安全和訪問¶
您可以使用 MinIO 控制台執行 MinIO 中可用的多個身份和訪問管理功能,例如:
- 創建繼承父權限的子訪問密鑰。
- 查看、管理和創建訪問策略。
- 使用內置的 MinIO IDP 創建和管理用戶憑證或組,連接到一個或多個 OIDC 提供商,或為 SSO 添加 AD/LDAP 提供商。
Access Keys¶
ACCESS KEYS 顯示與經過身份驗證的用戶關聯的所有訪問密鑰。
訪問密鑰支持提供從“父”用戶繼承權限的應用程序身份驗證憑據。
對於使用外部身份管理器(例如 Active Directory 或 OIDC 兼容提供商)的部署,訪問密鑰為用戶提供了一種創建長期憑證的方法。
-
您可以選擇
access key行以查看其 custom policy(如果存在)。您可以創建或修改 policy。訪問密鑰策略不能超過授予父用戶的權限。
-
您可以通過選擇
CREATE ACCESS KEY來創建新的訪問密鑰。控制台自動生成訪問密鑰和密碼。您可以選擇密碼字段上的眼睛圖標以顯示該值。您可以根據需要覆蓋這些值。
您可以為訪問密鑰設置自定義策略,進一步限制授予使用該密鑰進行身份驗證的用戶的權限。選擇
RESTRICT BEYOND USER POLICY以打開策略編輯器並根據需要進行修改。在選擇創建以創建訪問密鑰之前,請確保您已將訪問密鑰密碼保存到安全位置。創建訪問密鑰後,您無法檢索或重置密碼值。
要輪換應用程序的憑據,請創建一個新的訪問密鑰,並在應用程序更新為使用新憑據後刪除舊的訪問密鑰。
Policies¶
POLICY 顯示了 MinIO 部署的所有策略。策略部分允許您創建、修改或刪除策略。
策略定義經過身份驗證的用戶有權訪問的授權操作和資源。每個策略都描述了用戶、用戶組或訪問密鑰可以執行的一個或多個操作或他們必須滿足的條件。
這些策略是 JSON 格式的文本文件,與 Amazon AWS Identity and Access Management 策略語法、結構和行為兼容。有關在 MinIO 中使用策略管理訪問的詳細信息,請參閱基於策略的操作控制。
如果經過身份驗證的用戶沒有管理權限,則此部分或其內容可能不可見。
- 選擇
+ create policy以創建新的 MinIO 策略。 -
選擇策略行以管理策略詳細信息。
summary視圖顯示策略的摘要。users視圖顯示分配給策略的所有用戶。groups視圖顯示分配給策略的所有組。raw policy視圖顯示原始 JSON 策略。
使用 users 和 groups 視圖將創建的策略分別分配給用戶和組。
Identity¶
identity 為 MinIO 管理的用戶提供了一個管理界面。
本節包含以下小節。如果經過身份驗證的用戶沒有所需的管理權限,則某些小節可能不可見。
Users¶
USERS 顯示部署中所有 MinIO 管理的用戶。
對於使用外部身份管理器(例如 Active Directory 或 OIDC 兼容提供程序)的部署,此部分不可見。
- 選擇
create user以創建一個新的 MinIO 管理的用戶。您可以在創建期間為用戶分配組和策略。 - 選擇用戶所在的行以查看該用戶的詳細信息。您可以查看和修改用戶的分配組和策略。您還可以查看和管理與用戶關聯的任何訪問密鑰。
Groups¶
GROUPS 顯示 MinIO 部署中的所有組。
對於使用外部身份管理器(例如 Active Directory 或 OIDC 兼容提供程序)的部署,此部分不可見。
-
選擇
create group以創建一個新的 MinIO 組。您可以在創建期間將新用戶分配給組。
您可以在創建後將策略分配給組。
-
選擇 group 行以打開該組的詳細信息。
您可以從成員視圖修改組成員身份。
您可以從策略視圖修改組的分配策略。