MinIO Server 文档
客户登录
产品
MinIO 企业对象存储
概述 架构
功能
MinIO for 公有云
AWS GCS Azure
MinIO for 私有云
OpenShift SUSE Rancher Tanzu
MinIO for 裸机
Linux 和 Windows
确定原始容量和可用容量 擦除码计算器 MinIO 推荐的硬件配置 参考硬件
解决方案
AI 存储 对象存储正在推动 AI 革命。了解 MinIO 如何通过大规模性能引领 AI 存储市场。 现代数据湖 现代的多引擎数据湖依赖于能够提供大规模性能的对象存储。了解更多关于这个核心 MinIO 用例的信息。 混合云 有效的多云存储策略依赖于利用可以在不同环境中无缝运行的架构和工具。 Equinix 将您的数据迁移到您控制的云中,在 Equinix 上使用 MinIO 以降低成本,同时保持公共云邻近性。 Splunk 了解 MinIO 如何为 Splunk SmartStore 提供大规模性能。 Snowflake 使用 Snowflake 数据云查询和分析多个数据源,包括存储在 MinIO 上的流数据。无需移动数据,只需使用 SnowSQL 查询即可。 SQL Server 了解如何将 SQL Server 2022 与 MinIO 配合使用,在任何云上运行您的数据查询 - 无需移动数据。 HDFS 迁移 使用 MinIO 高性能、Kubernetes 原生对象存储现代化和简化您的海量数据存储基础设施。 VMware 了解 MinIO 如何与 VMware 的整个产品组合集成,从持久数据平台到 TKG,以及我们如何支持他们的 Kubernetes 愿景。 Veeam 了解 MinIO 和 Veeam 如何合作,为各种备份用例提供性能和可扩展性。 Commvault 了解 Commvault 和 MinIO 如何合作,为关键任务备份和恢复工作负载提供大规模性能。 集成 浏览我们庞大的集成组合。
社区
GitHub 加入我们的 GitHub 开源社区:探索、实验、提问和贡献。 Slack 频道 MinIO 社区 Slack 为讨论与 MinIO 相关的主题提供了一个开放的论坛。所有支持都基于尽力而为的原则提供。
文档 博客 资源 培训 合作伙伴 定价 下载

文档

MinIO 对象存储 for Linux

AssumeRoleWithWebIdentity

MinIO 安全令牌服务 (STS) AssumeRoleWithWebIdentity API 端点使用从 已配置的 OpenID 身份提供者 (IDP) 返回的 JSON Web 令牌 (JWT) 生成临时访问凭据。此页面记录 MinIO 服务器 AssumeRoleWithWebIdentity 端点。有关使用 S3 兼容 SDK 实现 STS 的说明,请参阅该 SDK 的文档。

MinIO STS AssumeRoleWithWebIdentity API 端点是根据 AWS AssumeRoleWithWebIdentity 端点建模的,并共享某些请求/响应元素。此页面记录特定于 MinIO 的语法,并链接到 AWS 参考,其中包含所有共享元素。

请求端点

AssumeRoleWithWebIdentity 端点具有以下形式

POST https://minio.example.net?Action=AssumeRoleWithWebIdentity[&ARGS]

以下示例使用所有支持的参数。将 minio.example.net 主机名替换为您 MinIO 集群的相应 URL

POST https://minio.example.net?Action=AssumeRoleWithWebIdentity
&WebIdentityToken=TOKEN
&Version=2011-06-15
&DurationSeconds=86000
&Policy={}

请求查询参数

此端点支持以下查询参数

参数

类型

描述

WebIdentityToken

字符串

必需

指定由 已配置的 OpenID 身份提供者 返回的 JSON Web 令牌 (JWT)。

版本

字符串

必需

指定 2011-06-15

DurationSeconds

整数

可选

指定临时凭据到期后的秒数。默认为 3600

  • 最小值为 900 或 15 分钟。

  • 最大值为 604800 或 7 天。

如果省略了 DurationSeconds,则 MinIO 会在使用默认持续时间之前检查 JWT 令牌的 exp 声明。有关 JSON web 令牌到期时间的信息,请参阅 RFC 7519 4.1.4: Expiration Time Claim

