Minio对象存储STS部署

已于 2023-02-08 09:30:16 修改
阅读量1.9k 收藏 2
点赞数
分类专栏: minio 文章标签: linux 服务器 minio STS
于 2023-02-07 19:40:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuxiaoming1109/article/details/107221489
版权

  1. STS简介
    Security Token Service简称;创建「临时的用户身份」和对应的 KEY 与 SECRET,用户在有效内可以凭此进行文件上传与下载活动。
    需要注意的是,如果是将 MinIO 运行在 gateway 模式下,同样需要 etcd 的配合使用,才能使用 STS。

    简介
    用户通过 MinIO 提供的 STS 服务,可以获取临时凭证,进而对 MinIO 上的资源进行操作。临时凭证与 MinIO 安装时的默认凭证类似,但有一些细微的差别:

    正如它的名字一样,临时凭证有一定的有效期。一旦过期,MinIO 将会直接拒绝来自它的任何请求。
    临时凭证并不需要存储在 MinIO 应用上,一旦有需要,可以随时请求 STS 服务生成。
    使用 STS 有以下几点优势:

    不需要产生大量的长期凭证
    不需要将对存储桶和特定资源的访问权限静态配置在长期凭证中
    不需要显性地作废凭证,因为 STS 自带有效期
    总的来说,使用 STS 可以减少用户及权限管理带来的一堆琐碎的工作。

  2. 工具准备
    minio安装参照

    https://blog.csdn.net/liuxiaoming1109/article/details/106280268

    说明:
    sts配置工具aws
    minio本身具备sts签名服务,但需要借助第三方工具配置,我们选择aws
    因此必须先安装aws应用:

    // 下载
curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64-2.0.30.zip" -o "awscliv2.zip"
// 解压文件
unzip awscliv2.zip
//安装,root用户sudo可以去掉
sudo ./aws/install

  3. 给mc绑定minio服务
    要让mc控制minio服务,首先得为mc配置minio服务的地址,需要提供:
    minio的ip和端口号,minio的用户名和密码,local表示配置本地服务
    ./mc config host add local http://127.0.0.1:9000 username password
    username:账号 password:密码

    ./mc config host add local http://127.0.0.1:9000 admin Test@1234

    是否成功
    cat ~/.mc/config.json

    	{
        "version": "9",
        "hosts": {
                "gcs": {
                        "url": "https://storage.googleapis.com",
                        "accessKey": "YOUR-ACCESS-KEY-HERE",
                        "secretKey": "YOUR-SECRET-KEY-HERE",
                        "api": "S3v2",
                        "lookup": "dns"
                },
                "local": {
                        "url": "http://127.0.0.1:9000",
                        "accessKey": "admin",
                        "secretKey": "Test@1234",
                        "api": "s3v4",
                        "lookup": "auto"
                },
                "play": {
                        "url": "https://play.min.io",
                        "accessKey": "accessKey",
                        "secretKey": "secretKey",
                        "api": "S3v4",
                        "lookup": "auto"
                },
                "s3": {
                        "url": "https://s3.amazonaws.com",
                        "accessKey": "YOUR-ACCESS-KEY-HERE",
                        "secretKey": "YOUR-SECRET-KEY-HERE",
                        "api": "S3v4",
                        "lookup": "dns"
                }
        }
	}

  4. 使用mc命令为刚刚配置的minio服务绑定访问策略
    4.1、 首先需要创建一个json文件,名字可以随便起,键入以下内容Version是版本号,Action里是允许使用s3接口的删除、获取上传对象功能Resource是访问控制,表示可以访问minio服务的所有bucket,若想限制访问名为test的bucket可替换成"arn:aws:s3:::test/" ,表示只可访问名为test的bucket
    限制访问这一块我们可以在具体编码时实现

    vim minio.json

    输入如下json数据到minio.json

    {
    "Version": "2012-10-17",
    "Statement": [
         {
            "Effect": "Allow",
            "Action": [
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ]
        }
    ]
}

    4.2、接着就是将json文件中的访问策略正式绑定到minio服务上了
    //表示为local的minio服务绑定一个叫minio的访问策略,后面是策略文件的地址
    /home/minio 是minio安装目录,minio.json存放位置

    ./mc admin policy add local minio /home/minio/minio.json

    查看绑定的策略

    [root@localhost minio]# ./mc admin policy info local minio
{
 "Version": "2012-10-17",
 "Statement": [
  {
   "Effect": "Allow",
   "Action": [
    "s3:DeleteObject",
    "s3:GetObject",
    "s3:PutObject"
   ],
   "Resource": [
    "arn:aws:s3:::*"
   ]
  }
 ]
}

