访问管理

概述

MinIO 使用基于策略的访问控制 (PBAC) 来定义经过身份验证的用户可以访问的授权操作和资源。每个策略都描述了一个或多个 操作 和 条件，这些操作和条件概述了 用户 或 用户组 的权限。

MinIO PBAC 旨在与 AWS IAM 策略语法、结构和行为保持兼容。MinIO 文档尽力涵盖 IAM 特定行为和功能。考虑参考 IAM 文档 以获取有关 AWS IAM 特定主题的更完整文档。

在 MinIO 部署中，mc admin policy 命令支持创建和管理策略。有关使用示例，请参阅命令参考。

基于标签的策略条件

内置策略

MinIO 提供以下内置策略，用于分配给 用户 或 组

consoleAdmin

授予对 MinIO 部署上的所有资源执行所有 S3 和管理 API 操作的完全访问权限。等效于以下操作集

• s3:*

• admin:*

readonly

授予对 MinIO 部署上的任何对象的只读权限。GET 操作必须应用于特定对象，而无需任何列表。等效于以下操作集

• s3:GetBucketLocation

• s3:GetObject

例如，此策略专门支持对特定路径上的对象的 GET 操作（例如 GET play/mybucket/object.file），例如

• mc cp

• mc stat

• mc head

• mc cat

排除列表权限是有意为之的，因为典型的用例并不打算让“只读”角色对对象存储资源具有完全的可发现性（列出所有存储桶和对象）。

readwrite

授予对 MinIO 服务器上的所有存储桶和对象的读写权限。等效于 s3:*。

diagnostics

授予对 MinIO 部署执行诊断操作的权限。具体包括以下操作

• admin:ServerTrace

• admin:Profiling

• admin:ConsoleLog

• admin:ServerInfo

• admin:TopLocksInfo

• admin:OBDInfo

• admin:BandwidthMonitor

• admin:Prometheus

writeonly

授予对 MinIO 部署的任何命名空间（存储桶和对象路径）的只写权限。PUT 操作必须应用于特定对象位置，而无需任何列表。等效于 s3:PutObject 操作。

使用 mc admin policy attach 将策略关联到 MinIO 部署上的用户或组。

例如，请考虑以下用户表。每个用户都分配了一个 内置策略 或支持的 操作。该表描述了如果以该用户身份进行身份验证，客户端可以执行的一组操作

每个用户只能访问明确授予其内置角色的资源和操作。默认情况下，MinIO 拒绝访问任何其他资源或操作。

策略文档结构

MinIO 策略文档使用与 AWS IAM 策略 文档相同的模式。

以下示例文档提供了一个模板，用于创建自定义策略以与 MinIO 部署一起使用。有关 IAM 策略元素的更完整文档，请参阅 IAM JSON 策略元素参考。

任何单个策略文档的最大大小为 20KiB。可以附加到用户或组的策略文档数量没有限制。

{
   "Version" : "2012-10-17",
   "Statement" : [
      {
         "Effect" : "Allow",
         "Action" : [ "s3:<ActionName>", ... ],
         "Resource" : "arn:aws:s3:::*",
         "Condition" : { ... }
      },
      {
         "Effect" : "Deny",
         "Action" : [ "s3:<ActionName>", ... ],
         "Resource" : "arn:aws:s3:::*",
         "Condition" : { ... }
      }
   ]
}

• 对于 Statement.Action 数组，指定一个或多个 支持的 S3 API 操作。

• 对于 Statement.Resource 键，指定要限制策略的存储桶或存储桶前缀。您可以根据 S3 资源规范 使用 * 和 ? 通配符。

  * 通配符可能会导致策略根据 模式匹配 无意中应用于多个存储桶或前缀。例如，arn:aws:s3:::data* 将匹配存储桶 data、data_private 和 data_internal。仅指定 * 作为资源键会将策略应用于部署上的所有存储桶和前缀。