策略

字符串

可选

指定 URL 编码的 JSON 格式的 策略,以用作内联会话策略。

  • 最小字符串长度为 1

  • 最大字符串长度为 2048

临时凭据的结果权限是作为 JWT 声明 部分指定的策略和指定的内联策略之间的交集。应用程序只能执行它们被明确授权执行的操作。

内联策略可以指定 JWT 声明策略允许的权限子集。应用程序永远不能承担超过 JWT 声明策略中指定的权限。

省略以仅使用 JWT 声明策略。

有关 MinIO 身份验证和授权的更多信息,请参阅 访问管理

RoleArn

字符串

可选

用于所有用户身份验证请求的角色 Amazon 资源编号 (ARN)。如果使用,必须通过 role_policy 配置参数或 MINIO_IDENTITY_OPENID_ROLE_POLICY 环境变量为 RoleArn 的提供者定义匹配的 OIDC RolePolicy。

使用时,所有有效的授权请求都将承担由 RolePolicy 提供的相同权限集。您可以使用 OpenID 策略变量 创建可对每个用户有权访问的内容进行编程管理的策略。

如果您没有提供 RoleArn,MinIO 会尝试通过基于 JWT 的声明进行授权。

响应元素

此 API 端点的 XML 响应类似于 AWS 的 AssumeRoleWithWebIdentity 响应。具体而言,MinIO 返回一个 AssumeRoleWithWebIdentityResult 对象,其中 AssumedRoleUser.Credentials 对象包含 MinIO 生成的临时凭据。

  • AccessKeyId - 应用程序用于身份验证的访问密钥。

  • SecretKeyId - 应用程序用于身份验证的密钥。

  • Expiration - 凭据过期后的 ISO-8601 日期时间。

  • SessionToken - 应用程序用于身份验证的会话令牌。一些 SDK 在使用临时凭据时可能需要此字段。

以下示例类似于 MinIO STS AssumeRoleWithWebIdentity 端点返回的响应。

<?xml version="1.0" encoding="UTF-8"?>
<AssumeRoleWithWebIdentityResponse xmlns="https://sts.amazonaws.com/doc/2011-06-15/">
<AssumeRoleWithWebIdentityResult>
   <AssumedRoleUser>
      <Arn/>
      <AssumeRoleId/>
   </AssumedRoleUser>
   <Credentials>
      <AccessKeyId>Y4RJU1RNFGK48LGO9I2S</AccessKeyId>
      <SecretAccessKey>sYLRKS1Z7hSjluf6gEbb9066hnx315wHTiACPAjg</SecretAccessKey>
      <Expiration>2019-08-08T20:26:12Z</Expiration>
      <SessionToken>eyJhbGciOiJIUzUxMiIsInR5cCI6IkpXVCJ9.eyJhY2Nlc3NLZXkiOiJZNFJKVTFSTkZHSzQ4TEdPOUkyUyIsImF1ZCI6IlBvRWdYUDZ1Vk80NUlzRU5SbmdEWGo1QXU1WWEiLCJhenAiOiJQb0VnWFA2dVZPNDVJc0VOUm5nRFhqNUF1NVlhIiwiZXhwIjoxNTQxODExMDcxLCJpYXQiOjE1NDE4MDc0NzEsImlzcyI6Imh0dHBzOi8vbG9jYWxob3N0Ojk0NDMvb2F1dGgyL3Rva2VuIiwianRpIjoiYTBiMjc2MjktZWUxYS00M2JmLTg3MzktZjMzNzRhNGNkYmMwIn0.ewHqKVFTaP-j_kgZrcOEKroNUjk10GEp8bqQjxBbYVovV0nHO985VnRESFbcT6XMDDKHZiWqN2vi_ETX_u3Q-w</SessionToken>
   </Credentials>
</AssumeRoleWithWebIdentityResult>
<ResponseMetadata/>
</AssumeRoleWithWebIdentityResponse>

错误元素

此 API 端点的 XML 错误响应类似于 AWS 的 AssumeRoleWithWebIdentity 响应

这项工作是在 知识共享署名 4.0 国际许可协议 下授权的。2020 年至今,MinIO, Inc. 知识共享许可协议