文档

用户管理

概述

MinIO 用户由唯一的访问密钥(用户名)和相应的密钥(密码)组成。客户端必须通过指定有效的访问密钥(用户名)和现有 MinIO 用户的相应密钥(密码)来验证其身份。

每个用户可以拥有一个或多个分配的策略,这些策略明确列出了该用户可以访问的操作和资源。用户还可以从其所属的继承策略。

默认情况下,MinIO 拒绝访问用户分配或继承的策略未明确允许的所有操作或资源。您必须明确分配描述用户授权的操作和资源的策略将用户分配到具有关联策略的。有关更多信息,请参阅访问管理

此页面记录了 MinIO 内部身份提供程序 (IDP) 的用户管理。MinIO 还使用 OpenID Connect (OIDC) 或 Active Directory/LDAP 身份提供程序 (IDP) 对身份进行外部管理。有关更多信息,请参阅

启用外部身份管理将禁用 MinIO 内部 IDP,但创建访问密钥除外。

访问密钥

MinIO 访问密钥(以前称为“服务帐户”)是经过身份验证的 MinIO 用户(包括外部管理的身份)的子身份。每个访问密钥根据附加到其父用户的策略父用户所属的组的策略继承其权限。访问密钥还支持可选的内联策略,该策略进一步将访问权限限制为父用户可用的操作和资源的子集。

MinIO 用户可以生成任意数量的访问密钥。这允许应用程序所有者为其应用程序生成任意访问密钥,而无需 MinIO 管理员采取任何操作。由于生成的访问密钥具有与父级相同或更少的权限,因此管理员可以专注于管理顶级父用户,而无需微观管理生成的访问密钥。

您可以使用MinIO 控制台mc admin user svcacct add命令创建访问密钥。通过这些方法创建的身份不会过期,直到您删除访问密钥或父帐户。

您也可以使用 AssumeRole STS API 端点以编程方式创建 安全令牌服务 账户。STS 令牌默认在 1 小时后过期,但您可以将其过期时间设置为创建后最多 7 天。

MinIO root 用户

MinIO 部署有一个 root 用户,无论配置的 身份管理器 如何,该用户都可以访问部署上的所有操作和资源。当 minio 服务器首次启动时,它会通过检查以下环境变量的值来设置 root 用户凭据

旋转 root 用户凭据需要更新部署中所有 MinIO 服务器的一个或两个变量。为 root 凭据指定长、唯一且随机的字符串。在存储访问密钥和密钥时,应采取一切可能的预防措施,以便只有已知且可信的、需要对部署拥有超级用户访问权限的人员才能检索 root 凭据。

  • 无论环境(开发、登台或生产)如何,MinIO 强烈建议不要使用 root 用户进行常规客户端访问。

  • MinIO 强烈建议创建用户,以便每个客户端都只能访问执行其分配的工作负载所需的最小操作和资源集。

如果这些变量未设置,minio 会默认使用 minioadminminioadmin 作为访问密钥和密钥。MinIO 强烈建议不要使用默认凭据,无论部署环境如何。

用户管理

创建用户

使用 mc admin user add 命令在 MinIO 部署中创建新用户

mc admin user add ALIAS ACCESSKEY SECRETKEY
  • ALIAS 替换为 MinIO 部署的 别名

  • ACCESSKEY 替换为用户的访问密钥。MinIO 允许通过 mc admin user info 命令在用户创建后检索访问密钥。

  • SECRETKEY 替换为用户的密钥。MinIO 不提供任何方法来检索已设置的密钥。

ACCESSKEYSECRETKEY 指定唯一、随机且长的字符串。您的组织可能对生成用于访问密钥或密钥的值有特定的内部或监管要求。

创建用户后,使用 mc admin policy attachMinIO 基于策略的访问控制 与新用户关联。以下命令分配内置的 readwrite 策略

mc admin policy attach ALIAS readwrite --user=USERNAME

USERNAME 替换为上一步中创建的 ACCESSKEY

删除用户

使用 mc admin user rm 命令删除 MinIO 部署中的用户

mc admin user rm ALIAS USERNAME