用户管理
Table of Contents
本页面记录了管理程序用户 必须 提供用户在 MinIO 租户上的凭据。
MinIO Console 连接性
以下过程假设使用作为 MinIO 租户一部分部署的 MinIO 控制台实例。由于 Kubernetes 限制外部访问,因此该过程假设:
以下过程使用 MinIO 控制台在 MinIO 租户上创建新用户。
所需权限
TheconsoleAdmin or 从其组成员身份继承该策略。
没有所需权限的用户无法 执行此过程。必要的UI元素对权限不足的用户不可见。
1) 打开用户管理界面
在浏览器中打开 MinIO 控制台并使用您的凭据登录。
从控制台中点击用户 在左侧导航中。如果管理员 导航组已折叠,点击可展开
该部分并查看用户 导航项。
The用户 interface shows all existing MinIO users and their
access keys. Click the+ 创建用户 打开按钮创建用户 modal.
2) 创建新用户
The创建用户 modal 显示以下用于配置新用户的输入项:
访问密钥
必需
要附加到用户的访问密钥。客户端在连接到 MinIO 租户时必须提供此密钥。
密钥
必需
输入要附加到用户的密钥。请遵循您所在组织的策略来生成安全密码。MinIO强烈建议为每个密钥生成一个长、唯一且随机的字符串。
分配组
可选
用户所属的群组。用户将继承与每个群组关联的IAM策略。
您可以使用以下方式筛选群组:按组筛选 input.
点击保存 保存新用户。
3) 为用户分配策略
可选
如果用户的组成员身份提供了支持该用户预期工作负载所需的策略,则此步骤不是必需的。
MinIO uses Policy-Based Access Control (PBAC) to determine which actions and
resources to which a MinIO Tenant user has access. A user can have
MinIO 使用基于策略的访问控制(PBAC)来确定 MinIO 租户用户可以访问哪些操作和资源。用户可以拥有一 显式附加的策略。每个用户还会继承其所属的每个组中附加的策略。给定用户的总权限集包括其显式附加和继承的策略。
要显式地将策略附加到用户,请打开用户 管理界面并点击旗帜 他们姓名旁边的图标以打开设置策略 modal.
The设置策略 模态框显示用于选择要附加到用户的策略的输入项。
Under分配策略 , 选择要附加到用户的策略。
您可以使用以下方式筛选策略:按策略筛选 文本输入。
一个用户可以拥有恰好一 附加策略。
点击保存 保存新的策略附件。
有关创建新的 IAM 策略以附加到 MinIO 组的完整文档,请参阅创建新策略
4) 后续步骤
客户端应用程序可以使用与用户关联的访问密钥和密钥对MinIO租户进行身份验证和执行操作。有关使用用户凭证连接到S3兼容对象存储系统的示例,请参阅MinIO客户端SDK或任何S3兼容SDK。
MinIO Console 连接性
以下过程假设使用作为 MinIO 租户一部分部署的 MinIO 控制台实例。由于 Kubernetes 限制外部访问,因此该过程假设:
MinIO uses Policy-Based Access Control (PBAC) to determine which actions and
resources to which a MinIO Tenant user has access. A user can have
MinIO 使用基于策略的访问控制(PBAC)来确定 MinIO 租户用户可以访问哪些操作和资源。用户可以拥有一 显式附加的策略。每个用户还会继承其所属的每个组中附加的策略。给定用户的总权限集包括其显式附加和继承的策略。
有关创建新的 IAM 策略以附加到 MinIO 用户的完整文档,请参阅创建新策略
以下过程使用 MinIO 控制台更改附加到 MinIO 用户的 IAM 策略。
所需权限
TheconsoleAdmin or 从其组成员身份继承该策略。
没有所需权限的用户无法 执行此过程。必要的UI元素对权限不足的用户不可见。
1) 打开用户管理界面
打开浏览器中的控制台并使用您的凭据登录。
从控制台中点击用户 在左侧导航中。如果管理员 导航组已折叠,点击可展开
该部分并查看用户 导航项。
2) 设置用户的附加IAM策略
要修改附加到用户的策略,请单击旗帜 图标打开
该设置策略 modal.
