-
STS简介
Security Token Service简称;创建「临时的用户身份」和对应的 KEY 与 SECRET,用户在有效内可以凭此进行文件上传与下载活动。
需要注意的是,如果是将 MinIO 运行在 gateway 模式下,同样需要 etcd 的配合使用,才能使用 STS。简介
用户通过 MinIO 提供的 STS 服务,可以获取临时凭证,进而对 MinIO 上的资源进行操作。临时凭证与 MinIO 安装时的默认凭证类似,但有一些细微的差别:正如它的名字一样,临时凭证有一定的有效期。一旦过期,MinIO 将会直接拒绝来自它的任何请求。
临时凭证并不需要存储在 MinIO 应用上,一旦有需要,可以随时请求 STS 服务生成。
使用 STS 有以下几点优势:不需要产生大量的长期凭证
不需要将对存储桶和特定资源的访问权限静态配置在长期凭证中
不需要显性地作废凭证,因为 STS 自带有效期
总的来说,使用 STS 可以减少用户及权限管理带来的一堆琐碎的工作。 -
工具准备
minio安装参照https://blog.csdn.net/liuxiaoming1109/article/details/106280268说明:
sts配置工具aws
minio本身具备sts签名服务,但需要借助第三方工具配置,我们选择aws
因此必须先安装aws应用:// 下载 curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64-2.0.30.zip" -o "awscliv2.zip" // 解压文件 unzip awscliv2.zip //安装,root用户sudo可以去掉 sudo ./aws/install -
给mc绑定minio服务
要让mc控制minio服务,首先得为mc配置minio服务的地址,需要提供:
minio的ip和端口号,minio的用户名和密码,local表示配置本地服务
./mc config host add local http://127.0.0.1:9000 username password
username:账号 password:密码./mc config host add local http://127.0.0.1:9000 admin Test@1234是否成功
cat ~/.mc/config.json{ "version": "9", "hosts": { "gcs": { "url": "https://storage.googleapis.com", "accessKey": "YOUR-ACCESS-KEY-HERE", "secretKey": "YOUR-SECRET-KEY-HERE", "api": "S3v2", "lookup": "dns" }, "local": { "url": "http://127.0.0.1:9000", "accessKey": "admin", "secretKey": "Test@1234", "api": "s3v4", "lookup": "auto" }, "play": { "url": "https://play.min.io", "accessKey": "accessKey", "secretKey": "secretKey", "api": "S3v4", "lookup": "auto" }, "s3": { "url": "https://s3.amazonaws.com", "accessKey": "YOUR-ACCESS-KEY-HERE", "secretKey": "YOUR-SECRET-KEY-HERE", "api": "S3v4", "lookup": "dns" } } } -
使用mc命令为刚刚配置的minio服务绑定访问策略
4.1、 首先需要创建一个json文件,名字可以随便起,键入以下内容Version是版本号,Action里是允许使用s3接口的删除、获取上传对象功能Resource是访问控制,
表示可以访问minio服务的所有bucket,若想限制访问名为test的bucket可替换成”arn:aws:s3:::test/
” ,表示只可访问名为test的bucket
限制访问这一块我们可以在具体编码时实现vim minio.json输入如下json数据到minio.json
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:DeleteObject", "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::*" ] } ] }4.2、接着就是将json文件中的访问策略正式绑定到minio服务上了
//表示为local的minio服务绑定一个叫minio的访问策略,后面是策略文件的地址
/home/minio 是minio安装目录,minio.json存放位置./mc admin policy add local minio /home/minio/minio.json查看绑定的策略
[root@localhost minio]# ./mc admin policy info local minio { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:DeleteObject", "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::*" ] } ] }4.3、创建用户并为该用户绑定策略
策略需要绑定搭配minio用户上,可新建一个,也可使用安装minio服务时的那个
1、创建用户
//为local的minio服务创建一个minio用户,密码为Sts@1234./mc admin user add local minio Sts@12342、绑定策略
//将前面的minio策略绑定给minio用户./mc admin policy set local minio user=minio -
使用aws进行sts配置
为minio服务绑定完策略后,需要使用aws配置该策略
aws configure –profile minio
执行完上面命令后需要进行配置:
一、二行是minio用户的信息,三行是aws服务的站点,这里表示中国北京 第四行是文件类型
如下按输入[root@localhost minio]# aws configure --profile minio AWS Access Key ID [None]: minio AWS Secret Access Key [None]: Sts@1234 Default region name [None]: cn-north-1 Default output format [None]: json配置完的信息可在~/.aws目录下进行查看和修改
cd ~/.aws
如下:[root@localhost software]# cd ~/.aws [root@localhost .aws]# ls config credentials [root@localhost .aws]#以上部署完成,下一篇说明java如何生成STS代码