●Wasabiとは?
:contentReference[oaicite:0]{index=0}(通称 Wasabi)は、
低コストで利用できるS3互換のオブジェクトストレージサービスです。
AWS S3と高い互換性を持ち、バックアップ用途や大容量データ保存で広く利用されています。
●ログイン画面
管理画面へログインすると、バケットやユーザー管理などの設定を行うことができます。
●オブジェクトストレージとは?
オブジェクトストレージとは、ファイルを「オブジェクト」として保存する仕組みです。
従来のフォルダ階層型とは異なり、
- データ本体
- メタデータ
- 一意のID
をまとめて管理します。
大容量データやバックアップ用途に適しているのが特徴です。
●バケット(Bucket)
バケットは、
データを保存する箱
です。
画像、バックアップ、ログなどはすべてバケット内に保存されます。また容量の増加だけでバージョン管理からオブジェクトロックといったセキュリティ対策の機能を利用することができます。この辺りの機能についても別途記事にしたいと思います。
Wasabiバケットで利用できる機能
- バケットのバージョン管理
- バケットバージョンを有効にすると、バケット内の過去のバージョンのオブジェクトを取得・復元することができます。
- 注:オブジェクトのバージョンは、総データ保存コストに追加されます。
- オブジェクトロック(バージョン管理を有効にする必要があります)
- オブジェクトロックを有効にすると、オブジェクトが一定時間上書きまたは削除されるのを防ぐことができます。
- このボックスを切り替えると、このバケットが存在する間、オブジェクトロック機能が永続的に有効になります。
- バケットのログ
- バケットロギングを有効にすると、指定したバケットにこのバケットへのすべてのアクセスのテキストログファイルが作成されます。
- オブジェクトレプリケーション
- オブジェクト複製は、悪意のある行為、自然災害、ユーザーエラーから保護するために、バケット(ソース)から別のバケット(送信先)にオブジェクトをコピーする機能です。 今すぐジョブを作成することで、このバケットに置かれているすべてのオブジェクトが選択した送信先に複製されます。
ポイント
- グローバルで一意の名前が必要
- リージョンを指定して作成
- アクセス制御はバケット単位で設定可能
●ポリシー(Policy)
ポリシーとは、
「誰が」「何を」「どこまでできるか」を定義するルール
です。
JSON形式で記述し、アクセス制御を行います。
Wasabiは
:contentReference[oaicite:1]{index=1} のIAMポリシーとほぼ同じ形式で設定可能です。
またデフォルトで17ぐらいのポリシーが設定されています。初めのうちは使い分けるでもいいかもしれないですが、最小権限で運用することをお勧めします。
例:
バケットへ読み取り専用アクセス
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": "*"
}
]
}特定バケットのみ操作可能
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "BackupJobSetup",
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "*"
},
{
"Sid": "JobRunning",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads",
"s3:AbortMultipartUpload",
"s3:ListBucket",
"s3:DeleteObject",
"s3:GetBucketLocation",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::MyS3Bucket",
"arn:aws:s3:::MyS3Bucket/*"
]
}
]
}特定のIPからのみWasabiConsoleを利用することができるポリシー
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": "XXX.XXX.XXX.XXX/XX"
}
}
}
]
}●アクセスキー(Access Key)
アクセスキーは、
API経由でWasabiへ接続するための認証情報
です。
構成は以下の2つです。
- Access Key ID
- Secret Access Key
主な利用用途:
- バックアップソフト連携
- rclone接続
- サーバーからの自動アップロード
⚠ Secret Access Keyは再表示できないため、必ず安全に保管しましょう。
●ユーザー(User)
ユーザーは、
Wasabiにログイン・API利用する個別アカウント
です。
用途例:
- 管理者ユーザー
- バックアップ専用ユーザー
- 読み取り専用ユーザー
各ユーザーにポリシーを割り当てることで、権限を細かく制御できます。
●グループ(Group)
グループは、
複数ユーザーをまとめて管理する機能
です。
例:
- backup-team
- developer-team
- read-only-team
グループにポリシーを設定すれば、メンバー全員に同じ権限を付与できます。
●ロール(Role)
ロールは、
一時的に権限を引き受ける仕組み
です。
主な用途:
- サーバー連携
- 外部サービス連携
- 一時的なアクセス許可
AWSのIAMロールと同様の概念です。
●セキュリティ機能
Wasabiには以下のセキュリティ機能があります。
・多要素認証(MFA)
ログイン時の二段階認証。アプリのワンタイムパスワードの対応のみとなります。
・マルチユーザー承認(MUA)
特定の操作を複数人の承認がないと作業ができなくなります。
- Covert Copyバケットの削除
- Covert Copyバケットにアクセスする
- アカウントの削除
- バケットを削除
詳細オプション
- Wasabiコンソールで1人のユーザーIDに対して複数の同時アクティブセッションを防止する
- オブジェクトロックバケットのアカウント削除を防止する
- 既存のCovert Copyバケットを持つアカウントの削除を防ぐ
セッションタイムアウト
コンソールでセッションがタイムアウトするまでの非アクティブの分数を設定します。
Rootパスワード設定
Rootユーザーは以下のパスワードに設定する条件を設定することができます。
- 最小パスワード長
- 日数後にパスワードを自動期限切れにする
- パスワードの再利用を防ぐ
- ルートユーザーがロックアウトされるまでにログインに失敗した回数
- rootユーザーをロックアウトする分数
- 辞書掲載の一般的な単語1個や普通名詞1個のパスワードを禁止する
SSO(シングルサインオン)
SSOを設定してログインさせることができます。
管理ログ
「管理アクティビティログのダウンロード」ウィジェットが表示され、ここで既存の管理アクティビティログを手動でダウンロードできます。 バケットに保存オプションを有効にすると、今後すべての管理アクティビティログが保持されます。
コンプライアンスログ
コンプライアンスのニーズを満たす形式で包括的なテキストログを作成する、コンプライアンスバケットログ設定オプションへのアクセスを永続的に有効にします。 このオプションを有効にすると、アカウント全体のユーザに対して、バケットロギング機能(バケット設定内)にコンプライアンスバケットロギング設定オプションが表示されます。
IAM認証レポート
認証情報レポートには、このアカウント内のすべての IAM ユーザー、そのアクセス キー、認証情報のステータスがリストされます。 認証情報レポートを使用してアカウントへのアクセスを確認し、アカウントとデータを安全に保ちます。
●設定(Settings)
アカウント全体に関わる設定項目です。
- アカウントエイリアス
- パスワードを更新
- メールアドレスの更新
- イベント通知
- 通知
- ご利用規約
- スピードテスト
- アカウントのログ
- デバッグファイルをエクスポート
- アカウントを削除
法人利用の場合は、初期設定を必ず確認しておきましょう。
●まとめ
Wasabiの主要機能を整理すると以下のようになります。
| 機能 | 役割 |
|---|---|
| バケット | データ保存場所 |
| ポリシー | アクセス制御ルール |
| アクセスキー | API認証情報 |
| ユーザー | 個別アカウント |
| グループ | ユーザー管理単位 |
| ロール | 一時的な権限付与 |
| セキュリティ | データ保護機能 |
| 設定 | アカウント全体管理 |
WasabiはS3互換であるため、AWS経験者であれば比較的スムーズに導入できます。
バックアップ設計や安全な運用方法については、別記事で詳しく解説予定です。