商业客户
产品
多云
支持Kubernetes 的 MinIO 支持VMware Tanzu 的 MinIO 支持OpenShift 的 MinIO 支持SUSE Rancher 的 MinIO 亚马逊云 Elastic Kubernetes 服务的 MinIO 微软云 Kubernetes 服务的 MinIO 谷歌 Kubernetes Engine 的 MinIO
新特性
多地复制 全球身份和访问管理 加密 存储桶和对象不变性 存储桶和对象版本控制 数据生命周期管理和分层 自动化数据管理界面 监控 可扩展性 亚马逊云 S3 兼容性
混合云对象存储 混合云对象存储
概述 架构
Baremetal 裸机
概览 架构
纠删码计算器 纠删码计算器 参考硬件 参考硬件
解决方案
现代数据湖 现代多引擎数据湖依赖于提供大规模性能的对象存储。了解有关此核心 MinIO 用例的更多信息。 AI&ML 对象存储正在推动人工智能革命。了解 MinIO 如何通过大规模性能来引领这一努力。 集成 浏览我们广泛的集成产品组合 SQL Server 了解如何将 SQL Server 2022 与 MinIO 配对,以便在任何云上对数据运行查询,而无需移动数据。 Commvault(康沃) 了解 Commvault 和 MinIO 如何合作,为任务关键型备份和恢复工作负载提供大规模性能。 snowflake(雪花) 使用雪花数据云查询和分析驻留在 MinIO 上的多个数据源,包括流数据。无需移动数据,只需使用 SnowSQL 进行查询即可。 Splunk(斯普伦克) 了解 MinIO 如何为 Splunk 智能商店提供大规模性能 Veeam 了解 MinIO 和 Veeam 如何合作,为各种备份用例提高性能和可扩展性。 HDFS 迁移 利用 MinIO 的高性能 Kubernetes 原生对象存储实现大数据存储基础架构的现代化和简化。 VMware 了解 MinIO 如何在从持久数据平台到 TKGI 的整个产品组合中与 VMware 集成,以及我们如何支持他们的 Kubernetes 雄心壮志。
文档 博客 资源 中国加速镜像 价格 下载

中文文档

MinIO Linux中文文档

AssumeRoleWithLDAPIdentity

MinIO安全令牌服务(STS) AssumeRoleWithLDAPIdentity API端点使用活动目录或LDAP用户凭证生成临时的 访问凭证。 此页面文档化了 MinIO服务器 AssumeRoleWithLDAPIdentity 端点。 对于使用与S3兼容的SDK实现STS的说明, 请参考该SDK的文档。

MinIO STS的 AssumeRoleWithLDAPIdentity API端点是 按照AWS的: AssumeRoleWithWebIdentity 端点建模的,并具有某些请求/响应元素。 此页面文档化了 MinIO特定的语法,并链接到AWS参考资料,其中包含了所有 共享元素。

访问的MinIO节点

AssumeRoleWithLDAPIdentity 端点具有以下形式:

POST https://minio.example.net?Action=AssumeRoleWithLDAPIdentity[&ARGS]

以下示例使用了所有支持的参数。 将 minio.example.net 主机名替换为您 MinIO 集群的 正确 URL:

POST https://minio.example.net?Action=AssumeRoleWithLDAPIdentity
&LDAPUsername=USERNAME
&LDAPPassword=PASSWORD
&Version=2011-06-15
&Policy={}

请求查询参数

此端点支持以下查询参数:

Parameter

Type

描述

LDAPUsername

string

必需的

指定您想要认证的AD/LDAP用户的 用户名。

LDAPPassword

string

必需的

指定 LDAPUsername 的密码。

Version

string

必需的

指定 2011-06-15 .