• 对于 Statement.Condition 键，您可以指定一个或多个 支持的条件。

支持的 S3 策略操作

MinIO 策略文档支持 IAM S3 操作键 的子集。本节还包括特定操作支持的任何 条件键，超出支持键的通用集合。

以下操作控制对常见 S3 操作的访问。其余部分记录了用于更高级 S3 操作的操作

s3:*

选择所有 MinIO S3 操作。将此操作应用于给定资源允许用户对该资源执行任何 S3 操作。

s3:CreateBucket

控制对 CreateBucket S3 API 操作的访问。

s3:DeleteBucket

控制对 DeleteBucket S3 API 操作的访问。

s3:ForceDeleteBucket

控制对 DeleteBucket S3 API 操作的访问，用于带有 x-minio-force-delete 标志的操作。删除非空存储桶所需的权限。

s3:GetBucketLocation

控制对 GetBucketLocation S3 API 操作的访问。

s3:ListAllMyBuckets

控制对 ListBuckets S3 API 操作的访问。

s3:DeleteObject

控制对 DeleteObject S3 API 操作的访问。

s3:GetObject

控制对 GetObject S3 API 操作的访问权限。

支持以下额外的 条件键

s3:x-amz-server-side-encryption
s3:x-amz-server-side-encryption-customer-algorithm
s3:ExistingObjectTag/<key>
s3:versionid

s3:ListBucket

控制对 ListObjectsV2 S3 API 操作的访问权限。

支持以下额外的 条件键

s3:prefix
s3:delimiter
s3:max-keys

s3:PutObject

控制对 PutObject S3 API 操作的访问权限。

支持以下额外的 条件键

s3:x-amz-copy-source
s3:x-amz-server-side-encryption
s3:x-amz-server-side-encryption-customer-algorithm
s3:x-amz-metadata-directive
s3:x-amz-storage-class
s3:versionid
s3:object-lock-retain-until-date
s3:object-lock-mode
s3:object-lock-legal-hold
s3:RequestObjectTagKeys
s3:RequestObjectTag/<key>

s3:PutObjectTagging

控制对 PutObjectTagging S3 API 操作的访问权限。

支持以下额外的 条件键

s3:versionid
s3:ExistingObjectTag/<key>
s3:RequestObjectTagKeys
s3:RequestObjectTag/<key>