The设置策略 模态框显示用于选择要附加到用户的策略的输入项。
Under分配策略 , 选择要附加到用户的策略。
您可以使用以下方式筛选策略:按策略筛选 文本输入。
一个用户可以拥有恰好一 附加策略。
MinIO Console 连接性
以下过程假设使用作为 MinIO 租户一部分部署的 MinIO 控制台实例。由于 Kubernetes 限制外部访问,因此该过程假设:
以下过程使用 MinIO 控制台启用或禁用 MinIO 用户。应用程序只能通过已启用的 MinIO 用户进行身份验证。
所需权限
TheconsoleAdmin or 从其组成员身份继承该策略。
没有所需权限的用户无法 执行此过程。必要的UI元素对权限不足的用户不可见。
1) 打开用户管理界面
打开浏览器中的控制台并使用您的凭据登录。
从控制台中点击用户 在左侧导航中。如果管理员 导航组已折叠,点击可展开
该部分并查看用户 导航项。
2) 选择要启用或禁用的用户
点击用户所在行以打开编辑用户 modal:
3) 启用或禁用用户
右上角的切换开关编辑用户 modal
显示 MinIO 用户的当前状态。
如果切换开关显示已启用 用户当前已启用。
如果开关显示已禁用 用户当前处于禁用状态。
点击切换按钮可更改用户状态。
点击保存 保存更改。应用程序无法使用已禁用 用户将无法验证到 MinIO 租户,直到它们被重新启用。
MinIO Console 连接性
以下过程假设使用作为 MinIO 租户一部分部署的 MinIO 控制台实例。由于 Kubernetes 限制外部访问,因此该过程假设:
MinIO uses Policy-Based Access Control (PBAC) to determine which actions and
resources to which a MinIO Tenant user has access. MinIO also supports群组 用户组中的用户会继承附加到该组的策略。因此,特定用户的访问权限由其显式附加的策略和 其所属群组的所有继承策略。
以下过程使用 MinIO 控制台更改 MinIO 用户的组成员资格。
所需权限
TheconsoleAdmin or 从其组成员身份继承该策略。
没有所需权限的用户无法 执行此过程。必要的UI元素对权限不足的用户不可见。
1) 打开用户管理界面
打开浏览器中的控制台并使用您的凭据登录。
从控制台中点击用户 在左侧导航中。如果管理员 导航组已折叠,点击可展开
该部分并查看用户 导航项。
2) 选择要编辑的用户
点击用户所在行以打开编辑用户 modal:
3) 更改组成员身份
The编辑用户 modal 显示所选 MinIO 租户用户的信息:
The分配组 section 显示 MinIO
Tenant 上的可用组。切换选择 在每个群组旁边的复选框中,仅需勾选用户必须隶属的群组。
您可以使用以下方式筛选群组:按组筛选 input.
点击保存 保存新的组成员身份。
MinIO Console 连接性
以下过程假设使用作为 MinIO 租户一部分部署的 MinIO 控制台实例。由于 Kubernetes 限制外部访问,因此该过程假设:
以下步骤使用 MinIO 控制台删除 MinIO 用户。
所需权限
TheconsoleAdmin or 从其组成员身份继承该策略。
没有所需权限的用户无法 执行此过程。必要的UI元素对权限不足的用户不可见。
1) 打开用户管理界面
打开浏览器中的控制台并使用您的凭据登录。
从控制台中点击用户 在左侧导航中。如果管理员 导航组已折叠,点击可展开
该部分并查看用户 导航项。
2) 删除用户
要删除用户,请点击垃圾桶 打开图标删除用户 modal:
您必须通过点击确认用户删除删除 从模态框中。
MinIO Console 连接性
以下过程假设使用作为 MinIO 租户一部分部署的 MinIO 控制台实例。由于 Kubernetes 限制外部访问,因此该过程假设:
以下过程使用 MinIO 控制台更改经过身份验证的 MinIO 用户的密码。
所需权限
更改已认证用户的密码需要用户具有明确附加的密码策略。or 继承策略,允许以下操作和资源:
{
"Version" : "2012-10-17" ,
"Statement" : [
{
"Effect" : "Allow" ,
"Action" : [
"admin:ListUsers" ,
"admin:GetUser" ,
"admin:CreateUser"
]
},
{
"Effect" : "Allow" ,
"Action" : [
"s3:*"
],
"Resource" : [
"arn:aws:s3:::*"
]
}
]
}
没有所需权限的用户无法 执行此过程。必要的UI元素对权限不足的用户不可见。
1) 打开账户界面
要更改您的 MinIO 用户密码,请在浏览器中打开 MinIO 控制台并使用您的凭据登录。从控制台中点击账户 在左侧导航中。如果用户 导航组已折叠,
点击可展开该部分并查看账户 navigation
item.
