Backblaze B2 Cloud Storage als Veeam S3 Objektspeicher – Beschränkung auf einzelnes Bucket

In einem aktuellen Projekt nutze ich Blackblaze B2 Cloud Storage als Objektspeicher in Veeam. Dies hat nicht nur den Grund, die Daten aus dem Unternehmen heraus zu bringen und an einem anderen Standort zu speichern, sondern auch um die Immutable-Funktion von Backblaze und Veeam nutzen zu können. So können Daten, die von einer Ransomware angegriffen werden, nicht verschlüsselt werden und stehen nach solch einem möglichen Angriff wieder für eine Wiederherstellung zur Verfügung.

Bucket und Application Key

Damit man in Veeam einen Zugriff auf den B2-Speicher erhält, muss man als erstes im Backblaze-Konto ein neues Bucket anlegen.

Das Bucket benötigt einen Namen, weiterhin sollte die Option Object Lock aktiviert werden, damit eine Immutable-Funktion von Veeam genutzt werden kann.

Um nun einen Zugriff auf das Bucket zu erhalten, muss man einen App Key erzeugen (links im Menü). Hier gibt es nun unterschiedliche Möglichkeiten, auf was ich mit diesem Key Zugriff erhalte. Entweder darf ich alle Buckets sehen (und beschreiben, wenn gewünscht), oder ich kann den Zugriff auf ein einzelnes Bucket beschränken.

Ich wollte in meinem Fall den Zugriff auf ein einzelnes Bucket beschränken und habe die Aufwahl getroffen:

Erstellt man den neuen Key, wird dieser einmalig angezeigt und kann in der Veeam-Software eingetragen werden. Der Schlüssel wird überprüft, und Veeam schmeißt direkt danach einen Fehler, dass der Zugriff nicht möglich ist und man für weitere Informationen einen Blick in das Logfile schmeißen soll. Der KB-Artikel von Veeam, der den Ort und das Logfile beschreibt, ist der folgende: Veeam.com: Error “Failed to establish connection to Amazon S3 endpoint” when adding an Amazon S3 object storage repository

Ich habe mir das Log mal angeschaut und den folgenden Fehler dort gefunden:

Message = REST API error: ‘S3 error: not entitled. Code: AccessDenied’, error code: 403.

Die Lösung

Ich habe nach dem Fehler den Support von Backblaze angeschrieben, und parallel selber noch weiter probiert. Wenn ich einen App Key erstellt habe, der Zugriff auf alle Buckets hat, dann konnte ich diesen Schlüssel in Veeam eintragen und nutzen. Das wollte ich aber so nicht, da ich gerne einen Zugriff auf ein einzelnes Bucket realisieren wollte. Der Support hat sich dann kurze Zeit später gemeldet und hat mir die Lösung genannt:

Damit Veeam mit einem App Key arbeiten, muss zwingend eine Auslistung aller Buckets möglich sein, selbst wenn kein direkter Zugriff auf die Buckets möglich ist. Dies ist eine Option während der Erstellung:

Sobald diese Option aktiv ist, kann der Schlüssel in Veeam genutzt werden und trotzdem ist der Zugriff limitiert auf ein einzelnes Bucket. Problem gelöst, und vielleicht stolpert der ein oder andere ja auch an der Einstellung und wird auf diesen Artikel aufmerksam.


Sie benötigten persönliche Unterstützung oder haben nicht die richtige Lösung für Ihr Problem gefunden?

Dieser Blog wird von mir, Jan Kappen, in seiner Freizeit betrieben, hier beschreibe ich Lösungen für Probleme aller Art oder technische Anleitungen mit Lösungsansätzen.

Die berufliche Unabhängigkeit

Ich bin seit Januar 2020 vollständig selbstständig und habe meine eigene Firma gegründet, die Building Networks mit Sitz in Winterberg im schönen Sauerland. Hier stehe ich als Dienstleister gerne für Anfragen, Support oder Projekte zur Verfügung.

Die Firma Building Networks bietet Ihnen:

  • Hilfe und Support per Telefon, Fernwartung oder persönlich vor Ort
  • Projekt-Unterstützung
  • Ausgezeichnete Kompetenz zu den Themen
    • Microsoft Hyper-V
    • Microsoft Failover Clustering & HA
    • Storage Spaces Direct (S2D) & Azure Stack HCI
    • Veeam Backup & Recovery
    • Microsoft Exchange
    • Microsoft Exchange Hybrid Infrastruktur
    • Microsoft Active Directory
    • Microsoft Office 365
    • Ubiquiti
    • 3CX VoIP PBX
    • Fortinet Network Security
    • Baramundi Software
    • ...

Ich freue mich über Ihren Kontakt, weitere Informationen finden Sie auf der Webseite meiner Firma unter Building-Networks.de

Jan

Jan Kappen arbeitet seit 2005 in der IT. Er hat seine Ausbildung 2008 abgeschlossen und war bis 2018 als IT-Consultant im Bereich Hyper-V, Failover Clustering und Software Defined Storage unterwegs. Seit 2015 wurde er jährlich von Microsoft als Most Valuable Professional (MVP) im Bereich "Cloud & Datacenter Management" ausgezeichnet für seine Kenntnisse und die Weitergabe seines Wissens. Jan ist häufig auf Konferenzen als Sprecher zu finden, weiterhin bloggt er viel. Von September 2018 bis Dezember 2019 war Jan als Senior Network- und Systemadministrator bei einem großen mittelständischen Unternehmen im schönen Sauerland angestellt. Im Januar 2020 hat er den Sprung in die Selbstständigkeit gewagt und ist seitdem Geschäftsführer der Firma Building Networks in Winterberg. In seiner Freizeit kümmert er sich um das Freifunk-Netzwerk in Winterberg und Umgebung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.