s3:GetObjectTagging

控制对 GetObjectTagging S3 API 操作的访问权限。

支持以下额外的 条件键

s3:versionid
s3:ExistingObjectTag/<key>

s3:DeleteObjectTagging

控制对 DeleteObjectTagging S3 API 操作的访问权限。

支持以下额外的 条件键

s3:versionid
s3:ExistingObjectTag/<key>

支持的 S3 策略条件键

MinIO 策略文档支持 IAM 条件语句。

每个条件元素都包含 运算符 和条件键。MinIO 支持 IAM 条件键的一个子集。有关任何列出条件键的完整信息，请参阅 IAM 条件元素文档

MinIO 支持所有支持的 操作 的以下条件键

• aws:Referer

• aws:SourceIp

• aws:UserAgent

• aws:SecureTransport

• aws:CurrentTime

• aws:EpochTime

• aws:PrincipalType

• aws:userid

• aws:username

• x-amz-content-sha256

• s3:signatureAge

有关特定 S3 操作支持的其他键，请参阅该操作的参考文档。

mc admin 策略操作键

MinIO 支持以下操作，用于定义用于 mc admin 操作的策略。这些操作仅对 MinIO 部署有效，不打算用于其他与 S3 兼容的服务

admin:*

所有管理操作键的选择器。

admin:Heal

允许执行 heal 命令。

admin:StorageInfo

允许列出服务器信息。

admin:DataUsageInfo

允许列出数据使用信息。

admin:TopLocksInfo

允许列出主要的锁。

admin:Profiling

允许进行分析。

admin:ServerTrace

允许列出服务器跟踪。

admin:ConsoleLog

允许在终端上列出控制台日志。

admin:KMSCreateKey

允许创建新的 KMS 主密钥。

admin:KMSKeyStatus

允许获取 KMS 密钥状态。

admin:ServerInfo

允许列出服务器信息。

admin:OBDInfo

允许获取集群上线诊断信息。

admin:ServerUpdate

允许 MinIO 二进制更新。

admin:ServiceRestart

允许重启 MinIO 服务。

admin:ServiceStop

允许停止 MinIO 服务。

admin:ConfigUpdate

允许 MinIO 配置管理。

admin:CreateUser

允许创建 MinIO 用户。

admin:DeleteUser

允许删除 MinIO 用户。

admin:ListUsers

允许列出用户权限。

admin:EnableUser

允许启用用户权限。

admin:DisableUser

允许禁用用户权限。

admin:GetUser

允许对用户信息进行 GET 权限。

admin:AddUserToGroup

允许将用户添加到组权限。

admin:RemoveUserFromGroup

允许将用户从组权限中删除。

admin:GetGroup

允许获取组信息。

admin:ListGroups

允许列出组权限。

admin:EnableGroup

允许启用组权限。

admin:DisableGroup

允许禁用组权限。

admin:CreatePolicy

允许创建策略权限。

admin:DeletePolicy

允许删除策略权限。

admin:GetPolicy

允许获取策略权限。

admin:AttachUserOrGroupPolicy

允许将策略附加到用户/组。

admin:ListUserPolicies

允许列出用户策略

admin:CreateServiceAccount

允许创建 MinIO 访问密钥

admin:UpdateServiceAccount

允许更新 MinIO 访问密钥

admin:RemoveServiceAccount

允许删除 MinIO 访问密钥

admin:ListServiceAccounts

允许列出 MinIO 访问密钥

admin:SetBucketQuota

允许设置存储桶配额

admin:GetBucketQuota

允许获取存储桶配额

admin:SetBucketTarget

允许设置存储桶目标

admin:GetBucketTarget

允许获取存储桶目标

admin:SetTier

允许使用 mc ilm tier 命令创建和修改远程存储层。

admin:ListTier

允许使用 mc ilm tier 命令列出已配置的远程存储层。

admin:BandwidthMonitor

允许检索与当前带宽使用相关的指标。

admin:Prometheus

允许访问 MinIO 指标。仅在 MinIO 需要身份验证才能抓取指标时才需要。

admin:ListBatchJobs

允许访问列出活动批处理作业。

admin:DescribeBatchJobs

允许访问查看正在运行的批处理作业的定义详细信息。

admin:StartBatchJob

允许用户开始运行批处理作业。

admin:CancelBatchJob

允许用户停止当前正在处理的批处理作业。

admin:Rebalance

允许访问启动、查询或停止跨具有不同可用存储空间的池的对象重新平衡。

mc admin 策略条件键

MinIO 支持以下条件，用于定义 mc admin 操作 的策略。

• aws:Referer

• aws:SourceIp

• aws:UserAgent

• aws:SecureTransport

• aws:CurrentTime

• aws:EpochTime

有关任何列出条件键的完整信息，请参阅 IAM 条件元素文档。

策略变量

MinIO 支持使用策略变量，将来自已认证用户的上下文和/或操作自动替换到用户的分配策略或策略中。使用 ${POLICYVARIABLE} 格式将变量指定到策略中，作为 Condition 或 Resource 定义的一部分。MinIO 策略变量的功能类似于 AWS IAM 策略元素：变量和标签。

每个 MinIO 身份提供者 支持其自己的策略变量集

• MinIO 策略变量

• OpenID 策略变量

• Active Directory / LDAP 策略变量

{
"Version": "2012-10-17",
"Statement": [
      {
         "Action": ["s3:ListBucket"],
         "Effect": "Allow",
         "Resource": ["arn:aws:s3:::mybucket"],
         "Condition": {"StringLike": {"s3:prefix": ["${aws:username}/*"]}}
      },
      {
         "Action": [
         "s3:GetObject",
         "s3:PutObject"
         ],
         "Effect": "Allow",
         "Resource": ["arn:aws:s3:::mybucket/${aws:username}/*"]
      }
   ]
}

{
"Version": "2012-10-17",
"Statement": [
      {
         "Action": ["s3:ListBucket"],
         "Effect": "Allow",
         "Resource": ["arn:aws:s3:::mybucket"],
         "Condition": {"StringLike": {"s3:prefix": ["${jwt:preferred_username}/*"]}}
      },
      {
         "Action": [
         "s3:GetObject",
         "s3:PutObject"
         ],
         "Effect": "Allow",
         "Resource": ["arn:aws:s3:::mybucket/${jwt:preferred_username}/*"]
      }
   ]
}

{
"Version": "2012-10-17",
"Statement": [
      {
         "Action": ["s3:ListBucket"],
         "Effect": "Allow",
         "Resource": ["arn:aws:s3:::mybucket"],
         "Condition": {"StringLike": {"s3:prefix": ["${ldap:username}/*"]}}
      },
      {
         "Action": [
         "s3:GetObject",
         "s3:PutObject"
         ],
         "Effect": "Allow",
         "Resource": ["arn:aws:s3:::mybucket/${ldap:username}/*"]
      }
   ]
}