Memo configuration Rclone - S3 Next

Bonjour à tous !

J'ai enfin réussi à trouver du temps pour m'occuper du stockage S3 lié à mon profil.
Je mets ici le processus à appliquer (+ modèle pour le fichier de config) pour éviter que d'autres galèrent.

N'ayant jamais utilisé Rclone, ci-dessous les réponses à apporter au questionnaire interactif + contenu du fichier de config.

Je suis pas expert S3 ni sécurité, si des personnes plus qualifiés peuvent valider ou non, c'est cool 👍

Pour le nom de la config, il faut un nom sans espace (nécessaire si on souhaite chiffrer les données après).

Connexion au dépôt S3

Questionnaire interactif

Option provider.
Choose your S3 provider.
provider> 46 (Other)

Option env_auth.
Get AWS credentials from runtime (environment variables or EC2/ECS meta data if no env vars).
Only applies if access_key_id and secret_access_key is blank.
env_auth> 1 (false)

Option access_key_id.
AWS Access Key ID.
Leave blank for anonymous access or runtime credentials.
access_key_id> [ce qui est indiqué dans "Clé d'accès" sur la page S3]

Option secret_access_key.
AWS Secret Access Key (password).
Leave blank for anonymous access or runtime credentials.
secret_access_key> [ce qui a été défini lors de l'activation de l'espace S3]

Option region.
Region to connect to.
Leave blank if you are using an S3 clone and you don't have a region.
region> 2 (other-v2-signature)

Option endpoint.
Endpoint for S3 API.
Required when using an S3 clone.
endpoint> [ce qui est indiqué dans "Point d'accès" sur la page S3, en ajoutant "https://" devant - par exemple https://s3.***.next.ink)]

Option location_constraint.
Location constraint - must be set to match the Region.
Leave blank if not sure. Used when creating buckets only.
location_constraint> [ce qui est indiqué dans "Région" sur la page S3]

Option acl.
Canned ACL used when creating buckets and storing or copying objects.
This ACL is used for creating objects and if bucket_acl isn't set, for creating buckets too.
[...]
acl> 1 (private)

Fichier de config

[Mon_nom_de_config_s3]
type = s3
provider = Other
access_key_id = [Clé d'accès]
secret_access_key = [Secret]
endpoint = https://[Point d'accès]
acl = private
region = other-v2-signature
location_constraint = fr1

A partir d'ici, vous devriez déjà pouvoir vous connecter à votre dépôt (par exemple avec Rclone browser).

Pour le chiffrement

Le chiffrement se base sur une configuration existante. On va se baser sur celle qu'on a fait précédemment.

Questionnaire interactif

Option remote.
Remote to encrypt/decrypt.
Normally should contain a ':' and a path, e.g. "myremote:path/to/dir",
"myremote:bucket" or maybe "myremote:" (not recommended).
remote>Mon_nom_de_config_s3:s3-next-ink/

Option filename_encryption.
How to encrypt the filenames.
filename_encryption> 1 (standard)

Option directory_name_encryption.
Option to either encrypt directory names or leave them intact.
NB If filename_encryption is "off" then this option will do nothing.
directory_name_encryption> 1 (true)

Option password.
Password or pass phrase for encryption.
> g (Generate random password)

Option password2.
Password or pass phrase for salt.
Optional but recommended.
> g (Generate random password)

Fichier de config

[Mon_nom_de_config_s3-crypt]
type = crypt
remote = Mon_nom_de_config_s3:s3-next-ink/
password = 
password2 =

Lors de la génération de mot de passe, il demandera le niveau d'entropie (ça monte jusqu'à 1024 bits).

A partir de maintenant, si on veut s'assurer que le chiffrement est fonctionnel, on peut se connecter à Mon_nom_de_config_s3 et Mon_nom_de_config_s3-crypt avec Rclone Browser.

En envoyant un fichier vide à partir de Mon_nom_de_config_s3-crypt, on doit voir dans Mon_nom_de_config_s3 un fichier avec une taille plus importante, dont le nom et le contenu sont aléatoires.

Il est préférable de chiffrer le fichier de config contenant les clés d'accès et co. Vous pouvez vous baser sur https://blog.stephane-robert.info/docs/cloud/outils/rclone/