DurationSeconds

integer

可选

指定临时凭证过期的秒数。 默认值为 3600

  • 最小值为 900 秒,即 15 分钟。

  • 最大值为 604800 秒,即 7 天。

如果省略了 DurationSeconds ,MinIO 在使用默认 持续时间之前会检查 JWT 令牌中的 exp 声明。 有关 JSON web token 过期的更多信息,请参见 RFC 7519 4.1.4: Expiration Time Claim

Policy

string

可选

指定一个 URL 编码的 JSON 格式的 策略 用作内联会话策略。

  • 最小字符串长度为 1

  • 最大字符串长度为 2048

临时凭据 resulting permissions 是由 LDAPUsername 的 Distinguished Name (DN)匹配的 policy 和指定的内联策略的交集。 应用程序只能执行它们明确被授权执行的 操作。

内联策略可以指定由DN策略中指定的权限允许的子集。 应用程序永远不能假设比DN策略中指定的 更多特权。

省略仅使用 DN 策略。

有关MinIO身份验证和授权的更多信息, 请参见:访问管理

响应元素

此 API 端点的 XML 响应类似于 AWS AssumeRoleWithLDAPIdentity response. 具体来说,MinIO 返回一个 AssumeRoleWithLDAPIdentityResult 对象, 其中 AssumedRoleUser.Credentials 对象包含了由 MinIO 生成的 临时凭据:

  • AccessKeyId - 应用程序用于认证的访问密钥。

  • SecretKeyId - 应用程序用于认证的秘密密钥。

  • Expiration - 证书过期的 RFC3339 日期和时间。

  • SessionToken - 应用程序用于认证的会话令牌。一些

SDK 在使用临时凭证时可能需要此字段。

以下示例与 MinIO STS 的 AssumeRoleWithLDAPIdentity 端点返回的 响应类似:

<?xml version="1.0" encoding="UTF-8"?>
<AssumeRoleWithLDAPIdentityResponse xmlns="https://sts.amazonaws.com/doc/2011-06-15/">
<AssumeRoleWithLDAPIdentityResult>
   <AssumedRoleUser>
      <Arn/>
      <AssumeRoleId/>
   </AssumedRoleUser>
   <Credentials>
      <AccessKeyId>Y4RJU1RNFGK48LGO9I2S</AccessKeyId>
      <SecretAccessKey>sYLRKS1Z7hSjluf6gEbb9066hnx315wHTiACPAjg</SecretAccessKey>
      <Expiration>2019-08-08T20:26:12Z</Expiration>
      <SessionToken>eyJhbGciOiJIUzUxMiIsInR5cCI6IkpXVCJ9.eyJhY2Nlc3NLZXkiOiJZNFJKVTFSTkZHSzQ4TEdPOUkyUyIsImF1ZCI6IlBvRWdYUDZ1Vk80NUlzRU5SbmdEWGo1QXU1WWEiLCJhenAiOiJQb0VnWFA2dVZPNDVJc0VOUm5nRFhqNUF1NVlhIiwiZXhwIjoxNTQxODExMDcxLCJpYXQiOjE1NDE4MDc0NzEsImlzcyI6Imh0dHBzOi8vbG9jYWxob3N0Ojk0NDMvb2F1dGgyL3Rva2VuIiwianRpIjoiYTBiMjc2MjktZWUxYS00M2JmLTg3MzktZjMzNzRhNGNkYmMwIn0.ewHqKVFTaP-j_kgZrcOEKroNUjk10GEp8bqQjxBbYVovV0nHO985VnRESFbcT6XMDDKHZiWqN2vi_ETX_u3Q-w</SessionToken>
   </Credentials>
</AssumeRoleWithLDAPIdentityResult>
<ResponseMetadata/>
</AssumeRoleWithLDAPIdentityResponse>

错误元素

此 API 端点的 XML 错误响应类似于 AWS AssumeRoleWithLDAPIdentity response.

本作品已获得许可 知识共享归属 4.0 国际许可证。 2020-至今。MinIO Inc英文创作, MinIO中国 团队(北京京厂科技有限公司)进行汉化 Creative Commons License
Join Slack 商业支持购买咨询