点击修改密码 要打开修改密码 modal.
2) 更改用户密码
The修改密码 modal 显示以下用于更改 MinIO 用户密码的输入项:
当前密码
指定 MinIO 租户用户的现有密码。
新密码
指定 MinIO 租户用户的新密码。
再次输入新密码
请再次输入新密码以进行验证。
点击保存 保存新密码。未来使用 MinIO 租户用户的登录尝试必须指定新密码。
MinIO Console 连接性
以下过程假设使用作为 MinIO 租户一部分部署的 MinIO 控制台实例。由于 Kubernetes 限制外部访问,因此该过程假设:
MinIO 服务账户是单个父级 MinIO 用户的子身份。
每个服务账户根据其父级用户的权限继承特权。策略 和 父用户所属的每个组所附加的策略。
服务账户还支持可选的附加策略,该策略限制其对子集 父用户可用的操作和资源。
Service Accounts 允许 MinIO 租户用户管理对租户的访问权限,而无需依赖管理操作。禁用或删除父用户也会禁用/删除该用户的所有 Service Accounts。
MinIO 服务账户仅可通过 MinIO 控制台进行管理。
以下流程使用 MinIO 控制台创建与 MinIO 租户用户关联的新服务账户。
1) 打开账户界面
要创建新的服务账户,请在浏览器中打开 MinIO 控制台并使用您的凭据登录。在控制台中点击账户 在左侧导航中。如果用户 导航组已折叠,
点击可展开该部分并查看账户 navigation
item.
The账户 interface 显示当前用户创建的所有现有 Service Accounts。点击+ 创建服务账户 打开按钮创建服务账户 modal.
2) 创建新的服务账户
The创建服务账户 modal 显示一个输入框,用于配置新服务账户的可选 IAM 策略:
MinIO 服务账户继承其权限自附加到租户用户并由其继承的策略。可选策略可以指定一个子集 明确允许作为租户用户权限一部分的操作和资源。您无法 在创建服务账户后应用自定义策略。
点击创建 创建服务账户,如果指定了IAM策略,则包含可选的IAM策略。
3) 复制服务账号凭据
The新服务账户已创建 对话框显示为新服务账户随机生成的访问密钥和密钥。
将凭据复制到安全位置,例如密码管理器或类似的密码保护系统。您也可以点击下载 下载凭据为 JSON 文件。
重要
MinIO 控制台仅在此对话框中显示密钥,从不 在关闭对话框后再次显示。MinIO 不支持更改服务帐户的凭据。如果服务帐户的凭据丢失,您必须创建一个新的服务帐户。
MinIO Console 连接性
以下过程假设使用作为 MinIO 租户一部分部署的 MinIO 控制台实例。由于 Kubernetes 限制外部访问,因此该过程假设:
MinIO 服务账户是与单个 MinIO 租户用户关联的特殊凭证。每个服务账户包含一个自动生成的随机访问密钥和一个共享的密钥。
以下过程删除与 MinIO 租户用户关联的服务账户。删除后,使用该服务账户的应用程序将无法使用服务账户凭据访问 MinIO 租户。
服务用户管理功能可用仅 通过 MinIO 控制台。
1) 打开账户界面
要创建新的服务账户,请在浏览器中打开 MinIO 控制台并使用您的凭据登录。在控制台中点击账户 在左侧导航中。如果用户 导航组已折叠,
点击可展开该部分并查看账户 navigation
item.
The账户 界面显示当前用户创建的所有现有服务账户。
2) 删除服务账户
点击垃圾桶 打开图标删除服务账户 modal.
您必须通过点击确认用户删除删除 从模态框中。
混合云对象存储
裸机
Erasure Code Calculator
参考硬件
