MinIO 伺服器文件
客戶登入
產品
MinIO 企業物件儲存
概觀 架構
功能
適用於公有雲的 MinIO
AWS GCS Azure
適用於私有雲的 MinIO
OpenShift SUSE Rancher Tanzu
適用於裸機的 MinIO
Linux 和 Windows
決定您的原始和可用容量 Erasure Code 計算器 MinIO 的建議硬體組態 參考硬體
解決方案
AI 儲存 物件儲存正在推動 AI 革命。了解 MinIO 如何透過大規模效能領導 AI 儲存市場。 現代資料湖 現代、多引擎資料湖依賴於可大規模提供效能的物件儲存。進一步了解此核心 MinIO 用例。 混合雲 有效的多雲儲存策略依賴於利用可在不同環境中無縫運作的架構和工具。 Equinix 使用 Equinix 上的 MinIO 將您的資料遷移回您控制的雲端,以降低成本,同時保持與公有雲的鄰近性。 Splunk 了解 MinIO 如何為 Splunk SmartStore 提供大規模效能。 Snowflake 使用 Snowflake Data Cloud 查詢和分析多個資料來源,包括位於 MinIO 上的串流資料。無需移動資料,只需使用 SnowSQL 查詢即可。 SQL Server 了解如何將 SQL Server 2022 與 MinIO 配對,以便在任何雲端上對您的資料執行查詢 - 無需移動資料。 HDFS 遷移 使用來自 MinIO 的高效能、Kubernetes 原生物件儲存,使您的大數據儲存基礎架構現代化並簡化。 VMware 了解 MinIO 如何與 VMware 的整個產品組合整合,從 Persistent Data 平台到 TKG,以及我們如何支援他們的 Kubernetes 雄心。 Veeam 了解 MinIO 和 Veeam 如何合作,為各種備份用例推動效能和可擴展性。 Commvault 了解 Commvault 和 MinIO 如何合作,為任務關鍵的備份和還原工作負載提供大規模效能。 整合 瀏覽我們廣泛的整合組合。
社群
GitHub 加入我們的 GitHub 開源社群:探索、實驗、提問和貢獻。 Slack 頻道 MinIO 社群 Slack 提供了一個開放論壇,用於討論與 MinIO 相關的主題。所有支援均以盡力而為為基礎提供。
文件 部落格 資源 培訓 合作夥伴 定價 下載

文件

適用於 Elastic Kubernetes Service 的 MinIO 物件儲存

MinIO 外部存取管理外掛程式

概觀

MinIO 存取管理外掛程式提供了一個 REST 介面,用於透過 Webhook 服務卸載授權。

啟用後,MinIO 會將每個 API 呼叫的請求和憑證詳細資訊傳送到已設定的外部 HTTP(S) 端點,並尋找 ALLOWDENY 的回應。因此,MinIO 可以將存取管理委派給外部系統,而不是依賴 S3 的 基於原則的存取控制

組態設定

您可以使用下列環境變數或組態設定來設定 MinIO 外部存取管理外掛程式。

將下列環境變數指定給部署中的每個 MinIO 伺服器

MINIO_POLICY_PLUGIN_URL="https://external-authz.example.net:8080/authz"

# All other envvars are optional
MINIO_POLICY_PLUGIN_AUTH_TOKEN="Bearer TOKEN"
MINIO_POLICY_PLUGIN_ENABLE_HTTP2="OFF"
MINIO_POLICY_PLUGIN_COMMENT="External Access Management using PROVIDER"

使用 mc admin config set 命令設定下列組態設定

mc admin config set policy_plugin \
   url="https://external-authz.example.net:8080/authz" \

   # All other config settings are optional
   auth_token="Bearer TOKEN" \
   enable_http2="off" \
   comment="External Access Management using PROVIDER"

驗證和授權流程

應用程式的登入流程如下

  1. 用戶端包含執行 API 呼叫的一部分的驗證資訊

  2. 已設定的身分管理員會驗證用戶端

  3. MinIO 會對已設定的存取管理外掛程式 URL 進行 POST 呼叫,其中包含 API 呼叫的內容和驗證資料

  4. 在成功授權時,存取管理員會傳回 200 OK 回應,其中 JSON 主體為 result true"result" : { "allow" : true }

如果存取管理員拒絕授權請求,MinIO 會自動封鎖並拒絕 API 呼叫。

請求主體範例

以下 JSON 類似於作為 POST 的一部分傳送到已設定的存取管理員 Webhook 的請求主體。

{
   "input": {
      "account": "minio",
      "groups": null,
      "action": "s3:ListBucket",
      "bucket": "test",
      "conditions": {
         "Authorization": [
         "AWS4-HMAC-SHA256 Credential=minio/20220507/us-east-1/s3/aws4_request, SignedHeaders=host;x-amz-content-sha256;x-amz-date, Signature=62012db6c47d697620cf6c68f0f45f6e34894589a53ab1faf6dc94338468c78a"
         ],
         "CurrentTime": [ "2022-05-07T18:31:41Z" ],
         "Delimiter": [ "/" ],
         "EpochTime": [
         "1651948301"
         ],
         "Prefix": [ "" ],
         "Referer": [ "" ],
         "SecureTransport": [ "false" ],
         "SourceIp": [ "127.0.0.1" ],
         "User-Agent": [ "MinIO (linux; amd64) minio-go/v7.0.24 mc/DEVELOPMENT.2022-04-20T23-07-53Z" ],
         "UserAgent": [ "MinIO (linux; amd64) minio-go/v7.0.24 mc/DEVELOPMENT.2022-04-20T23-07-53Z" ],
         "X-Amz-Content-Sha256": [ "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855" ],
         "X-Amz-Date": [ "20220507T183141Z" ],
         "authType": [ "REST-HEADER" ],
         "principaltype": [ "Account" ],
         "signatureversion": [ "AWS4-HMAC-SHA256" ],
         "userid": [ "minio" ],
         "username": [ "minio" ],
         "versionid": [ "" ]
      },
      "owner": true,
      "object": "",
      "claims": {},
      "denyOnly": false
   }
}

回應主體範例

MinIO 要求來自存取管理服務的回應主體必須符合下列兩種格式之一

{ "result" : true }

{ "result" : { "allow" : true } }
本作品採用創用CC 姓名標示 4.0 國際授權條款授權。2020-至今,MinIO, Inc. 創用 CC 授權條款