MinIO 服务器文档
客户登录
产品
MinIO 企业对象存储
概述 架构
功能
适用于公有云的 MinIO
AWS GCS Azure
适用于私有云的 MinIO
OpenShift SUSE Rancher Tanzu
适用于裸机的 MinIO
Linux 和 Windows
确定您的原始容量和可用容量 擦除码计算器 MinIO 推荐的硬件配置 参考硬件
解决方案
AI 存储 对象存储正在推动 AI 革命。了解 MinIO 如何通过大规模性能引领 AI 存储市场。 现代数据湖 现代的多引擎数据湖依赖于能够提供大规模性能的对象存储。详细了解此 MinIO 核心用例。 混合云 有效的混合云存储策略依赖于利用能够在各种环境中无缝运行的架构和工具。 Equinix 将您的数据迁移到您控制的云中,在 Equinix 上使用 MinIO 以降低成本,同时保持与公有云的邻近性。 Splunk 了解 MinIO 如何为 Splunk SmartStore 提供大规模性能。 Snowflake 使用 Snowflake Data Cloud 查询和分析驻留在 MinIO 上的多个数据源,包括流数据。无需移动数据,只需使用 SnowSQL 查询即可。 SQL Server 了解如何将 SQL Server 2022 与 MinIO 配对,以便在任何云上运行您数据的查询 - 无需移动数据。 HDFS 迁移 使用 MinIO 提供的高性能、Kubernetes 原生对象存储,使您的大数据存储基础设施现代化并简化。 VMware 了解 MinIO 如何与 VMware 在整个产品组合中集成,从持久数据平台到 TKG,以及我们如何支持他们的 Kubernetes 愿景。 Veeam 了解 MinIO 和 Veeam 如何合作推动各种备份用例的性能和可扩展性。 Commvault 了解 Commvault 和 MinIO 如何合作提供大规模性能,以满足关键任务备份和恢复工作负载。 集成 浏览我们庞大的集成产品组合。
社区
GitHub 加入我们的 GitHub 开源社区:探索、实验、提问和贡献。 Slack 频道 MinIO 社区 Slack 提供了一个开放的论坛,用于讨论与 MinIO 相关的话题。所有支持均以尽力而为的方式提供。
文档 博客 资源 培训 合作伙伴 定价 下载

文档

MinIO 对象存储 for Linux

MinIO 外部访问管理插件

概述

MinIO 访问管理插件提供了一个 REST 接口,用于通过 Webhook 服务卸载授权。

启用后,MinIO 会将每个 API 调用的请求和凭据详细信息发送到配置的外部 HTTP(S) 端点,并查找 ALLOWDENY 的响应。因此,MinIO 可以将访问管理委托给外部系统,而不是依赖于 S3 基于策略的访问控制

配置设置

您可以使用以下环境变量或配置设置配置 MinIO 外部访问管理插件。

将以下 环境变量 指定到部署中的每个 MinIO 服务器。

MINIO_POLICY_PLUGIN_URL="https://external-authz.example.net:8080/authz"

# All other envvars are optional
MINIO_POLICY_PLUGIN_AUTH_TOKEN="Bearer TOKEN"
MINIO_POLICY_PLUGIN_ENABLE_HTTP2="OFF"
MINIO_POLICY_PLUGIN_COMMENT="External Access Management using PROVIDER"

使用 mc admin config set 命令设置以下配置设置。

mc admin config set policy_plugin \
   url="https://external-authz.example.net:8080/authz" \

   # All other config settings are optional
   auth_token="Bearer TOKEN" \
   enable_http2="off" \
   comment="External Access Management using PROVIDER"

身份验证和授权流程

应用程序的登录流程如下所示

  1. 客户端在执行 API 调用时包含身份验证信息。

  2. 配置的身份管理器对客户端进行身份验证。

  3. MinIO 对配置的访问管理插件 URL 发出 POST 调用,其中包含 API 调用的上下文和身份验证数据。

  4. 授权成功后,访问管理器将返回一个 200 OK 响应,其 JSON 响应体为 result true"result" : { "allow" : true }

如果访问管理器拒绝授权请求,MinIO 将自动阻止并拒绝 API 调用。

请求体示例

以下 JSON 类似于作为 POST 请求的一部分发送到已配置的访问管理器 Webhook 的请求体。

{
   "input": {
      "account": "minio",
      "groups": null,
      "action": "s3:ListBucket",
      "bucket": "test",
      "conditions": {
         "Authorization": [
         "AWS4-HMAC-SHA256 Credential=minio/20220507/us-east-1/s3/aws4_request, SignedHeaders=host;x-amz-content-sha256;x-amz-date, Signature=62012db6c47d697620cf6c68f0f45f6e34894589a53ab1faf6dc94338468c78a"
         ],
         "CurrentTime": [ "2022-05-07T18:31:41Z" ],
         "Delimiter": [ "/" ],
         "EpochTime": [
         "1651948301"
         ],
         "Prefix": [ "" ],
         "Referer": [ "" ],
         "SecureTransport": [ "false" ],
         "SourceIp": [ "127.0.0.1" ],
         "User-Agent": [ "MinIO (linux; amd64) minio-go/v7.0.24 mc/DEVELOPMENT.2022-04-20T23-07-53Z" ],
         "UserAgent": [ "MinIO (linux; amd64) minio-go/v7.0.24 mc/DEVELOPMENT.2022-04-20T23-07-53Z" ],
         "X-Amz-Content-Sha256": [ "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855" ],
         "X-Amz-Date": [ "20220507T183141Z" ],
         "authType": [ "REST-HEADER" ],
         "principaltype": [ "Account" ],
         "signatureversion": [ "AWS4-HMAC-SHA256" ],
         "userid": [ "minio" ],
         "username": [ "minio" ],
         "versionid": [ "" ]
      },
      "owner": true,
      "object": "",
      "claims": {},
      "denyOnly": false
   }
}

响应体示例

MinIO 要求访问管理服务返回的响应体符合以下两种格式之一。

{ "result" : true }

{ "result" : { "allow" : true } }
本作品根据知识共享署名4.0国际许可协议授权。2020 年至今,MinIO, Inc. 知识共享许可协议