使用者管理

概觀

MinIO 使用者由唯一的存取金鑰（使用者名稱）和對應的密碼金鑰（密碼）組成。用戶端必須透過指定現有 MinIO 使用者的有效存取金鑰（使用者名稱）和對應的密碼金鑰（密碼）來驗證其身分。

每個使用者可以有一個或多個已分配的原則，其中明確列出了該使用者可以存取的動作和資源。使用者也可以從他們所屬的群組繼承原則。

MinIO 預設會拒絕存取所有未經使用者已分配或繼承的原則明確允許的動作或資源。您必須明確分配一個原則，描述使用者授權的動作和資源或將使用者分配給具有關聯原則的群組。請參閱存取管理以取得更多資訊。

此頁面記錄了 MinIO 內部身分識別提供者 (IDP) 的使用者管理。MinIO 還可以使用 OpenID Connect (OIDC) 或 Active Directory/LDAP 身分識別提供者 (IDP) 進行身分識別的外部管理。如需更多資訊，請參閱

啟用外部身分識別管理會停用 MinIO 內部 IDP，但建立存取金鑰除外。

MinIO 存取金鑰（先前稱為「服務帳戶」）是已驗證 MinIO 使用者的子身分，包括外部管理的身份。每個存取金鑰都根據附加到其父使用者或父使用者所屬群組的政策繼承其權限。存取金鑰也支援可選的內聯政策，進一步限制對父使用者可用的操作和資源的存取。

MinIO 使用者可以產生任意數量的存取金鑰。這讓應用程式擁有者可以為其應用程式產生任意存取金鑰，而無需 MinIO 管理員採取任何行動。由於產生的存取金鑰具有與父使用者相同或更少的權限，因此管理員可以專注於管理頂層父使用者，而無需微觀管理產生的存取金鑰。

您可以使用MinIO 主控台或使用mc admin user svcacct add命令來建立存取金鑰。透過這些方法建立的身份在您移除存取金鑰或父帳戶之前不會過期。

您也可以使用 AssumeRole STS API 端點以程式設計方式建立安全權杖服務帳戶。STS 權杖預設為 1 小時後過期，但您可以將到期時間設定為最長 7 天。

存取金鑰用於程式化存取

存取金鑰支援應用程式的程式化存取。您無法使用存取金鑰登入 MinIO 主控台。

MinIO 部署有一個 root 使用者，無論配置的身份管理器如何，都可以存取部署上的所有操作和資源。當minio伺服器首次啟動時，它會檢查以下環境變數的值來設定 root 使用者憑證

輪換 root 使用者憑證需要為部署中的所有 MinIO 伺服器更新其中一個或兩個變數。請為 root 憑證指定長、唯一且隨機的字串。在儲存存取金鑰和秘密金鑰時採取一切可能的預防措施，以便只有已知且信任且需要對部署具有超級使用者存取權的個人才能檢索 root 憑證。

如果這些變數未設定，minio預設將 minioadmin 和 minioadmin 分別作為存取金鑰和秘密金鑰。無論部署環境如何，MinIO 都強烈建議不要使用預設憑證。

棄用舊版 Root 使用者環境變數

MinIO RELEASE.2021-04-22T15-44-28Z 及更新版本棄用以下用於設定或更新 root 使用者憑證的變數

使用mc admin user add命令在 MinIO 部署上建立新使用者

mc admin user add ALIAS ACCESSKEY SECRETKEY

為 ACCESSKEY 和 SECRETKEY 指定唯一、隨機且長的字串。您的組織可能對產生用於存取或秘密金鑰的值有特定的內部或監管要求。

建立使用者後，使用mc admin policy attach將基於 MinIO 策略的存取控制關聯到新使用者。以下命令分配內建的readwrite策略

mc admin policy attach ALIAS readwrite --user=USERNAME

將 USERNAME 替換為上一步中建立的 ACCESSKEY。

使用mc admin user rm命令移除 MinIO 部署上的使用者

mc admin user rm ALIAS USERNAME