Créer un bucket S3

Créer un conteneur S3 (OVH, AWS ou MinIO) et le connecter à un tenant Revault pour y stocker les sauvegardes Okta.

Revault peut stocker les sauvegardes de chaque tenant dans votre propre bucket S3 plutôt qu'en stockage local. Vos données restent ainsi sous votre contrôle, dans la région de votre choix.

Le connecteur est compatible S3 : il fonctionne avec OVH Object Storage, Amazon S3, MinIO, Scaleway, Wasabi… Tout fournisseur exposant l'API S3 convient.

Renseigner un endpoint active automatiquement le mode path-style, requis par la plupart des fournisseurs non-AWS (OVH, MinIO…).

Ce qu'il vous faut

Pour connecter un bucket, Revault demande 6 informations :

Champ	Description	Exemple
Bucket	Nom du conteneur	`revault-backups`
Région	Code région du fournisseur	`gra`
Endpoint	URL de l'API S3 (vide pour AWS)	`https://s3.gra.io.cloud.ovh.net`
Préfixe	Sous-dossier dans le bucket (optionnel)	`okta/`
Access Key ID	Identifiant de la clé S3	`7c2f…`
Secret Access Key	Secret de la clé S3	`••••••••`

Connectez-vous à l'espace client OVHcloud, ouvrez Public Cloud et créez un projet (un moyen de paiement est requis ; l'Object Storage est facturé à l'usage, quelques centimes suffisent pour un test).

Créer le conteneur

Dans le projet, allez dans Storage → Object Storage → Créer un conteneur :

Type : Standard (API S3) — surtout pas le type Swift.
Région : choisissez-en une, par exemple GRA (Gravelines).
Nom : ex. revault-backups. C'est votre Bucket.

Générer des identifiants S3

Allez dans Public Cloud → Users & Roles :

Créez un utilisateur avec le rôle ObjectStore operator.
Sur cet utilisateur, choisissez Générer des identifiants S3.
Copiez l'Access Key et le Secret Key.

Le Secret Key ne s'affiche qu'une seule fois. Conservez-le immédiatement dans un gestionnaire de secrets.

Déterminer l'endpoint

L'endpoint OVH suit toujours le motif :

https://s3.<region>.io.cloud.ovh.net

Remplacez <region> par le code de votre région, en minuscules :

Région	Code	Endpoint
Gravelines	`gra`	`https://s3.gra.io.cloud.ovh.net`
Strasbourg	`sbg`	`https://s3.sbg.io.cloud.ovh.net`
Roubaix	`rbx`	`https://s3.rbx.io.cloud.ovh.net`
Beauharnois (CA)	`bhs`	`https://s3.bhs.io.cloud.ovh.net`

Connecter le bucket à un tenant

Dans Revault, ouvrez Paramètres → Tenants, puis cliquez sur Configurer sur le tenant concerné (ou créez-en un nouveau).

Dépliez la section Stockage S3 personnalisé et activez-la, puis remplissez les champs avec les valeurs récupérées plus haut.

Cliquez sur Tester la connexion. Un message ✓ OK · XX ms confirme que Revault peut écrire dans le bucket. En cas d'erreur, vérifiez la région, l'endpoint et les droits de la clé.

Enregistrez. Les prochaines sauvegardes de ce tenant seront écrites dans votre bucket, sous le préfixe indiqué.

En édition, laissez les champs Access Key et Secret Key vides pour conserver les clés déjà enregistrées. Renseignez-les uniquement pour les remplacer.

Autres fournisseurs

Pour Amazon S3, laissez l'endpoint vide : le SDK résout automatiquement l'URL à partir de la région.

Région : ex. eu-west-3
Endpoint : (vide)
Access Key / Secret Key : clés d'un utilisateur IAM disposant des droits s3:PutObject, s3:GetObject, s3:ListBucket et s3:DeleteObject sur le bucket.

Pour un MinIO auto-hébergé :

Région : us-east-1 (valeur par défaut acceptée par MinIO)
Endpoint : l'URL de votre instance, ex. https://minio.mon-domaine.fr
Access Key / Secret Key : les identifiants MinIO.

L'endpoint étant renseigné, le mode path-style est activé automatiquement.

Vérifier les identifiants en ligne de commande (optionnel)

Avant de les coller dans l'interface, vous pouvez valider une clé S3 avec l'AWS CLI :

aws --endpoint-url https://s3.gra.io.cloud.ovh.net \
    --region gra \
    s3 ls s3://revault-backups/

Une liste (même vide) sans erreur confirme que la clé, la région et l'endpoint sont corrects.

Droits IAM minimaux

Revault a besoin de pouvoir lister, lire, écrire et supprimer les objets du bucket :

s3:ListBucket
s3:GetObject
s3:PutObject
s3:DeleteObject