Erasure Code 計算機 
參考硬體 安全性與存取
您可以使用 MinIO 主控台來執行 MinIO 中可用的數個身分和存取管理功能,例如
建立繼承父系權限的子存取金鑰。
檢視、管理和建立存取原則。
使用內建的 MinIO IDP 建立和管理使用者認證或群組,連線到一個或多個 OIDC 提供者,或新增 AD/LDAP 提供者以進行 SSO。
存取金鑰
「存取金鑰」或「服務帳戶」區段會顯示與已驗證使用者相關聯的所有存取金鑰。特定使用者已存在的存取金鑰摘要清單包括存取金鑰、到期日、狀態、名稱和描述。
存取金鑰支援提供從「父系」使用者繼承權限的應用程式驗證認證。
對於使用外部身分管理員 (例如 Active Directory 或 OIDC 相容提供者) 的部署,存取金鑰為使用者提供了一種建立長期認證的方式。
您可以選取存取金鑰列以檢視其自訂原則 (如果存在)。
您可以從此畫面建立或修改原則。存取金鑰原則不能超出授予父系使用者的權限。
您可以選取「建立存取金鑰」來建立新的存取金鑰。
主控台會自動產生存取金鑰和密碼。您可以選取眼睛密碼欄位上的圖示以顯示值。您可以視需要覆寫這些值。
您可以為存取金鑰設定自訂原則,以進一步限制使用該金鑰進行驗證的使用者所獲得的權限。選取「限制超出使用者原則」以開啟原則編輯器,並視需要修改。
在選取「建立」以建立存取金鑰之前,請確保您已將存取金鑰密碼儲存到安全的位置。建立存取金鑰後,您無法擷取或重設密碼值。
若要輪換應用程式的認證,請建立新的存取金鑰,並在應用程式更新為使用新的認證後刪除舊的存取金鑰。
原則
「原則」區段會顯示 MinIO 部署上的所有原則。「原則」區段可讓您建立、修改或刪除原則。
原則定義已驗證使用者可以存取的授權動作和資源。每個原則描述使用者、使用者群組或存取金鑰可以執行的一個或多個動作或他們必須滿足的條件。
這些策略是 JSON 格式的文字檔案,與 Amazon AWS 身分與存取管理策略的語法、結構和行為相容。如需關於使用策略在 MinIO 中管理存取的詳細資訊,請參閱基於策略的動作控制。
如果已驗證的使用者沒有必要的管理員權限,則此章節或其內容可能不會顯示。
選取+ 建立策略以建立新的 MinIO 策略。
選取策略列以管理策略詳細資訊。
摘要檢視會顯示策略的摘要。
使用者檢視會顯示所有已指派給該策略的使用者。
群組檢視會顯示所有已指派給該策略的群組。
原始策略檢視會顯示原始 JSON 策略。
使用使用者和群組檢視,將建立的策略分別指派給使用者和群組。
身分
身分章節提供一個管理介面,用於管理MinIO 管理的使用者。
本章節包含以下子章節。如果已驗證的使用者沒有必要的管理員權限,則某些子章節可能不會顯示。
使用者
使用者章節會顯示部署中所有 MinIO 管理的使用者。
對於使用外部身分管理員(例如 Active Directory 或與 OIDC 相容的提供者)的部署,本章節不可見。
群組
群組章節會顯示 MinIO 部署中的所有群組。
對於使用外部身分管理員(例如 Active Directory 或與 OIDC 相容的提供者)的部署,本章節不可見。
選取建立群組以建立新的 MinIO 群組。
您可以在建立期間將新使用者指派給群組。
您可以在建立後將策略指派給群組。
選取群組列以開啟該群組的詳細資訊。
您可以從成員檢視中修改群組成員資格。
您可以從策略檢視中修改群組已指派的策略。
變更使用者的群組成員資格會修改使用者繼承的策略。如需更多資訊,請參閱存取管理。
OpenID
MinIO 支援使用與 OpenID Connect (OIDC) 相容的身分提供者 (IDP) 來外部管理使用者身分。
OpenID 提供者的範例包括
Okta
KeyCloak
Dex
Google
Facebook
設定外部 IDP 可以啟用單一登入工作流程,其中應用程式會先針對外部 IDP 進行驗證,然後再存取 MinIO。
使用本章節中的畫面來檢視、新增或編輯部署的 OIDC 設定。MinIO 支援任何數量的啟用中 OIDC 設定。
LDAP
MinIO 支援使用Active Directory 或 LDAP (AD/LDAP) 服務來外部管理使用者身分。設定外部身分提供者 (IDP) 可以啟用單一登入 (SSO) 工作流程,其中應用程式會先針對外部 IDP 進行驗證,然後再存取 MinIO。
使用本章節中的畫面來檢視、新增或編輯部署的 LDAP 設定。MinIO 僅支援一個啟用中的 LDAP 設定。
MinIO 會查詢 Active Directory / LDAP 伺服器以驗證用戶端指定的認證。如果設定為執行此操作,MinIO 也會在 AD/LDAP 伺服器上執行群組查詢。
