minio策略实践

已于 2023-11-07 10:53:54 修改
阅读量202 收藏
点赞数 1
文章标签: 服务器 linux 运维 minio 云存储
于 2023-11-02 12:01:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzuim/article/details/134179215
版权

目前支持设置IAM策略的有:存储桶、租户分组/用户、访问秘钥

  • 存储桶策略默认只有private、public和custom,限制的是存储桶匿名访问策略
  • 租户策略只能选择已有的策略组,限制的主要是租户登录后台的菜单权限,比如创建桶
  • 访问密码策略为租户策略的子集,限制的是API接口权限

基于实际需求

允许应用通过API上传文件保存,并支持匿名访问存储路径的文件

  1. 存储桶策略设计:只允许文件读取,其他权限禁用,比如:ListBucket权限

存储桶由超级管理员创建yxpt,而不是由租户创建

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "*"
                ]
            },
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::yxpt/*"
            ]
        }
    ]
}
  1. 租户策略,新增一个租户A,允许租户登录后台并查看或上传yxpt桶文件

策略组新增一个策略:app_yxpt,分配List、Get、Put权限并制定桶yxpt

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::yxpt/*"
            ]
        }
    ]
}
  1. 访问秘钥策略,由于访问秘钥策略自动继承租户策略,所以默认策略下,秘钥也将具有租户的所有权限

基于本需求,文件是通过桶策略进行匿名访问,所以秘钥策略采用最小化授权原则,只开放上传权限

{
 "Version": "2012-10-17",
 "Statement": [
  {
   "Effect": "Allow",
   "Action": [
    "s3:GetBucketLocation",
    "s3:PutObject"
   ],
   "Resource": [
    "arn:aws:s3:::yxpt/*"
   ]
  }
 ]
}

