linux 通过命令将 MinIO 桶的权限设置为 Custom(自定义策略)

最新推荐文章于 2025-05-29 23:12:09 发布
最新推荐文章于 2025-05-29 23:12:09 发布
阅读量552 收藏 6
点赞数 9
分类专栏: 笔记 linux 文章标签: linux 服务器 ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41451744/article/details/148262265
版权

在 Ubuntu 下,如果要通过命令将 MinIO 桶的权限设置为 Custom(自定义策略),可以使用 mc(MinIO Client)、AWS CLI 或直接调用 MinIO API(如 curl)。以下是几种方法:

方法 1:使用 mc 设置自定义策略

mc 是 MinIO 官方命令行工具,支持直接设置自定义策略(JSON 格式)。

1. 安装 mc(如果未安装)

执行完wget,会告知mc的下载地址在哪,如无特殊限制,一般在root下,执行执行下方命令就行,如果不是,赋权限时记得修改路径,例如:sudo chmod +x /home/soft/mc

wget https://dl.min.io/client/mc/release/linux-amd64/mc -O ~/mc
chmod +x ~/mc
sudo mv ~/mc /usr/local/bin/

2. 配置 MinIO 服务器别名

mc alias set ALIAS SERVER_URL ACCESS_KEY SECRET_KEY
  • ALIAS:自定义别名(如 myminio
  • SERVER_URL:MinIO 服务器地址(如 http://localhost:9000

3. 创建自定义策略 JSON 文件

新建一个 JSON 文件(如 custom-policy.json),定义自定义权限:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": ["s3:GetObject"],
            "Resource": ["arn:aws:s3:::BUCKET_NAME/*"],
            "Condition": {
                "IpAddress": {"aws:SourceIp": ["192.168.1.0/24"]}
            }
        }
    ]
}
  • 此示例允许 192.168.1.0/24 网段的用户下载文件,其他 IP 拒绝访问。

4. 应用自定义策略

mc policy set-json custom-policy.json ALIAS/BUCKET_NAME
  • ALIAS:MinIO 别名(如 myminio
  • BUCKET_NAME:桶名称(如 mybucket
# 示例
mc policy set-json /home/soft/minio/policy.json minio/test_bucket

5. 验证策略

mc policy get ALIAS/BUCKET_NAME

方法 2:使用 AWS CLI(兼容 MinIO)

如果已安装 AWS CLI,可以直接修改桶策略。

1. 安装 AWS CLI

sudo apt update
sudo apt install awscli

2. 配置 AWS CLI 连接 MinIO

aws configure set aws_access_key_id YOUR_ACCESS_KEY
aws configure set aws_secret_access_key YOUR_SECRET_KEY
aws configure set default.region us-east-1
aws configure set default.s3.endpoint_url http://localhost:9000

3. 设置自定义策略

BUCKET_NAME="your-bucket"
POLICY_JSON='{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {"AWS": ["arn:aws:iam::123456789012:user/user1"]},
            "Action": ["s3:GetObject"],
            "Resource": ["arn:aws:s3:::'"$BUCKET_NAME"'/*"]
        }
    ]
}'

aws s3api put-bucket-policy --bucket "$BUCKET_NAME" --policy "$POLICY_JSON"
  • 此示例仅允许特定 IAM 用户访问。

4. 验证策略

aws s3api get-bucket-policy --bucket "$BUCKET_NAME"

方法 3:使用 curl 调用 MinIO API

直接通过 HTTP API 设置自定义策略。

1. 生成签名请求

BUCKET_NAME="your-bucket"
MINIO_SERVER="http://localhost:9000"
ACCESS_KEY="your-access-key"
SECRET_KEY="your-secret-key"
DATE_ISO=$(date -u +"%Y%m%dT%H%M%SZ")
DATE_SHORT=$(date -u +"%Y%m%d")

# 自定义策略 JSON
POLICY_JSON='{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": ["s3:GetObject"],
            "Resource": ["arn:aws:s3:::'"$BUCKET_NAME"'/*"],
            "Condition": {
                "IpAddress": {"aws:SourceIp": ["192.168.1.100/32"]}
            }
        }
    ]
}'

# 计算签名(简化版,实际需完整 AWS Signature v4)
curl -X PUT "$MINIO_SERVER/$BUCKET_NAME/?policy" \
  -H "Host: $(echo $MINIO_SERVER | sed 's|^http[s]://||')" \
  -H "x-amz-date: $DATE_ISO" \
  -H "Authorization: AWS4-HMAC-SHA256 Credential=$ACCESS_KEY/$DATE_SHORT/us-east-1/s3/aws4_request, SignedHeaders=host;x-amz-date, Signature=$(echo -n "AWS4-HMAC-SHA256\n$DATE_ISO\n$DATE_SHORT/us-east-1/s3/aws4_request\n$(echo -en "PUT\n/$BUCKET_NAME/\npolicy=\nhost:$(echo $MINIO_SERVER | sed 's|^http[s]://||')\nx-amz-date:$DATE_ISO\n\nhost;x-amz-date\n$(echo -n "$POLICY_JSON" | sha256sum | cut -d' ' -f1)" | sha256sum | cut -d' ' -f1)" | openssl dgst -sha256 -mac HMAC -macopt "hexkey:$(echo -n "AWS4$SECRET_KEY" | od -A n -t x1 | tr -d ' \n')" | cut -d' ' -f2)" \
  -d "$POLICY_JSON"

