想查看或修改 MinIO 桶的匿名访问权限(public/private/custom)
在 Ubuntu 下,如果你想查看或修改 MinIO 桶的匿名访问权限(public/private/custom),需要使用 mc anonymous 命令而不是 mc policy。以下是详细操作指南:
1. 查看当前匿名访问权限
mc anonymous get minio/test
输出示例:
Access permission for `minio/test` is `private`
可能的值:private(私有)、public(公开读写)、download(仅公开下载)、upload(仅公开上传)。
2. 修改匿名访问权限
设置为公开读写(public)
mc anonymous set public minio/test
设置为仅公开下载(download)
mc anonymous set download minio/test
设置为仅公开上传(upload)
mc anonymous set upload minio/test
设置为私有(private)
mc anonymous set private minio/test
3. 自定义匿名策略(JSON)
如果需要更精细的控制(如限制 IP 或特定操作),需直接设置桶策略:
mc anonymous set-json policy.json minio/test
其中 policy.json 是自定义策略文件,例如:
{"Version": "2012-10-17","Statement": [{"Effect": "Allow","Principal": "*","Action": ["s3:GetObject"],"Resource": ["arn:aws:s3:::test/*"],"Condition": {"IpAddress": {"aws:SourceIp": ["192.168.1.0/24"]}}}]
}
4. 验证权限
mc anonymous get minio/test
或测试访问:
curl -I http://minio-server:9000/test/file.txt
# 返回 200 表示允许匿名访问
注意事项
- 版本兼容性:MinIO 新版本(≥ RELEASE.2023-01-25T16-20-52Z)推荐使用
mc anonymous,旧版本可能仍支持mc policy。 - 安全性:谨慎开放
public权限,避免数据泄露。 - 替代方案:如果需复杂策略(如基于用户或 IP 的限制),建议使用
mc anonymous set-json或 AWS CLI。
常见问题
Q:为什么 mc policy 报错?
A:MinIO 已弃用 mc policy,改用 mc anonymous 管理匿名访问。但自定义策略仍需通过 JSON 文件设置。
Q:如何完全禁用匿名访问?
A:确保所有桶设置为 private,并在 MinIO 服务器配置中禁用匿名访问(需修改服务端配置)。
通过以上命令,你可以灵活控制 MinIO 桶的匿名访问权限。如需更高级控制,建议结合 IAM 策略或 MinIO 服务端配置。