Настроить S3 после обновления

29.09.2023 было выпущено крупное обновление S3. Если у вас были созданы бакеты до обновления S3, перенесите их в проект, чтобы продолжить работу с S3 в панели управления.

Наиболее значимые изменения в работе хранилища:

новая авторизация во все API для работы с хранилищем и новые эндпоинты для доступа;
новый публичный домен бакета (домен вида <uuid>.selstorage.ru). Этот домен заменит персональный домен аккаунта (домена вида *****.selcdn.ru), который будет отключен позднее. Об отключении мы сообщим заранее;
переезд S3 в проекты;
новая модель управления доступом: полная поддержка ролевой модели и появление политик доступа к бакетам.

Ранее созданные пользователи, вызовы методов API и т. п. продолжат работать какое-то время — об отключении мы сообщим заранее. Мы рекомендуем изменить настройки хранилища уже сейчас и использовать обновленные настройки для новых бакетов.

Перенести бакеты в проект

Без переноса в проект вы не сможете работать с хранилищем в панели управления.

Перенести хранилище можно один раз и целиком (в один проект). Распределить старые бакеты по разным проектам нельзя. Создавать новые бакеты можно будет в разных проектах.

Если у вас уже есть проект, вы можете перенести бакеты в него или создать новый.

В существующий проект
В новый проект

В панели управления в верхнем меню нажмите Продукты и выберите S3. При первом после 29.09.2023 переходе в раздел откроется страница для переноса бакетов.
Укажите Использовать существующий проект.
Выберите проект, в который хотите перенести бакеты, и нажмите Перенести.

Настроить S3

Настройте доступ к хранилищу для пользователей.
Настройте политику доступа к бакету.
Если вы используете API или FTP, обновите ключи доступа и URL.
Если вы используете CDN, измените CDN-ресурс.
Проверьте, что вы заменили домены на новые.
Удалите старых пользователей хранилища.

1. Настроить доступ к хранилищу для пользователей

S3 теперь поддерживает типы пользователей и роли:

доступ к S3 через панель управления будет у пользователей панели управления, чья роль разрешает доступ ко всему аккаунту или проекту, в который были перенесены бакеты;
доступ к API осуществляется через сервисных пользователей вместо пользователей хранилища (создавались в разделе S3 → Пользователи). Старые пользователи продолжат работать и будут отключены позднее. Создавать новых пользователей такого вида больше нельзя.

Добавлять новых пользователей можно в разделах Пользователи и Сервисные пользователи.

У пользователей с ролью Пользователь S3 доступ определяется исключительно политикой доступа — если она не настроена, пользователь не будет иметь доступ в бакет. Подробнее о работе разных ролей в хранилище в инструкции Управлять доступом в S3.

2. Настроить политику доступа к бакету

Создать политику доступа к бакету можно через панель управления. Для создания политики доступа через API воспользуйтесь документацией AWS S3.

При настройке политики учитывайте доступы в рамках ролевой модели, подробнее в инструкции Управлять доступом в S3.

Подробнее о работе политик доступа в разделе Политика доступа.

3. Обновить ключи доступа и URL

S3 API
Swift API
FTP

Подробнее об авторизации в документации S3 API.

Выдайте S3-ключ сервисному пользователю. Выдать ключ можно также через IAM API.
В запросах замените URL и используйте ключ для аутентификации по новой схеме:
- AWS_ACCESS_KEY_ID — значение поля Access key из S3-ключа;
- AWS_SECRET_KEY — значение поля Secret key из S3-ключа;
- URL — s3.<pool>.storage.selcloud.ru, где <pool> — пул, в котором находится S3 (например, ru-1).

Подробнее об авторизации в документации Swift API.

Для авторизации используйте логин и пароль сервисного пользователя.
В запросах замените URL и данные:
- OS_USERNAME — логин сервисного пользователя. Посмотреть логин можно в панели управления: в верхнем меню нажмите Аккаунт → раздел Сервисные пользователи;
- OS_PASSWORD — пароль сервисного пользователя. Если вы забыли пароль, измените его;
- OS_AUTH_URL — https://cloud.api.selcloud.ru/identity/v3;
- OS_TENANT_ID — ID проекта, можно посмотреть в панели управления: в разделе S3 откройте меню проектов (название текущего проекта) → в строке нужного проекта нажмите ;
- URL — swift.<pool>.storage.selectel.org/v1/<project_id>, где:
  - <pool> — пул, в котором находится S3 (например, ru-1);
  - <project_id> — ID проекта.

Выдайте S3-ключ сервисному пользователю. Выдать ключ можно также через IAM API.
Замените URL на ftp.<pool>.storage.selcloud.ru, где <pool> — пул, в котором находится S3.

4. Изменить CDN-ресурс

Если вы используете S3 в качестве источника контента CDN, измените CDN-ресурс. Подробнее о подключении хранилища к CDN в инструкции Подключить CDN к S3.

В панели управления в верхнем меню нажмите Продукты и выберите CDN.
Перейдите в раздел CDN-ресурсы.
Откройте страницу CDN-ресурса → вкладка Общий.
Нажмите Редактировать источник.
Замените домен на публичный домен бакета вида <uuid>.selstorage.ru.
В поле Переопределение заголовка Host укажите публичный домен бакета.

5. Проверить домены

Убедитесь, что вы везде используете новые домены. Старые домены продолжат работать какое-то время и будут отключены позднее. Об отключении мы сообщим в заранее.

Подробнее о доменах в инструкции Домены в S3.

Для чего используется	Старый домен	Новый домен
Публичный доступ	`*****.selcdn.ru`	`<uuid>.selstorage.ru`
Swift API	`api.selcdn.ru`	`swift.<pool>.storage.selcloud.ru`
S3 API	`s3.storage.selcloud.ru/<bucket_name>` (Path-Style) `<bucket_name>.s3.storage.selcloud.ru` (Virtual Hosted)	`s3.<pool>.storage.selcloud.ru/<bucket_name>` (Path-Style) `<bucket_name>.s3.<pool>.storage.selcloud.ru` (Virtual Hosted)
FTP	`ftp.selcdn.ru`	`ftp.<pool>.storage.selcloud.ru`
Домен для DNS-записей	`*****.selcdn.ru`	`access.<pool>.storage.selcloud.ru`

6. Удалить старых пользователей хранилища

В панели управления в верхнем меню нажмите Продукты и выберите S3.
Перейдите в раздел Пользователи.
В карточке пользователя нажмите → Удалить.