Les administrateurs du grid peuvent configurer l'interface de gestion Grid pour utiliser un certificat de serveur signé par l'autorité de certification approuvée de leur organisation.

Les utilisateurs administratifs sont authentifiés à l'aide du nom d'utilisateur et du mot de passe. Les utilisateurs et groupes administratifs peuvent être locaux ou fédérés, importés depuis Active Directory ou LDAP du client. Les mots de passe des comptes locaux sont stockés dans un format protégé par bcrypt ; les mots de passe de ligne de commande sont stockés dans un format protégé par SHA-2.

StorageGRID prend en charge l'authentification unique (SSO) à l'aide de la norme SAML 2.0 (Security assertion Markup Language 2.0). Lorsque l'authentification SSO est activée, tous les utilisateurs doivent être authentifiés par un fournisseur d'identités externe avant d'accéder au Grid Manager, au tenant Manager, à l'API Grid Management ou à l'API de gestion des locataires. Les utilisateurs locaux ne peuvent pas se connecter à StorageGRID.

Les administrateurs du grid peuvent attribuer des autorisations aux rôles et attribuer des rôles à des groupes d'utilisateurs administratifs, ce qui permet d'appliquer les tâches que les clients administratifs sont autorisés à effectuer à l'aide de l'interface utilisateur de gestion et des API.

StorageGRID offre une infrastructure intégrée de journalisation des audits distribuée et évolutive pour des centaines de nœuds répartis sur un maximum de 16 sites. Les nœuds logiciels StorageGRID génèrent des messages d'audit, qui sont transmis via un système de relais d'audit redondant et finalement capturés dans un ou plusieurs référentiels de journaux d'audit. Les messages d'audit capturent les événements au niveau objet, tels que les opérations de l'API S3 initiées par le client, les événements de cycle de vie des objets par ILM, les vérifications de l'état des objets en arrière-plan et les modifications de configuration effectuées à partir de l'interface utilisateur de gestion ou des API.

Les journaux d'audit peuvent être exportés depuis les nœuds d'administration via CIFS ou NFS, ce qui permet d'extraire les messages d'audit par des outils tels que Splunk et ELK. Il existe quatre types de messages d'audit :

Les messages d'audit du système capturent les événements liés au système, tels que l'état des nœuds de grid, la détection d'objets corrompus, les objets validés à tous les emplacements spécifiés conformément à la règle ILM et la progression des tâches de maintenance à l'échelle du système (tâches de grid).

Les messages d'audit du stockage objet capturent les transactions de l'API objet et les événements liés au cycle de vie. Ces événements incluent le stockage objet et la récupération, les transferts de nœuds grid à nœud grid et les vérifications.

Les messages d'audit du protocole HTTP capturent les interactions du protocole HTTP liées aux applications clientes et aux nœuds StorageGRID. En outre, les clients peuvent capturer des en-têtes de requête HTTP spécifiques (tels que X-retransmis-for et les métadonnées utilisateur [x-amz-meta-*]) dans l'audit.

Les messages d'audit de gestion consignent les demandes des utilisateurs administrateurs dans l'interface de gestion (Grid Management interface) ou les API. Chaque requête qui n'est pas une requête GET ou HEAD à l'API consigne une réponse avec le nom d'utilisateur, l'IP et le type de requête à l'API.

TLS établit un protocole de poignée de main pour la communication entre un client admin et un nœud admin StorageGRID.

SNMPv3 fournit la sécurité en offrant à la fois une authentification forte et un cryptage des données pour la confidentialité. Avec v3, les unités de données de protocole sont chiffrées à l'aide de CBC-DES pour son protocole de chiffrement.

L'authentification utilisateur de la personne qui a envoyé l'unité de données de protocole est fournie par le protocole d'authentification HMAC-SHA ou HMAC-MD5.

SNMPv2 et v1 sont toujours pris en charge.

Les administrateurs du grid peuvent télécharger ou générer des certificats clients qui peuvent être utilisés pour fournir un accès sécurisé et authentifié à la base de données StorageGRID Prometheus.