# S3 Backup Integration: Das Standard-Protokoll für modernen Cloud-Storage

TL;DR / Management Summary Das S3 (Simple Storage Service) Protokoll, ursprünglich von Amazon entwickelt, hat sich zum De-facto-Standard für die Speicherung unstrukturierter Daten entwickelt. Fast jede moderne Backup-Software (Veeam, Borg, PBS) kann heute direkt mit S3-kompatiblen Endpunkten sprechen. Ein Senior Admin nutzt S3 nicht nur für öffentliche Clouds, sondern betreibt oft auch lokale S3-Cluster (z.B. via MinIO), um eine einheitliche API für alle Backup-Workloads im Rechenzentrum zu schaffen.

# 1. Einführung & Das S3-Modell

Buckets, Objects und Keys.

Im Gegensatz zu Dateisystemen (Files, Ordner) nutzt S3 ein flaches Modell:

• Bucket: Der oberste Container (wie eine Partition).
• Object: Die Datei inklusive Metadaten.
• Key: Der eindeutige Pfad/Name des Objekts.
• API-First: Die Kommunikation erfolgt ausschließlich via HTTPS (REST API).

# 2. Lokale S3-Infrastruktur mit MinIO

Der Cloud-Speicher im eigenen RZ.

Wenn Sie Daten nicht direkt ins Internet schicken wollen, ist MinIO die beste Wahl.

• Vorteil: Bietet die exakt gleiche API wie AWS S3.
• Vorteil: Läuft hervorragend als Docker-Container oder VM in Proxmox.

# Schnellstart MinIO (Docker)

docker run -p 9000:9000 -p 9001:9001 \
  -e "MINIO_ROOT_USER=admin" \
  -e "MINIO_ROOT_PASSWORD=password123" \
  minio/minio server /data --console-address ":9001"

# 3. Deep Dive: Authentifizierung & IAM

Schlüssel zum Tresor.

S3 nutzt Access Keys und Secret Keys.

• Best Practice: Erstellen Sie pro Backup-Job einen eigenen User mit einer spezifischen IAM Policy.
• Policy Beispiel (Least Privilege):

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:PutObject", "s3:GetObject", "s3:ListBucket"],
            "Resource": ["arn:aws:s3:::my-backup-bucket/*"]
        }
    ]
}

# 4. Day-2 Operations: S3 Versioning & Lifecycle

Die Zeitmaschine im Bucket.

# Versionierung

Aktivieren Sie Versioning auf dem Bucket.

• Effekt: Wenn ein Backup-Skript versehentlich eine Datei überschreibt oder löscht, behält S3 die alte Version im Hintergrund bei. Perfekt als Schutz gegen Fehlkonfigurationen.

# Lifecycle Policies

Verschieben Sie Daten automatisch:

• Nach 30 Tagen: Wechsel von Standard zu Standard-IA (Infrequent Access).
• Nach 90 Tagen: Wechsel zu Glacier (Artikel 633).

# 5. Troubleshooting & “War Stories”

Wenn die API streikt.

# Top 3 Fehlerbilder

1. Symptom: “Time Mismatch” oder “SignatureDoesNotMatch”.

   • Ursache: Die Systemzeit der OPNsense/Server weicht um mehr als 5 Minuten von der S3-Serverzeit ab (S3 nutzt Zeitstempel zur Signierung).
   • Lösung: NTP-Sync sicherstellen (Artikel 543).

2. Symptom: Massive Latenz beim Auflisten von Dateien (ListBucket).

   • Ursache: Zu viele Objekte (Millionen) in einem einzigen “Verzeichnis”-Präfix.
   • Lösung: Nutzen Sie eine hierarchische Key-Struktur (z.B. YYYY/MM/DD/file).

3. Symptom: Uploads brechen bei großen Dateien (> 5 GB) ab.

   • Lösung: Aktivieren Sie Multipart Uploads in Ihrem S3-Client (z.B. rclone oder aws-cli).

# “War Story”: Der “Public” Bucket GAU

Ein Admin konfiguriert ein Backup zu AWS S3 und stellte den Bucket auf “Public Read”, um einen schnellen Download-Test zu machen. Er vergaß, dies rückgängig zu machen. Das Ergebnis: Ein automatisierter Bot-Scanner fand den Bucket innerhalb von 15 Minuten. Die kompletten Firmendaten (Datenbank-Dumps!) waren weltweit ohne Passwort abrufbar. Lehre: Nutzen Sie bei S3 immer die “Block Public Access” Funktion auf Account-Ebene. Zugriff sollte ausschließlich über IAM-User mit dedizierten Keys erfolgen.

# 6. Monitoring & Reporting

Kosten und Durchsatz.

# S3 Metrics (CloudWatch / MinIO Dashboard)

Überwachen Sie:

• Bucket Size: Wächst der Speicher wie erwartet?
• 4xx Errors: Deuten auf falsche Berechtigungen oder abgelaufene Keys hin.

# 7. Fazit & Empfehlung

S3 ist die universelle Sprache des modernen Speichers.

• Empfehlung: Nutzen Sie S3-kompatiblen Speicher für alle Offsite-Kopien.
• Wichtig: Verwenden Sie für geschäftskritische Backups immer einen Provider, der Object Lock (Immutability) unterstützt (z.B. Wasabi, Backblaze B2 oder AWS).

# Anhang: Cheatsheet (rclone)

# Referenzen

• Amazon S3 Official Documentation
• MinIO Quickstart Guide
• Rclone: S3 Integration Guide