MinIO 伺服器文件
客戶登入
產品
MinIO 企業級物件儲存
總覽 架構
功能
適用於公有雲的 MinIO
AWS GCS Azure
適用於私有雲的 MinIO
OpenShift SUSE Rancher Tanzu
適用於裸機的 MinIO
Linux 和 Windows
判斷您的原始和可用容量 Erasure Code 計算器 MinIO 建議的硬體組態 參考硬體
解決方案
AI 儲存 物件儲存正在推動 AI 革命。了解 MinIO 如何透過大規模效能引領 AI 儲存市場。 現代資料湖 現代多引擎資料湖依賴於提供大規模效能的物件儲存。深入了解這個核心的 MinIO 使用案例。 混合雲 有效的多雲儲存策略依賴於利用可以在不同環境中無縫運作的架構和工具。 Equinix 將您的資料重新移轉到您控制的雲端,並使用 Equinix 上的 MinIO 降低成本,同時保持與公有雲的鄰近性。 Splunk 了解 MinIO 如何為 Splunk SmartStore 提供大規模效能。 Snowflake 使用 Snowflake Data Cloud 查詢和分析多個資料來源,包括位於 MinIO 上的串流資料。無需移動資料,只需使用 SnowSQL 查詢即可。 SQL Server 了解如何將 SQL Server 2022 與 MinIO 配對,以便在任何雲端上執行資料查詢,而無需移動資料。 HDFS 移轉 使用 MinIO 的高效能、Kubernetes 原生物件儲存,實現您的巨量資料儲存基礎架構的現代化和簡化。 VMware 了解 MinIO 如何與 VMware 的整個產品組合(從持久資料平台到 TKG)整合,以及我們如何支援其 Kubernetes 雄心。 Veeam 了解 MinIO 和 Veeam 如何合作,為各種備份使用案例推動效能和可擴展性。 Commvault 了解 Commvault 和 MinIO 如何合作,為任務關鍵型備份和還原工作負載提供大規模效能。 整合 瀏覽我們廣泛的整合組合。
社群
GitHub 加入我們的 GitHub 開源社群:探索、實驗、提出問題並做出貢獻。 Slack 頻道 MinIO 社群 Slack 提供了一個開放論壇,用於討論與 MinIO 相關的主題。所有支援均以盡力而為的原則提供。
文件 部落格 資源 訓練 合作夥伴 定價 下載

文件

適用於 Linux 的 MinIO 物件儲存

金鑰加密服務設定

MinIO 伺服器包含三組環境變數,用於管理 MinIO 伺服器如何與金鑰加密服務 (KES)、金鑰管理服務 (KMS) 或靜態金鑰檔案互動。您只能定義三組中的一組。如果定義了多種類型的環境變數組,MinIO 會傳回錯誤。

注意

這些設定沒有與 mc admin config set 一起使用的組態設定選項。

在啟動或重新啟動 MinIO 程序之前,在主機系統中定義這些環境變數的任一組。有關如何定義環境變數,請參閱您的作業系統文件。

重要

每個組態設定都會控制基本的 MinIO 行為和功能。MinIO 強烈建議在應用於生產環境之前,先在較低的環境(例如 DEV 或 QA)中測試組態變更。

金鑰加密服務

定義以下變數以使用金鑰加密服務 (KES) 連接到受支援的第三方金鑰管理服務供應商

MINIO_KMS_KES_ENDPOINT

MinIO 金鑰加密服務 (KES) 程序用於支援 SSE-S3 和 MinIO 後端加密作業的端點。使用 , 分隔多個 KES 端點。

MINIO_KMS_KES_KEY_NAME

在 KES 伺服器上設定的金鑰管理系統 (KMS) 上的外部金鑰名稱,用於執行加密/解密作業。MinIO 將此金鑰用於以下用途:

  • 加密後端資料(IAM、伺服器設定)。

  • 使用 SSE-KMS 的伺服器端加密的預設加密金鑰。

  • 使用 SSE-S3 的伺服器端加密的加密金鑰。

重要

在 MinIO 部署上啟用 SSE 會自動使用預設加密金鑰加密該部署的後端資料。

MinIO *必須* 存取 KES 和外部 KMS 才能解密後端並正常啟動。KMS **必須** 維護並提供對 MINIO_KMS_KES_KEY_NAME 的存取權。您無法稍後停用 KES 或「復原」稍後的 SSE 設定。

MINIO_KMS_KES_API_KEY

使用從 kes identity new 命令取得的 KES API 金鑰向加密服務驗證身份的首選方法。

此環境變數與 MINIO_KMS_KES_KEY_FILEMINIO_KMS_KES_CERT_FILE 環境變數互斥。

MINIO_KMS_KES_KEY_FILE

MINIO_KMS_KES_CERT_FILE x.509 憑證關聯的私鑰,用於向 KES 伺服器驗證身份。KES 伺服器要求客戶端出示其憑證以執行相互 TLS (mTLS)。

請參閱 KES wiki 以取得關於 KES 存取控制的更完整文件。

您還必須設定 MINIO_KMS_KES_CERT_FILE。此變數與 MINIO_KMS_KES_API_KEY 互斥。

MINIO_KMS_KES_CERT_FILE

要呈現給 KES 伺服器的 x.509 憑證。KES 伺服器要求客戶端出示其憑證以執行相互 TLS (mTLS)。

KES 伺服器從憑證計算 身份,並將其與配置的政策進行比較。KES 伺服器僅授予 minio 伺服器對政策明確授予的那些操作的存取權。

請參閱 KES wiki 以取得關於 KES 存取控制的更完整文件。

您還必須設定 MINIO_KMS_KES_KEY_FILE。此變數與 MINIO_KMS_KES_API_KEY 互斥。

MINIO_KMS_KES_CAPATH
選填

允許驗證自我簽署或第三方 CA 的 KES 伺服器憑證。指定您的 KES 部署的 CA 憑證所在位置的路徑。

如果您使用公用憑證授權單位,則不需要此變數。

MINIO_KMS_KES_KEY_PASSWORD
選填

用於加密和解密 TLS 私鑰(如果使用)的密碼。

MinIO 金鑰管理伺服器 (KMS)

定義以下變數以使用 MinIO KMS 來管理金鑰。

MINIO_KMS_SERVER

MinIO 金鑰管理服務 (KMS) 處理程序的端點,用於支援 SSE-S3 和 MinIO 後端加密操作。以 , 分隔多個 KMS 端點。

MINIO_KMS_ENCLAVE

金鑰和身份所在的 MinIO KMS Enclave。

MINIO_KMS_SSE_KEY

當呼叫未指定金鑰身份時,用於 SSE-S3 加密的預設金鑰。

MINIO_KMS_API_KEY

用於向 MinIO KMS 服務驗證身份的憑證。

靜態金鑰檔案

提供靜態 KMS 金鑰或金鑰檔案以用於加密。

MINIO_KMS_SECRET_KEY

形式為 <key-name>:<base64-32byte-key> 的靜態 KMS 金鑰的 base64 形式。實作 KMS API 的子集。

MINIO_KMS_SECRET_KEY_FILE

從中讀取靜態 KMS 金鑰的檔案路徑。

本作品採用 創用 CC 姓名標示 4.0 國際授權條款 授權。2020 年至今,MinIO, Inc. 創用 CC 授權條款