    4.3、创建用户并为该用户绑定策略
    策略需要绑定搭配minio用户上,可新建一个,也可使用安装minio服务时的那个
    1、创建用户
    //为local的minio服务创建一个minio用户,密码为Sts@1234

    ./mc admin user add local minio Sts@1234

    2、绑定策略
    //将前面的minio策略绑定给minio用户

    ./mc admin policy set local minio user=minio

  5. 使用aws进行sts配置
    为minio服务绑定完策略后,需要使用aws配置该策略
    aws configure --profile minio
    执行完上面命令后需要进行配置:
    一、二行是minio用户的信息,三行是aws服务的站点,这里表示中国北京 第四行是文件类型
    如下按输入

    [root@localhost minio]# aws configure --profile minio
AWS Access Key ID [None]: minio
AWS Secret Access Key [None]: Sts@1234
Default region name [None]: cn-north-1
Default output format [None]: json

    配置完的信息可在~/.aws目录下进行查看和修改
    cd ~/.aws
    如下:

    [root@localhost software]# cd ~/.aws
[root@localhost .aws]# ls
config  credentials
[root@localhost .aws]#

    以上部署完成,下一篇说明java如何生成STS代码

明言
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
minio生成临时凭据(sts)可控制临时凭据持续时长
qq_60754334的博客
06-06 1127
项目实施环境:已使用wsl(适用于windows的linux子系统)启动minio服务;使用windows登录minio控制台,进行桶、用户、策略的设置。
【避坑】minio临时凭证STS实现上传,下载
07-30 7701
minio临时凭证STS实现上传,下载
minio实现STS签名服务
程序猿一只
01-11 3809
1、背景 在上一篇中:Docker部署Minio并与Springboot的集成_木星mx的博客-CSDN博客 我们介绍了如何部署minio和与springboot的集成方法,但是在上传文件时,采用的是从浏览器获取参数读取本地文件上传,当项目部署到线上时,用户和项目服务处于不同机器上,这种方式就不适用了,因此需要进行升级。 升级后的效果是:项目服务只提供签名服务,用户通过访问项目提供的接口获取签名,然后用户使用签名上传文件,实现了用户到oss端对端的文件传...
linux和java项目中minio中利用STS获取签名
qq164425443的博客
10-10 906
这里不再演示如何下载aws和mc工具,网上有很多,可以自己找。这里我只说下一些命令的基本用法。这里的docker_minio就是上面创建的docker_minio。找原因是第二次做限定的时候参数没写对。这里一定要写对参数就行了。为了让mc命令全局使用,假如你的mc文件在/home下。上面链接有,我第一次报错403。
MINIO服务器的临时认证Token(STS)
lwq657359703的博客
09-28 8445
MINIO是类似阿里的OSS云存储服务器。它支持AWS S3服务器的一些接口。 1.搭建MINIO服务器 mkdir /usr/local/minio mkdir /usr/local/minio/etc mkdir /usr/local/minio/data cd /usr/local/minio # 等待下载完成 curl -O https://dl.minio.io/server/minio/release/linux-amd64/minio chmod 750 minio # 改成自己的
MinioSTS方式获得临时凭据上传文件
张云飞Vir的专栏
04-12 2369
一、写在前面 一个常见的场景是:需要让客户端来上传图片,面临的安全性问题。给与客户端永久凭据无疑是很大风险的,我们还可以选择“给予一个临时凭据,这个凭据关联到一个 授权的用户,我们可以随时停用和修改这个用户具有的权限” Minio提供了STS 的方式来实现这个方法。 MinIO安全令牌服务(STS)API允许应用程序生成用于访问MinIO部署的临时凭据。参考https://min.io/docs...
minio部署与使用
北国有鱼的博客
07-23 3799
一、部署minio容器 拉取镜像 docker pull minio/minio 编写启动容器脚本(/data/minio) sudo vim mino.sh docker run -d \ -p 80:9000 \ --name=minio \ --restart=on-failure:3 \ -e "MINIO_ACCESS_KEY=admin" \ -e "MINIO_SECRET_KEY=password" \ -v /etc/localtime:/etc/localtime
docs:MinIO对象存储文档
02-05
MinIO文件 要求 python3(任何版本都可以,最好是最新版本) 建议创建一个虚拟环境以保持事物的简洁明了: 首先克隆存储库。 cd进入克隆的仓库。 您可能需要git fetch刷新存储库。 一旦进入存储库根目录,请运行...
