend ein “Access Denied” oder “Nicht zulässig” beim Zugriffsversuch auf fremde Buckets:

Quellen

Wasabi – Knowledge Base – How do I set up Wasabi for user access separation? (2. User Access Separation At the Bucket Level)

Wasabi – Knowledge Base – How do I use Wasabi Explorer for Windows with Wasabi?

Ein Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.