用户管理

概述

一个MinIO用户由一个独特的访问密钥（用户名）和一个相应的秘密密钥（密码）组成。客户端必须通过指定现有MinIO用户的有效访问密钥（用户名）和相应的秘密密钥（密码）来验证其身份。

每个用户可以分配一个或多个策略明确列出该用户有权访问的操作和资源。用户还可以从其具有成员资格的组继承策略。

MinIO 默认会拒绝用户对未明确允许的所有操作或资源的访问，这些操作或资源由用户分配或继承的策略中明确规定。您必须明确分配一个策略，描述用户被授权的操作和资源或者将用户分配到具有关联策略的组。请参阅访问管理获取更多信息。

本页面文档介绍了MinIO内部身份提供者（IDP）的用户管理。 MinIO还支持使用OpenID Connect（OIDC）或 Active Directory/LDAP身份提供者（IDP）进行外部身份管理。有关更多信息，请参阅：

启用外部身份管理将禁用MinIO内部IDP，除了创建访问密钥的情况。

MinIO访问密钥（以前称为 “服务账户” ）是已验证MinIO用户的子身份，包括外部管理的身份。每个访问密钥根据其父用户附加的策略继承其权限，或者父用户具有成员资格的组。访问密钥还支持一个可选的内联策略，该策略进一步限制了父用户可访问的动作和资源的子集。

MinIO用户可以生成任意数量的访问密钥。这允许应用程序所有者为其应用程序生成任意的访问密钥，而无需MinIO管理员采取任何行动。由于生成的访问密钥具有与父用户相同或更少的权限，管理员可以专注于管理顶级父用户，而不需要微观管理生成的访问密钥。

您可以使用 MinIO控制台或使用 mc admin user svcacct add 命令来创建访问密钥。通过这些方法创建的身份，在您删除访问密钥或父账户之前，不会过期。

您还可以使用 Assume Role STS API端点程序化地创建安全令牌服务（security token service）账户。 STS令牌默认在1小时后过期，但您可以将过期时间设置为从创建之日起最多7天。

Access Keys are for Programmatic Access

访问密钥支持应用程序的程序化访问。您不能使用访问密钥登录MinIO控制台。

MinIO部署中有一个名为 root 的用户，该用户可以访问部署上的所有操作和资源，无论配置了哪种身份管理器（identity manager）。当一个MinIO服务器首次启动时，它会通过检查以下环境变量的值来设置 root 用户的凭据：

要轮换根用户凭据，需要更新部署中所有MinIO服务器上的一个或两个环境变量。为根凭据指定 长、唯一且随机 的字符串。在存储访问密钥和秘密密钥时，应采取所有可能的预防措施，以确保只有那些已知且受信任且需要超级用户访问权限的个人才能检索到 root 凭据。

如果这些变量未设置，minio 将默认使用 minioadmin 作为访问密钥，以及 minioadmin 作为秘密密钥。 MinIO 强烈建议 不要在任何部署环境中使用默认凭据。

Deprecation of Legacy Root User Environment Variables

MinIO 从 RELEASE.2021-04-22T15-44-28Z 版本开始，弃用了以下用于设置或更新根用户凭据的变量：

使用 mc admin user add 命令在 MinIO 部署上创建新用户：

mc admin user add ALIAS ACCESSKEY SECRETKEY

为 ACCESSKEY 和 SECRETKEY 分别指定一个独特、随机且较长的字符串。您的组织可能有关于生成用于访问或秘密密钥的值的特定内部或监管要求。

在创建用户后，使用 mc admin policy attach 命令将一个 MinIO Policy Based Access Control 关联到新用户。以下命令分配了内置的 readwrite 策略：

mc admin policy attach ALIAS readwrite --user=USERNAME

将 USERNAME 替换为上一步中创建的 ACCESSKEY。

使用 mc admin user rm 命令可以从 MinIO 部署中删除一个用户：

mc admin user rm ALIAS USERNAME