Minio对象存储及Springboot整合Minio分片上传文章-代码
02-23
Minio对象存储及Springboot整合Minio分片上传文章----代码
minio对象存储服务
04-21
minio 兼容Amason的S3分布式对象存储项目,采用Golang实现,客户端支持Java,Python,Javacript, Golang语言。 Minio可以做为云存储的解决方案用来保存海量的图片,视频,文档。由于采用Golang实现,服务端可以工作 ...
minio-js:适用于Java的MinIO Client SDK
05-11
用于Amazon S3兼容云存储的MinIO JavaScript库 MinIO JavaScript客户端SDK提供了简单的API,可以访问任何与Amazon S3兼容的对象存储服务器。 本快速入门指南将向您展示如何安装客户端SDK并执行示例JavaScript程序。 有关API和示例的完整列表,请查看文档。 本文档假定您已经安装了一个有效的设置。 从NPM下载 npm install --save minio 从源下载 git clone https://github.com/minio/minio-js cd minio-js npm install npm install -g 与TypeScript一起使用 npm install --save-dev @types/minio 初始化MinIO客户端 您需要五个项目才能连接到MinIO对象存储服务器。 参量 描述 终点
minio windows版本对象存储
08-09
MinIO 是一个基于Apache License v2.0开源协议的对象存储服务。它兼容亚马逊S3云存储服务接口,非常适合于存储大容量非结构化的数据,例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等,而一个对象文件可以是...
minio文件存储服务
08-16
新建一个目录存放minio文件,如 D:\minioData,CMD进入刚刚下载的minio.exe所在目录,直接在cmd下运行:minio.exe server D:\minioData 启动成功以后如记住显示的access Key和Secret Key (默认全是minioadmin) ...
minio使用临时授权(STS)无法上传对象至bucket
weixin_43847888的博客
04-26 1953
项目场景: 提示:这里简述项目相关背景: 最近新整合minio进行文件的存储,然后需要开放二次策略进行一个临时授权。Java版本11,minio版本8.0.3 问题描述 根据网上的一些教程,成功的整合了minio(具体教程:https://stevenocean.github.io/2021/01/12/minio-sts-assumerole-sample.html),只是进行二次策略进行STS的时候,发现了无法上传对象到bucket,一直报错,提示的是AccessDenied 对应的策略如下 {
Minio(二) | Minio多用户权限控制
热门推荐
qq_38425803的博客
03-23 2万+
文章目录前言Minio客户端的使用权限控制主流程测试Amazon S3 定义的操作:即各种权限配置 前言         前文我们学习了minio的基本概念与搭建,那么如果我们有n个系统,n个系统都在使用同一套minio,那么如何来控制每个系统的访问权限呢???本文则重在解决此问题。 Minio客户端的使用 MinIO客户端快速入门指南        &nbs
OSS对象存储 STS Token 时长和个数限制
书页 树叶
10-23 2612
Error code: InvalidParameter.DurationSeconds Error message: The Min/Max value of DurationSeconds is 15min/1hr. 以上是一条有关STS token 的时长设置。最短15分钟,最长1小时。 相关函数 AssumeRoleRequest.setDurationSeconds(long)。那么这个long类型参数的设置范围就只能在 60*15L到60*60L范围。 同时,STS,一个主账号包括RAM子账
亚马逊云AWS,MINIO,阿里云OSS,华为云OBS主流文件系统STS服务端配置手册
prodigal_jackson的博客
11-15 2468
亚马逊云AWS,MINIO,阿里云OSS,华为云OBS主流文件服务系统配置STS访问保姆级教程
Linux|minio对象存储服务的部署和初步使用总结
zsk_john的技术分享专用博客
05-19 3598
minio是一个非常轻量化的对象存储服务,是可以算到云原生领域的。 该服务是使用go语言编写的,因此,主文件就一个文件,它的下载,部署什么的都是非常简单的,一般两三步就可以搭建好了,只是有一些细节问题需要在部署使用的时候注意。 本文将就一个可用的minio存储服务部署做一个尽量详细的讲解,并探讨如何将该技术落地
运维.Linux下执行定时任务(上:Cron简介与用法解析)
最新发布
jclee95的个人博客
06-25 1398
介绍Linux/Linux系统下,用于执行定时任务的Cron
minio 对象存储
07-27
您可以通过自建Minio对象存储集群的方式来满足对存储服务的需求,特别是在不使用云厂商提供的存储服务的情况下。\[1\] Minio的官方网站是https://min.io/,您可以在该网站上找到更多关于Minio的信息和文档。\[2\] \...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值