用户管理

概述

MinIO用户由唯一的访问密钥（用户名）和对应的密钥（密码）组成。客户端必须通过同时指定现有MinIO用户的有效访问密钥（用户名）和对应密钥（密码）来验证其身份。

每个用户可以分配一个或多个策略明确列出该用户可以访问的操作和资源。 用户还可以从以下位置继承策略：群组他们拥有成员资格的组织中。

MinIO 默认拒绝访问用户分配或继承权限中未明确允许的所有操作或资源策略您必须明确分配一个政策描述用户的授权操作和资源or将用户分配给群组具有关联策略。请参阅访问管理欲了解更多信息。

This page documents user management for the MinIO internal IDentity Provider (IDP). MinIO also external management of identities using either an OpenID Connect (OIDC) or Active Directory/LDAP IDentity Provider (IDP). For more information, see:

• OpenID Connect 访问管理

• Active Directory / LDAP 访问管理

启用外部身份管理会禁用 MinIO 内部身份提供程序（IDP），但创建操作除外访问密钥.

访问密钥

MinIO Access Keys（原“服务账户”）是经过身份验证的 MinIO 用户的子身份，包括外部管理的身份每个访问密钥都基于其权限继承策略附加到其父用户or父用户所属的那些组。 访问密钥还支持可选的内联策略，该策略进一步限制对父用户可用操作和资源子集的访问。

MinIO 用户可以生成任意数量的访问密钥。 这使得应用程序所有者能够为其应用程序生成任意访问密钥，而无需 MinIO 管理员采取任何操作。 由于生成的访问密钥具有与父用户相同或更少的权限，管理员可以专注于管理顶级父用户，而无需对生成的访问密钥进行微观管理。

您可以通过使用创建访问密钥mc admin user svcacct add命令。 通过这些方法创建的身份凭证不会过期，直到您删除访问密钥或父账户。

你也可以创建安全令牌服务以编程方式管理账户AssumeRoleSTS API 端点。 STS 令牌默认在 1 小时后过期，但您可以设置从创建起最长 7 天的过期时间。

MinIOroot用户

MinIO部署具有root拥有访问部署中所有操作和资源权限的用户， 无论配置如何身份管理器当minio服务器首次 启动时，它会设置root通过检查以下环境变量的值来获取用户凭据：

• MINIO_ROOT_USER

• MINIO_ROOT_PASSWORD

轮换 root 用户凭据需要更新部署中所有 MinIO 服务器的以下任一或两个变量。指定长、唯一且随机root 凭据的字符串。在存储访问密钥和密钥时，请采取一切可能的预防措施，确保只有已知且受信任的个人require超级用户对部署的访问权限可以检索root凭据。

• MinIO强烈不建议使用root用于常规客户端访问的用户 无论环境如何（开发、暂存或生产）。

• MinIO强烈建议创建用户时，应确保每个客户端只能访问执行其分配工作负载所需的最小操作和资源集合。

如果这些变量未设置，minio默认为minioadmin和minioadmin作为访问密钥和密钥密钥。MinIO强烈不推荐无论部署环境如何，都使用默认凭据。

用户管理

mc admin user add ALIAS ACCESSKEY SECRETKEY

mc admin policy attach ALIAS readwrite --user=USERNAME

mc admin user rm ALIAS USERNAME