文档

安全性和访问

您可以使用 MinIO 控制台执行 MinIO 中提供的几个身份和访问管理功能,例如

  • 创建继承父级权限的子访问密钥

  • 查看、管理和创建访问策略

  • 使用内置的 MinIO IDP 创建和管理用户凭据或组,连接到一个或多个 OIDC 提供商,或添加 AD/LDAP 提供商以进行 SSO。

访问密钥

访问密钥”或“服务帐户”部分显示与已认证用户关联的所有访问密钥。特定用户已存在的访问密钥摘要列表包括访问密钥、过期时间、状态、名称和描述。

访问密钥支持为应用程序提供身份验证凭据,这些凭据继承自“父”用户的权限。

对于使用外部身份管理器(如 Active Directory 或兼容 OIDC 的提供商)的部署,访问密钥为用户提供了一种创建长期凭据的方法。

  • 您可以选择访问密钥行以查看其自定义策略(如果存在)。

    您可以从此屏幕创建或修改策略。访问密钥策略不得超过授予父用户的权限。

  • 您可以通过选择创建访问密钥来创建新的访问密钥。

    控制台自动生成访问密钥和密码。您可以选择密码字段上的眼睛图标以显示值。您可以根据需要覆盖这些值。

    您可以为访问密钥设置自定义策略,以进一步限制授予使用该密钥进行身份验证的用户的权限。选择限制超出用户策略以打开策略编辑器并根据需要进行修改。

    在选择创建创建访问密钥之前,请确保已将访问密钥密码保存到安全位置。创建访问密钥后,无法检索或重置密码值。

    要轮换应用程序的凭据,请创建一个新的访问密钥,并在应用程序更新为使用新凭据后删除旧的访问密钥。

策略

策略”部分显示 MinIO 部署上的所有策略。在“策略”部分,您可以创建、修改或删除策略。

策略定义经过身份验证的用户有权执行的授权操作和资源。每个策略都描述了一个或多个用户、用户组或访问密钥可以执行的操作,或者他们必须满足的条件。

这些策略是 JSON 格式的文本文件,与 Amazon AWS Identity and Access Management 策略的语法、结构和行为兼容。有关使用策略在 MinIO 中管理访问的详细信息,请参阅基于策略的访问控制

如果经过身份验证的用户没有所需的管理权限,则此部分或其内容可能不可见。

  • 选择+ 创建策略以创建新的 MinIO 策略。

  • 选择策略行以管理策略详细信息。

    摘要”视图显示策略的摘要。

    用户”视图显示分配给策略的所有用户。

    ”视图显示分配给策略的所有组。

    原始策略”视图显示原始 JSON 策略。

分别使用“用户”和“”视图将创建的策略分配给用户和组。

身份

身份”部分为MinIO 托管用户提供管理界面。

本节包含以下小节。如果经过身份验证的用户没有所需的管理权限,则某些小节可能不可见。

用户

用户”部分显示部署上的所有 MinIO 托管用户

对于使用外部身份管理器(例如 Active Directory 或兼容 OIDC 的提供商)的部署,此部分不可见。

  • 选择创建用户以创建新的 MinIO 托管用户。

    您可以在创建过程中将策略分配给用户。

  • 选择用户的行以查看该用户的详细信息。

    您可以查看和修改用户分配的策略

    您还可以查看和管理与用户关联的任何访问密钥

”部分显示 MinIO 部署上的所有

对于使用外部身份管理器(例如 Active Directory 或兼容 OIDC 的提供商)的部署,此部分不可见。

  • 选择创建组以创建新的 MinIO 组。

    您可以在创建过程中将新用户分配到该组。

    您可以在创建后将策略分配给该组。

  • 选择组行以打开该组的详细信息。

    您可以从“成员”视图修改组成员资格。

    您可以从“策略”视图修改组分配的策略。

    更改用户的组成员资格会修改用户继承的策略。有关更多信息,请参阅访问管理

OpenID

MinIO 支持使用兼容 OpenID Connect (OIDC) 的身份提供商 (IDP)来外部管理用户身份。

OpenID 提供商的示例包括

  • Okta

  • KeyCloak

  • Dex

  • Google

  • Facebook

配置外部 IDP 可以启用单点登录工作流,其中应用程序在访问 MinIO 之前会对外部 IDP 进行身份验证。

使用本节中的屏幕查看、添加或编辑部署的 OIDC 配置。MinIO 支持任意数量的活动 OIDC 配置。

LDAP

MinIO 支持使用Active Directory 或 LDAP (AD/LDAP)服务来外部管理用户身份。配置外部身份提供商 (IDP) 可以启用单点登录 (SSO) 工作流,其中应用程序在访问 MinIO 之前会对外部 IDP 进行身份验证。

使用本节中的屏幕查看、添加或编辑部署的 LDAP 配置。MinIO 仅支持一个活动的 LDAP 配置。

MinIO 查询 Active Directory/LDAP 服务器以验证客户端指定的凭据。如果配置为这样做,MinIO 还会在 AD/LDAP 服务器上执行组查找。