Root访问设置

本页面涵盖了控制MinIO进程根（超级用户）访问的设置。根用户（超级用户）对MinIO部署拥有完全的访问权限和执行操作的能力。

即使使用 MinIO 密钥加密服务或其他密钥管理工具，也需要根用户和根密码。

您可以通过定义以下内容来建立或修改设置：

如果您同时定义了环境变量和类似的配置设置，MinIO 将使用环境变量的值。

有些设置只有环境变量或配置设置，而不是两者都有。

重要

每个配置设置都控制着MinIO的基本行为和功能。 MinIO 强烈建议 在较低的环境中，如DEV或QA，测试配置更改，然后再将其应用到生产环境中。

root用户

Environment Variable

警告

如果 MINIO_ROOT_USER 环境变量未设置，minio 将默认使用 minioadmin 。

永远不要 在生产环境中使用默认凭据。 MinIO 强烈建议为所有环境指定一个独特、较长且随机的 MINIO_ROOT_USER 值。

Configuration Setting

这个设置没有配置变量设置。请改用环境变量。

Environment Variable

警告

如果未设置 MINIO_ROOT_PASSWORD 环境变量，minio 将默认使用 minioadmin 。

永远不要 在生产环境中使用默认凭据。 MinIO 强烈建议为所有环境指定一个独特、较长且随机的 MINIO_ROOT_PASSWORD 值。

Configuration Setting

这个设置没有配置变量设置。请改用环境变量。

Environment Variable

Configuration Setting

在 MinIO 版本加入: Server RELEASE.2023-05-04T21-44-30Z

将 on 指定为启用根用户账户，将 off 指定为禁用根用户账户。禁用根服务账户也会禁用与根关联的所有服务账户，但不包括用于站点复制的那些账户。默认为 on 。

重要

如果使用此设置禁用 root API 访问权限，则仍必须设置一个 root 用户和一个 root 密码供内部使用。

在禁用根账户之前，确保至少有一个其他管理员用户，例如具有 consoleAdmin 策略的用户。如果您没有其他管理员用户，禁用根账户将锁定对部署的管理员访问权限。

您可以使用此变量暂时覆盖配置设置，并重新启用对部署的根访问。

为了在意外锁定后重置，将 MINIO_API_ROOT_ACCESS 环境变量设置为 on ，以覆盖此设置并暂时重新启用根账户。然后，您可以将此设置更改为 on ，或者进行必要的安全策略/用户更改，以确保通过其他非根账户正常进行管理访问。

在 Server 版本加入: RELEASE.2024-03-03T17-50-39Z

MinIO会自动生成唯一的根凭据，如果以下所有条件都成立：

KES 版本 2024-03-01T18-06-46Z 或更高版本运行
Have not defined:
- MINIO_ROOT_USER variable
- MINIO_ROOT_PASSWORD variable
Have:
- 使用支持的KMS目标设置KES
- 通过 MinIO环境变量禁用根访问

当这些条件在启动时得到满足时，MinIO会使用KMS为部署生成唯一的根凭据，使用基于哈希的消息验证码（HMAC）。

如果MinIO生成了这样的凭据，那么用于生成凭据的密钥必须保持不变，并且继续存在。部署上的所有数据都是用这个密钥加密的！

要旋转生成的根凭据，您需要在KMS中生成一个新密钥，然后更新 MINIO_KMS_KES_KEY_NAME 环境变量的值以使用新密钥。