配置租户安全¶

身份管理¶

一个 MinIO用户是一个至少包含访问密钥和密钥的凭据的身份。MinIO 要求所有传入请求必须包含与现有用户匹配的凭据。

如果 MinIO 成功验证针对内部管理或外部管理身份的传入请求，MinIO随后会检查该身份是否授权发出请求。请参阅访问管理有关授权的更多信息。

MinIO 默认支持直接在 MinIO 租户上创建和管理用户。MinIO也支持配置一个外部身份提供商 (IDP), 例如 Active Directory 或 OpenID, 其中 MinIO 可以在身份验证过程中查找由外部 IDP 管理的身份。有关配置外部 IDP 的更多信息, 请参阅外部身份提供商 (IDP).

看用户管理有关使用 MinIO 控制台对 MinIO 租户执行用户管理的教程。以下列表包含常见的身份管理操作：

• 创建新的 MinIO 用户

• 更改 MinIO 用户密码

• 创建服务账户

访问管理¶

在 MinIO 之后验证一个用户， MinIO 检查指定的用户是否是授权执行请求的操作。MinIO 使用基于策略的访问控制（PBAC）来定义客户端可以访问的操作和资源。

MinIO 策略是带有 JSON 格式的文档IAM兼容语法每个 MinIO 用户可以拥有一attached policy for defining its scope of access. MinIO also supports creating 附加策略用于 定义其访问范围。MinIO 还支持创建群组用户组， 其中用户继承附加到该组的策略。一个组可以拥有一附加策略用于定义其成员资格的访问范围。

因此，给定用户的访问权限包括其明确附加的策略集合和所有从其组成员身份继承的策略。 只有当用户的完整策略集明确允许访问所需操作时，MinIO才会处理请求的操作。和该操作的资源。

DIAGRAM: 用户策略 + 组策略 -> 请求 -> 允许/拒绝 (流程图?)

MinIO PBAC 默认采用拒绝原则，即 MinIO 会拒绝访问任何未明确允许的操作或资源。明确地由用户附加或继承的策略允许。MinIO也如果两个或更多策略在访问特定操作或资源时发生冲突，将优先采用拒绝规则。

看Group Management和策略管理有关使用 MinIO 控制台分别执行组和策略管理的教程，请参阅以下内容。以下列表包含常见的访问管理流程：

• 创建新的 MinIO 群组

• 更改用户在组中的成员身份

• 更改附加的组策略

• 为 MinIO 用户附加策略

• 创建新策略

外部身份提供商 (IDP)¶

MinIO 对接收到的每个传入请求执行身份验证和授权 客户端必须提供访问密钥和密钥等凭据 以在 MinIO 租户上进行用户身份验证。MinIO 随后 根据权限授权对特定操作和资源集的访问策略与该用户关联or其群组。

DIAGRAM: 群组 -> 用户 -> 客户端 (认证/授权)

MinIO 使用基于策略的访问控制（PBAC），其中每个策略描述一个 或多个规则，这些规则概述了用户或用户组的权限。MinIO 支持 AWS IAM 策略语法的IAM 操作和条件在创建策略时。 默认情况下，MinIO否认访问用户分配或继承的策略中未明确引用的操作或资源。

MinIO租户默认通过MinIO控制台部署，这是一个基于浏览器的管理界面，支持在租户上配置IAM相关设置，例如策略、用户和组。管理员还可以使用mc用于在 MinIO 租户上执行 IAM 的命令行工具。

网络加密¶

MinIO supports configuring TLS for encrypting data transmitted across the network. The MinIO Operator by default deploys Tenants with auto-generated TLS certificates for each Tenant component. MinIO supports the MinIO 支持配置 TLS 来加密通过网络传输的数据。MinIO Operator 默认部署租户时会为每个租户组件自动生成 TLS 证书。MinIO 支持Server Name Indication (SNI)extension and allows Administrators to specify multiple custom TLS certificates for supporting HTTPS access to the Tenant through multiple domains. You can configure custom TLS certificates during 扩展功能允许管理员指定多个自定义TLS证书，以支持通过多个域对租户进行HTTPS访问。您可以在租户创建.

对象加密¶

MinIO Tenants 支持使用外部密钥管理服务（KMS）对对象进行服务器端加密（SSE-S3），例如 Hashicorp Vault、Thales CipherTrust（前身为 Gemalto Keysecure）和 Amazon KMS。您可以在部署期间配置服务器端加密租户创建.