实际达到效果

  • 应用通过秘钥调用云存储OSS接口,只有upload能成功,其余的listobject等接口都无法正常调用
  • 上传的文件,可以通过路径直接访问,若直接访问根目录下,则无法列出文件清单
  • 租户A登录管理后台,只有存储桶yxpt,也不允许新建桶或修改桶策略,租户A可以对存储桶进行文件上传或查看
Fzuim
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
minio如何给桶设置public权限????
qq_30337731的博客
06-12 426
minio如何给桶设置public权限????
40.日常问题整理[2022/10/27]minio权限策略
weixin_46876034的博客
10-27 346
minio权限策略
Minio入门系列【10】Minio之权限控制策略
热门推荐
记录知识、锤炼自我
10-20 3万+
前言 本段文章来源于华为云OBS,因为都是S3标准的对象存储,所以很多概念和Minio是相通的。 为什么要进行访问权限控制(华为OBS) 为保证存储在SSO中数据的安全性,SSO资源(桶和对象)默认为私有,只有资源拥有者可以访问。 如果要允许他人访问和使用自己的SSO资源,可以设置访问权限控制策略,向他人授予指定资源的特定权限。 访问权限控制的典型场景(华为OBS) OBS如何进行访问权限控制(华为云) OBS提供丰富灵活的访问权限控制手段,满足不同场景下的授权需求。 IAM用户权限控制 相对比阿
Minio 教程 - Minio 之权限控制策略
qq_33240556的博客
05-14 2059
对于更细粒度的控制,可以创建自定义IAM策略。自定义策略允许你针对特定的存储桶或者对象,甚至是操作(如上传、下载、删除等)设置权限。策略以JSON格式编写,包含一组声明(Statements),每个声明定义了哪些主体(Principal)、在什么条件下(Condition)、对哪些资源(Resource)拥有何种权限(Action)。
Minio存储桶访问策略
dingjs520的专栏
01-19 1万+
访问策略 该包实现基于访问策略语言规范(Access Policy Language specification)的解析和验证存储桶访问策略 - http://docs.aws.amazon.com/AmazonS3/latest/dev/access-policy-language-overview.html 支持以下效果 Allow Deny 支持以下操作 s3:GetOb
minio几种访问策略
全栈攻城狮JSON的博客
11-20 3万+
minio访问策略设置分两种: 桶策略 用户策略 一、web端设置桶策略 桶的创建者拥有管理桶的权限,其他未授权用户不可管理桶 桶默认可以有三种Access Policy策略: public、custom、private 1.1、public 设置桶权限为public 不经过任何认证可以直接访问资源 1.2、custom 这种Access Policy策略是通过如下自定义Access Rules出现的 1.1.1、readonly 可以设置资源不经过授权,只能读取 1.1.2、writeonl
Mall脚手架总结(五) —— SpringBoot整合MinIO实现文件管理
荔枝当大佬的博客
10-15 870
在这篇文章中,荔枝主要今朝已然成为过去,明日依然向往未来!我是荔枝,在技术成长之路上与您相伴~~~如果博文对您有帮助的话,可以给荔枝一键三连嘿,您的支持和鼓励是荔枝最大的动力!如果博文内容有误,也欢迎各位大佬在下方评论区批评指正!!!
Minio 配置访问权限
weixin_42555971的博客
02-04 1万+
minio 访问权限
MinIO部署文件、文档
07-26
MinIO是一款开源的对象存储系统,特别适用于大数据和云计算环境中的数据存储与管理。它提供了高性能、安全性以及S3兼容的接口,使得...通过深入理解和实践MinIO的部署及管理,我们可以构建出满足需求的存储基础设施。
linux环境minio.zip
02-16
MinIO是一款开源的对象存储系统,特别适合在云和本地环境中使用。它提供了与Amazon S3兼容的API,因此可以轻松地...通过深入了解MinIO的配置选项和最佳实践,你可以构建一个高度可定制、安全且高效的对象存储解决方案。
ARM RPM MinIO
12-20
8. **跨地域复制**: MinIO支持跨数据中心的数据复制,确保数据的冗余和高可用性,符合灾难恢复的最佳实践。 在压缩包中的文件`minio-1.0.0-0.ky10.aarch64.rpm`是MinIO的ARM架构版本的RPM安装包,版本号为1.0.0。...
#源码# minio.zip
08-11
MinIO是一款开源的对象存储系统,特别适用...通过对MinIO源码的深入研究,不仅可以提升对对象存储的理解,还能学习到分布式系统、网络编程、安全策略等多个领域的知识,为开发和维护大规模存储系统提供宝贵的实践经验。
minio分布式部署搭建文档及安装程序
02-16
2. **数据一致性**:MinIO使用RAID-0风格的数据分片策略,将对象分割成多个部分并分散到不同的节点上,以实现数据冗余和性能提升。这种模式下,每个对象的副本数量可自定义,通常设置为3或4以保证容错性。 3. **...
minio权限之IAM policy配置及用户赋权
shenyunsese的专栏
07-18 9839
通常我们在使用minio的时候,需要添加用户,并且给用户授予相应桶的权限。本地主要介绍单独给桶设置policy的相关权限(读写,只读,只写),同时给用户赋予相应的Policy。最终达到给用户赋予某个桶独立的读写、只读、只写权限。...
minio8.x版本设置policy桶策略
qq_48329942的博客
01-21 1万+
文章目录前言一、policy策略1)7.0版本实现方式2)8.0后设置桶策略二、policy-理解json字符串含义1.新建桶是什么策略2.设置桶的规则3.用java代码完成1)将桶设置为public2)桶内文件夹权限设置4.prefix是断言吗?5.java代码设置桶策略总结 前言 minio是一个文件存储服务器,他实现了亚马逊s3协议,所以在文件管理管理上有着更加细粒的权限划分,同时它有着部署简便,支持大数据存储,上传下载速度快。分布式部署可以实现纠删码防止文件丢失特性。今天这篇文章主要讲mini..
minIO设置直接通过访问链接在浏览器中打开文件
destin223的博客
10-29 6759
1、进入bucket的配置页面,首先将 Access Policy设置为private,再点击Anonymous(配置匿名访问的)3、保存之后,它的Access Policy会自动变为custom,我们就能直接通过网址来访问该bucket里面的文件内容。理论上应该匿名只能够访问文件内容而不能进行上传和删除等操作,当然还没有试验过,写个项目测试一下才知道。访问文件网址为:ip:address/bucket的名字/文件的名字。2、进入页面后,配置只读访问权限,prefix按照提示输入就好。
对象存储-MinIO-学习-01-安装部署
最新发布
qq_45111959的博客
07-09 874
本文介绍MinIO的安装部署、创建存储桶、配置匿名访问策略、配置开机自启服务等。
minio之对象存储常用访问链路介绍
shenyunsese的专栏
07-11 4082
本文主要介绍客户端(web,android,ios,小程序),服务端,对象存储端,三端的数据流链路。其中对象存储端不仅仅适用私有部署的minio,还适用公有云的对象存储,如阿里云,腾讯云,七牛云等云厂商提供的对象存储服务。1、客户端请求上传文件 2、业务系统调用对象存储获取临时凭证 3、对象存储返回临时凭证 4、业务系统将临时凭证返给客户端,一般还会附带上传的路径 5、客户端依靠临时凭证上传文件 6、上传完成后,对象存储应答客户端 7、客户端上传完成对象后,应答服务端。该步骤一般是调用业务操作接口 ....
minio 策略管理界面操作
05-31
MinIO提供了一个Web管理界面,让您可以轻松地管理存储桶、对象和策略等资源。以下是一些MinIO策略管理界面的常见操作: 1. 登录到Web管理界面:在浏览器中输入MinIO服务器的IP地址和端口号,然后使用管理员账号登录到Web管理界面。 2. 创建新的策略:在Web管理界面中,进入“策略管理”页面,然后单击“创建新策略”按钮。在弹出的对话框中,输入策略名称、资源、操作和效果等信息,然后单击“保存”按钮即可。 3. 编辑策略:在Web管理界面中,进入“策略管理”页面,然后单击要编辑的策略名称。在弹出的对话框中,您可以修改策略的名称、资源、操作和效果等信息,然后单击“保存”按钮即可。 4. 删除策略:在Web管理界面中,进入“策略管理”页面,然后单击要删除的策略名称。在弹出的对话框中,单击“删除”按钮即可。 5. 绑定策略:在Web管理界面中,进入“用户管理”或“组管理”页面,然后单击要绑定策略的用户或组名称。在弹出的对话框中,选择要绑定的策略,然后单击“保存”按钮即可。 需要注意的是,在进行MinIO策略管理界面操作时,需要确保您有足够的权限来执行所需的操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值