前言
在上一篇博文 进可攻退可守的存储解决方案 中,有提到两种文件保护方式:一种是多用户方式,每个用户使用单独的 KEY
和 SECRET
上传下载;另外一种则是生成带签名的 URL 给用户上传下载。
多用户方式下,除了创建长期用户,还可以通过 MinIO 提供的 Security Token Service(STS)创建「临时的用户身份」和对应的 KEY
与 SECRET
,用户在有效内可以凭此进行文件上传与下载活动。
需要注意的是,如果是将 MinIO 运行在 gateway
模式下,同样需要 etcd
的配合使用,才能使用 STS。
STS 简介
用户通过 MinIO 提供的 STS 服务,可以获取临时凭证,进而对 MinIO 上的资源进行操作。临时凭证与 MinIO 安装时的默认凭证类似,但有一些细微的差别:
- 正如它的名字一样,临时凭证有一定的有效期。一旦过期,MinIO 将会直接拒绝来自它的任何请求。
- 临时凭证并不需要存储在 MinIO 应用上,一旦有需要,可以随时请求 STS 服务生成。
使用 STS 有以下几点优势:</