Odborná sekce
Tenant
Termín "tenant" v kontextu S3 objektového úložiště označuje samostatného uživatele nebo organizaci, jejichž data jsou v rámci sdílené infrastruktury bezpečně izolována od ostatních uživatelů
Multi-tenant architektura
V kontextu S3 objektového úložiště označuje termín "tenant" samostatnou entitu nebo zákazníka, který sdílí cloudové prostředí s dalšími entitami v rámci tzv. multi-tenant architektury. Tento model je běžný v platformách typu Software-as-a-Service (SaaS), kde více uživatelů nebo organizací (tenantů) využívá stejné infrastruktury, avšak s přísnou izolací dat mezi nimi. Tenant management v S3 objektových úložištích zajišťuje, že každý tenant má bezpečný a oddělený přístup ke svým uloženým datům.
Oddělení dat mezi tenantry
V S3 objektových úložištích jsou data jednotlivých tenantů obvykle oddělena, aby se zajistila izolace a správa přístupu. Existuje několik metod pro oddělení dat, jako je použití unikátních bucketů pro každého tenanta (bucket-per-tenant model), použití prefixů v rámci jednoho bucketu (prefix-per-tenant model), nebo použití objektových tagů, které spojují objekty s konkrétním tenantem. Tyto modely zajišťují logickou izolaci dat, přestože jsou fyzicky uložena na sdílené infrastruktuře. Výběr správného modelu závisí na škálovatelnosti, nákladech a požadavcích na přístup.
Izolace a bezpečnost tenantů
Klíčovým aspektem správy multi-tenant prostředí je zajištění izolace dat mezi jednotlivými tenantry. Správné izolační mechanismy zajišťují, že žádný tenant nemůže přistupovat k datům jiného tenanta, i když sdílejí stejnou úložnou infrastrukturu. Pro zajištění izolace se používají přístupové politiky, často implementované prostřednictvím systémů pro správu identit a přístupových práv (IAM). Tyto politiky umožňují vytvořit specifická oprávnění pro tenanta, která omezují přístup k objektům na úrovni bucketu, objektu nebo pomocí tagů.
Šifrování a ochrana dat
Pro zvýšení bezpečnosti lze data tenantů šifrovat pomocí klíčů specifických pro každého tenanta. Server-side šifrování, implementované pomocí služeb pro správu klíčů (např. Key Management Service), zajišťuje, že data zůstávají chráněna jak v klidu, tak při přenosu. Podle použitého modelu oddělení lze šifrovací klíče aplikovat buď na úrovni celého bucketu (v modelu bucket-per-tenant), nebo na úrovni jednotlivých objektů (v modelech prefix-per-tenant nebo objekt-tag modelu). Tím se zajišťuje bezpečnost dat v multi-tenant prostředí.
Fakturace a monitorování
V multi-tenant prostředí je důležité sledovat spotřebu úložiště a náklady jednotlivých tenantů. Objektová úložiště S3 obvykle nabízejí inventární zprávy a nástroje pro logování, které umožňují monitorovat spotřebu dat specifických tenantů, což je užitečné pro fakturaci. Pomocí přiřazení objektů konkrétním tenantům prostřednictvím prefixů, tagů nebo metadat mohou poskytovatelé generovat zprávy o nákladech a spotřebě, a tak zajišťovat správnou fakturaci jednotlivým zákazníkům podle jejich využívání zdrojů.