深入浅出 MinIO:身份管理与权限配置实战 !
本文将深入讲解 MinIO 的身份管理和权限配置,聚焦存储桶权限(private、public、custom)的区别和 匿名访问 的应用,通过清晰的场景示例,教你实现安全分享,同时保护数据。
MinIO 身份管理基础
MinIO 的身份管理负责用户认证和授权,默认使用内置身份提供者(IDP)。核心概念包括:
-
用户(User)
用户通过Access Key(用户名)和Secret Key(密码)访问 MinIO,可用命令行工具mc或 Web 控制台管理。 -
服务账号(Service Account)
服务账号是为应用程序设计的专用凭证,无法登录控制台,但可通过 API 访问资源,适合自动化脚本或服务集成。 -
策略(Policy)
JSON 格式的策略定义用户、服务账号或匿名访问对存储桶(Bucket)和对象(Object)的权限,基于 AWS S3 语法。 -
匿名访问(Anonymous Access)
允许未认证用户(无Access Key)通过 URL 或 API 访问特定资源,需通过存储桶权限配置。
用户组:可通过 mc admin group 批量管理用户权限。
我们的目标是:安全地让匿名用户或服务账号读取特定内容,限制列出存储桶或文件列表。
准备工作
-
确保 MinIO 运行:假设 MinIO 部署在
http://localhost:9000,管理员账号为homes4,密码为aiy0ooCheephai0ohNahmu3Aijee6eiv。 -
安装 mc 工具:下载 MinIO 客户端(
mc),用于配置权限(支持 Windows、Mac、Linux)。 -
配置 mc:
mc alias set homes4 http://localhost:9000 homes4 aiy0ooCheephai0ohNahmu3Aijee6eiv
Added `homes4` successfully.准备好后,我们开始配置权限!
PS:命令行方式和可视化操作效果是一样的,主要还是以命令行操作为主
存储桶权限:Private、Public 和 Custom
MinIO 的存储桶权限控制匿名访问行为,分为 private、public 和 custom 三种模式,可通过 mc anonymous 命令设置。以下是它们的区别
Private(私有)
-
定义:禁止所有匿名访问,仅允许认证用户或服务账号(有 Access Key 和策略授权)访问。
-
适用场景:保护敏感数据,如内部文档、用户数据。
-
效果:匿名用户访问存储桶或对象时,返回 403 Forbidden
-
配置:
mc anonymous set none homes4/web
Public(公开)
注意:风险较高,容易暴露所有文件,慎用。(我个人基本不用)
-
定义:允许匿名用户访问,权限包括:
-
download:只读(s3:GetObject)
-
upload:只写(s3:PutObject)。
-
public:读写均可。
-
-
适用场景:分享公开资源,如网站静态文件、开源软件。
-
配置(只读):
mc anonymous set download homes4/web -
效果:匿名用户可通过 URL(如 http://localhost:9000/web/file.jpg)读取对象,可能列出文件列表(若未限制)。
Custom(自定义)
推荐用
-
定义:通过 JSON 策略精确控制匿名访问权限,如限制特定路径或操作。
-
适用场景:部分公开,如只分享某个文件夹,或禁止列出文件列表。
-
配置:见下文场景示例。
-
效果:灵活性最高,匿名用户只能执行策略允许的操作。
存储桶权限区别总结
| 模式 | 匿名访问权限 | 适用场景 | 配置命令 |
| Private | 禁止匿名访问 | 敏感数据 | mc anonymous set none |
| Public | 读、写或读写(看设置) | 公开资源 | mc anonymous set download upload/public |
| Custom | 自定义(JSON 策略) | 部分公开、精确控制 | mc anonymous set-json <policy-file> |
实战:安全分享存储内容
通过一个最常见的场景,教你如何:
-
让匿名用户只读特定文件,禁止列出存储桶或文件列表。
此外,还会写如何用服务账号为应用程序提供类似权限。
新建存储桶
先创建一个存储桶,默认创建的存储桶都是私有权限
root@docker:~$ mc mb homes4/cli
Bucket created successfully `homes4/cli`.
root@docker:~$ mc ls homes4
[2025-05-01 11:26:11 EDT] 0B cli/
[2025-05-01 11:23:57 EDT] 0B ddd/
[2025-05-01 10:38:53 EDT] 0B homes4/
[2025-05-01 11:29:06 EDT] 0B web/场景:只读特定文件,禁止列出存储桶或文件列表
需求:存储桶 web 包含 public/photo.jpg 和 private/secret.pdf。想让匿名用户只读 photo.jpg,但不能列出 web桶中 的文件列表,也不能访问其他文件或存储桶
步骤:
设为 Private(默认安全)
mc anonymous set none homes4/web创建自定义策略:只允许匿名读取 public/photo.jpg
{"Version":"2012-10-17",
"Statement":[{"Action":["s3:GetObject"],"Effect":"Allow","Resource":["arn:aws:s3:::web/public/photo.jpg"],"Principal":"*"}
]
}-
s3:GetObject:允许读取对象
-
Resource:精确到 photo.jpg, 例如你想某个目录读写
arn:aws:s3:::web/public/* -
Principal: "*":表示匿名用户
-
无 s3:ListBucket:禁止列出文件列表
应用策略
mc anonymous set-json custom.json homes4/web控制台可以直接编辑存储桶的Access Policy,改成Custom,内容和上面一致
查看策略
root@docker:~$ mc anonymous get-json homes4/web
{
"Statement": [{"Action": ["s3:GetObject"],"Effect": "Allow","Principal": {"AWS": ["*"]},"Resource": ["arn:aws:s3:::web/public/photo.jpg"]}],
"Version": "2012-10-17"
}
效果
-
匿名用户可通过 http://localhost:9000/web/public/photo.jpg 下载 photo.jpg。
-
其他访问都是403
服务账号:为应用程序配置相同权限
需求:为应用程序(如网站后端)提供只读 public/photo.jpg 的权限,类似上述场景,但通过服务账号实现
步骤:
创建用户(服务账号需绑定到用户):
密码长度需要8-40
mc admin user add homes4 app1user app1passweb可视化操作,policy那里随便选个小权限的,后面需要调整
创建服务账号:为 app1user 生成服务账号,绑定 custom.json 策略
mc admin user svcacct add homes4 app1user --access-key svc1 --secret-key svc1pass --policy custom.json可视化操作创建服务状态,凭证信息会随机生成,且只显示一次
策略规则只能在生成access key后才能编辑操作
实用技巧:兼顾安全与便利
-
优先 Custom 模式:比 public 安全,精确控制分享内容。
-
避免 Public 模式:除非真想完全公开,否则可能暴露所有文件。
-
检查权限:定期用
mc anonymous get-json homes4/web确认存储桶权限 -
随机存储桶名:用随机名,降低被猜到风险
-
用预签名 URL 临时分享:生成带有效期的链接,过期失效:
# 分享下载链接,下载速度限制10MB/s有效期7天
mc share download --limit-download 10MB homes4/web/private/secret.pdf总结
MinIO 的权限配置简单而灵活,用服务账号拥有某个存储桶的只读权限就行了。