方法 4:使用 Python (boto3)

如果已安装 Python,可以用 boto3 设置自定义策略。

1. 安装 boto3

pip install boto3

2. Python 脚本

import boto3
import json
from botocore.client import Config

ENDPOINT = "http://localhost:9000"
ACCESS_KEY = "your-access-key"
SECRET_KEY = "your-secret-key"
BUCKET_NAME = "your-bucket"

s3 = boto3.client(
    "s3",
    endpoint_url=ENDPOINT,
    aws_access_key_id=ACCESS_KEY,
    aws_secret_access_key=SECRET_KEY,
    config=Config(signature_version="s3v4"),
)

policy = {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {"AWS": ["arn:aws:iam::123456789012:user/user1"]},
            "Action": ["s3:GetObject"],
            "Resource": [f"arn:aws:s3:::{BUCKET_NAME}/*"]
        }
    ]
}

s3.put_bucket_policy(Bucket=BUCKET_NAME, Policy=json.dumps(policy))
print("Custom policy applied!")

运行:

python3 set_custom_policy.py

注意事项
版本兼容性:MinIO 新版本(≥ RELEASE.2023-01-25T16-20-52Z)推荐使用 mc anonymous,旧版本可能仍支持 mc policy。

总结

方法适用场景推荐指数
mc policy set-json最简单,官方推荐⭐⭐⭐⭐⭐
AWS CLI兼容 AWS S3⭐⭐⭐⭐
curl + MinIO API无需额外工具⭐⭐
Python (boto3)编程方式⭐⭐⭐

推荐

  • 优先使用 mc policy set-json(最简单可靠)。
  • 如果已熟悉 AWS CLI,可以用 aws s3api put-bucket-policy
  • 需要编程控制时,选择 Python + boto3

