MinIO-Go客户端v7.0.83版本中IAM凭证获取问题解析

在MinIO-Go客户端v7.0.83版本中，开发者发现了一个与IAM凭证获取相关的重要问题。当使用EC2实例配置文件(Instance Profile)时，通过credentials.NewIAM("")创建的凭证无法正常工作，导致所有S3请求都返回301重定向错误。

问题现象

在EC2实例上运行的应用中，如果使用以下代码创建MinIO客户端：

creds := credentials.NewIAM("")
minioClient, err := minio.New("s3.amazonaws.com", &minio.Options{
    Creds:  creds,
    Region: "eu-central-1",
    Secure: true,
})

所有后续的S3操作都会返回301 Moved Permanently错误。有趣的是，如果在创建客户端前显式调用creds.Get()，问题就会消失：

creds := credentials.NewIAM("")
creds.Get() // 显式获取凭证
minioClient, err := minio.New("s3.amazonaws.com", &minio.Options{
    Creds:  creds,
    Region: "eu-central-1",
    Secure: true,
})

问题根源

这个问题源于v7.0.83版本中对STS终端节点处理的变更。在之前的版本中，大多数凭证提供者都需要明确指定STS终端节点。但在v7.0.83中，当没有指定终端节点时，默认会使用MinIO的STS终端节点。

IAM凭证提供者是唯一允许设置空终端节点的提供者，主要用于以下场景：

1. 使用容器凭证提供者(如ECS/EKS)时，会使用默认的容器凭证终端节点进行认证
2. 当设置了AWS_WEB_IDENTITY_TOKEN_FILE环境变量时，会使用AWS默认的STS终端节点

在这些情况下，应该保留原有的默认处理逻辑。只有在其他情况下，才应该将STS终端节点替换为MinIO的默认STS终端节点。

解决方案

开发团队迅速响应并修复了这个问题。修复方案确保在以下情况下使用正确的AWS STS终端节点：

• 当使用EC2实例元数据服务获取凭证时
• 当使用容器凭证提供者时
• 当使用Web Identity Token认证时

修复后的版本正确处理了EC2实例配置文件场景，使得开发者可以正常使用credentials.NewIAM("")而不需要预先调用Get()方法。

最佳实践

对于使用MinIO-Go客户端与AWS S3交互的开发者，建议：

1. 确保使用最新版本的MinIO-Go客户端
2. 如果必须使用v7.0.83版本，可以考虑显式调用Get()方法作为临时解决方案
3. 在生产环境中充分测试凭证获取逻辑，特别是在容器化部署环境中

这个问题提醒我们，在使用云服务的SDK时，要特别注意版本间的行为变更，特别是在处理认证和凭证这类核心功能时。