安全与访问
您可以使用 MinIO 控制台执行 MinIO 中提供的几个身份和访问管理功能,例如
创建继承父级权限的子 访问密钥。
查看、管理和创建访问 策略。
使用内置的 MinIO IDP 创建和管理 用户凭据 或组,连接到一个或多个 OIDC 提供程序,或添加 AD/LDAP 提供程序以进行 SSO。
访问密钥
“访问密钥”或“服务账户”部分显示与已认证用户关联的所有 访问密钥。特定用户已存在的访问密钥摘要列表包括访问密钥、过期时间、状态、名称和描述。
访问密钥支持为应用程序提供继承“父”用户权限的身份验证凭据。
对于使用外部身份管理器(如 Active Directory 或与 OIDC 兼容的提供程序)的部署,访问密钥为用户提供了一种创建长期凭据的方法。
您可以选择访问密钥行以查看其自定义策略(如果存在)。
您可以从此屏幕创建或修改策略。访问密钥策略不能超过授予父用户的权限。
您可以通过选择 创建访问密钥 来创建一个新的访问密钥。
控制台会自动生成访问密钥和密码。您可以选择密码字段上的眼睛图标以显示值。您可以根据需要覆盖这些值。
您可以为访问密钥设置一个自定义策略,以进一步限制使用该密钥进行身份验证的用户授予的权限。选择 限制超出用户策略 以打开策略编辑器并根据需要进行修改。
在选择 创建 创建访问密钥之前,请确保已将访问密钥密码保存到安全位置。创建访问密钥后,您无法检索或重置密码值。
要轮换应用程序的凭据,请创建一个新的访问密钥,并在应用程序更新为使用新凭据后删除旧的访问密钥。
策略
“策略”部分显示 MinIO 部署上的所有 策略。“策略”部分允许您创建、修改或删除策略。
策略 定义已认证用户可以访问的授权操作和资源。每个策略都描述了一个或多个用户、用户组或访问密钥可以执行的操作或他们必须满足的条件。
策略是 JSON 格式的文本文件,与 Amazon AWS 身份和访问管理策略的语法、结构和行为兼容。有关使用策略在 MinIO 中管理访问的详细信息,请参阅 基于策略的操作控制。
如果已认证用户不具备 所需的管理员权限,则此部分或其内容可能不可见。
选择 + 创建策略 以创建一个新的 MinIO 策略。
选择策略行以管理策略详细信息。
“摘要”视图显示策略的摘要。
“用户”视图显示分配给策略的所有用户。
“组”视图显示分配给策略的所有组。
“原始策略”视图显示原始 JSON 策略。
分别使用“用户”和“组”视图将创建的策略分配给用户和组。
身份
“身份” 部分提供了用于管理 MinIO 托管用户 的界面。
本部分包含以下子部分。如果已认证的用户没有 所需的管理权限,则某些子部分可能不可见。
用户
“用户” 部分显示部署中所有 MinIO 托管的 用户。
对于使用外部身份管理器(如 Active Directory 或兼容 OIDC 的提供商)的部署,此部分不可见。
组
“组” 部分显示 MinIO 部署中的所有 组。
对于使用外部身份管理器(如 Active Directory 或兼容 OIDC 的提供商)的部署,此部分不可见。
选择“创建组”以创建新的 MinIO 组。
您可以在创建过程中将新用户分配到该组。
您可以在创建后为组分配策略。
选择组行以打开该组的详细信息。
您可以从“成员”视图修改组成员资格。
您可以从“策略”视图修改组分配的策略。
更改用户的组成员资格会修改用户继承的策略。有关更多信息,请参阅 访问管理。
OpenID
MinIO 支持使用 兼容 OpenID Connect (OIDC) 的身份提供商 (IDP) 来外部管理用户身份。
OpenID 提供商的示例包括:
Okta
KeyCloak
Dex
Google
Facebook
配置外部 IDP 可启用单点登录工作流,其中应用程序在访问 MinIO 之前对外部 IDP 进行身份验证。
使用本节中的屏幕查看、添加或编辑部署的 OIDC 配置。MinIO 支持任意数量的活动 OIDC 配置。
LDAP
MinIO 支持使用 Active Directory 或 LDAP (AD/LDAP) 服务来外部管理用户身份。配置外部身份提供商 (IDP) 可启用单点登录 (SSO) 工作流,其中应用程序在访问 MinIO 之前对外部 IDP 进行身份验证。
使用本节中的屏幕查看、添加或编辑部署的 LDAP 配置。MinIO 只支持一个活动的 LDAP 配置。
MinIO 查询 Active Directory/LDAP 服务器以验证客户端指定的凭据。如果配置为这样做,MinIO 还会在 AD/LDAP 服务器上执行组查找。