minio策略实践

目前支持设置IAM策略的有:存储桶、租户分组/用户、访问秘钥

  • 存储桶策略默认只有private、public和custom,限制的是存储桶匿名访问策略
  • 租户策略只能选择已有的策略组,限制的主要是租户登录后台的菜单权限,比如创建桶
  • 访问密码策略为租户策略的子集,限制的是API接口权限

基于实际需求

允许应用通过API上传文件保存,并支持匿名访问存储路径的文件

  1. 存储桶策略设计:只允许文件读取,其他权限禁用,比如:ListBucket权限

存储桶由超级管理员创建yxpt,而不是由租户创建

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "*"
                ]
            },
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::yxpt/*"
            ]
        }
    ]
}
  1. 租户策略,新增一个租户A,允许租户登录后台并查看或上传yxpt桶文件

策略组新增一个策略:app_yxpt,分配List、Get、Put权限并制定桶yxpt

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::yxpt/*"
            ]
        }
    ]
}
  1. 访问秘钥策略,由于访问秘钥策略自动继承租户策略,所以默认策略下,秘钥也将具有租户的所有权限

基于本需求,文件是通过桶策略进行匿名访问,所以秘钥策略采用最小化授权原则,只开放上传权限

{
 "Version": "2012-10-17",
 "Statement": [
  {
   "Effect": "Allow",
   "Action": [
    "s3:GetBucketLocation",
    "s3:PutObject"
   ],
   "Resource": [
    "arn:aws:s3:::yxpt/*"
   ]
  }
 ]
}

实际达到效果

  • 应用通过秘钥调用云存储OSS接口,只有upload能成功,其余的listobject等接口都无法正常调用
  • 上传的文件,可以通过路径直接访问,若直接访问根目录下,则无法列出文件清单
  • 租户A登录管理后台,只有存储桶yxpt,也不允许新建桶或修改桶策略,租户A可以对存储桶进行文件上传或查看
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值