希望这些方法能满足你的需求! 🚀

信创环境下分布式文件存储MinIO集群部署
Heartsuit的博客
06-18 1896
本次项目涉及20+台服务器的部署,技术包括 注册中心集群、 网关服务集群、 关系型数据库服务集群、 分布式文件存储服务集群、 缓存服务集群、 服务端消息推送集群、 定时任务服务集群、 反向代理高可用集群、监控服务集群等。这里主要记录下分布式文件存储服务集群以及缓存服务集群的搭建过程。 Note:以下所有操作分别在4台主机上操作,文件传输: 在4台主机上创建目录并挂载。 编写启动脚本 新建脚本 赋予执行权限 编写服务脚本 新建脚本 验证系统服务 关闭防火墙 由于四台主机
MinIO使用
小林的博客
06-05 1168
Minio 是个基于 Golang 编写的开源对象存储套件,基于Apache License v2.0开源协议,虽然轻量,却拥有着不错的性能。它兼容亚马逊S3云存储服务接口。可以很简单的和其他应用结合使用,例如 NodeJS、Redis、MySQL等。
MinIO 客户端 mc 访问与管理:从安装到权限设置的全方位指南
敲代码别忘了喝上一杯凉白开。
10-04 1805
本文详细介绍了如何使用 MinIO 客户端 `mc` 进行访问和管理 MinIO 存储服务。通过从安装 `mc` 客户端开始,涵盖了如何在不同操作系统中安装 MinIO 客户端,以及如何使用 `mc` 命令添加存储服务、创建存储、查看集群信息等操作。此外,文章还介绍了管理员命令以及如何设置存储访问策略,包括自定义、私有、公开、下载和上传权限等。无论是初学者还是管理员,都能通过此指南轻松掌握 MinIO 的访问和管理技巧。
深入浅出 MinIO:身份管理与权限配置实战 !
tersky的专栏
05-16 1147
本文详细介绍了MinIO的身份管理和权限配置,重点解析了存储的三种权限模式(private、public、custom)及其应用场景。通过身份管理,MinIO支持用户、服务账号和匿名访问的认证与授权,策略(Policy)用于定义具体的访问权限。文章还提供了实战示例,展示了如何通过自定义策略实现安全分享,确保匿名用户只能访问特定文件,同时限制列出存储或文件列表。此外,文章还介绍了如何为应用程序配置服务账号,提供类似权限。最后,总结了使用Custom模式的优先性,避免Public模式的风险,并建议定期检查权
Linux安装部署MinIO及快速入门
那就这样吧~
07-03 8908
Systemd是一个广泛应用于Linux系统的系统初始化和服务管理器,其可以管理系统中的各种服务和进程,包括启动、停止和重启服务,除此之外,其还可以监测各服务的运行状态,并在服务异常退出时,自动拉起服务,以保证服务的稳定性。系统自带的防火墙服务firewalld,我们自己安装的mysqld和redis均是由Systemd进行管理的,此处将MinIO服务也交给Systemd管理。
Linux操作Minio客户端创建多用户、多策略
Alan的博客
04-24 6850
使用mc命令完成多用户、多权限环境查看信息策略相关命令官方文档 环境 docker中安装Minio服务 docker中安装Minio客户端 查看信息 1、查看配置信息 // 查看配置信息 mc alias list 这个minio就是我们当前的策略 2、查看minio当前策略权限 mc admin policy list minio readwrite // 读写 writeonly // 只写 consoleAdmin // 控制台管理员 diagnostics // 诊断
minio linux修改端口,minio对象存储
weixin_29029145的博客
05-07 7765
作者:独笔孤行@taocloudminio是开源对象存储产品,具有简单、稳定、高性能特性。本文将近minio的基本配置的一些方法。minio有单点运行、纠删码、分布式纠删码三种方式。单点运行配置简单,只需启动minio服务并指定相关数据目录即可。在生产环境中常用的纠删码和分布式纠删码两种,纠删码类型是minio在单节点服务器配置多个数据盘作为数据存放目录的配置方式。分布式纠删码是minio跨节点配...
linux 常用自定义命令自定义执行脚本
Sanchar
12-14 7560
以下自定义命令维护在~/bin目录下 新建了自定义命令之后,给该文件夹下的全部自定义命令添加执行权限,参考如下 chmod u+x ./* 自定义命令创建示例 自定义log命令,用于查看日志文件等 vi /bin/log 内容如下: #!/bin/bash if [ ! -n "$2" ]; then tail -100f $1 else tail -$2f $1 fi 给log文件赋予可执行权限 cd ~/bin chmod u+x log 使用示例,假如有info.log日志文件,可使用log命
Minio使用教程
Waitfor_Me的博客
12-08 4718
minio介绍,以及一个简单的使用spring boot集成minio做图片的上传、删除案例
Minio对象存储零基础入门教程
explorer_321的博客
07-26 2336
minio零基础入门教程,帮助零基础小白从零开始搭建自己的minio服务器并用Java对minio服务器进行编程,实习文件的上传,下载等常用功能。
006.MinIO基础使用
weixin_30014265的博客
09-13 818
目录图形界面使用bucketAccess keys配置权限MonitoringTieringSite Replication客户端使用mc客户端安装bucket管理object管理Policy管理User管理Groups管理config管理集群管理curl工具使用 回到顶部图形界面使用 bucket bucket创建 图形界面创建bucket。 特性: Versioning 开启版本控制...
MinIO 简介安装与使用
h363659487的博客
10-22 937
MinIO 是一个采用 Go 语言开发的高性能、兼容 S3 协议的对象存储。它采用 GNU AGPL v3 开源协议。
MinIO(对象存储:图片、文件)的安装和Springboot整合
LC的博客
12-16 1228
官网:https://www.minio.org.cn/Minilo是一款开源的、轻量级的、分布式的云存储服务。和其他云服务不同的事,它更加适合部署在自己的服务器上。Minilo支持海量的数据存储,让用户可以轻松存储、管理和访问自己的数据。使用完全免费的 开源GNU AGPL v3的许可优点1.轻量级:MiniIo基于Golang开发,部署简单,需要的系统资源较少。2.分布式:MiniIo可以分布式部署,可以通过集群的方式提高可靠性和性能。
minio 配置https
03-29
设置自定义路径用于存放证书文件。例如,在启动脚本中加入以下内容: ```batch set MINIO_CERTS_DIR=C:\path\to\certs\ ``` 2. **复制证书文件** 将 `.key` 和 `.crt` 文件存放到上述指定的目录中。 3. **...
Linux 中,目录权限,mkdir -m 选项,用法
jie18894575860的博客
05-28 257
Linux 中,mkdir -m 选项用于在创建目录时直接指定权限模式(无需依赖默认的 umask)。默认权限:若省略 -m,目录权限由 umask 决定(通常 777 -umask)。执行权限(x):目录需要执行权限才能进入(cd)或访问其内容。安全建议:避免随意使用 777,可能引发安全风险。第三位:其他用户(Others)权限。第一位:所有者(Owner)权限。第二位:所属组(Group)权限。八进制 符号表示 权限说明。使用 u(所有者)、
linux】umask权限掩码
2201_75772333的博客
05-25 1251
介绍了Linux文件权限系统及umask接口的作用
零基础开始的网工之路第十四天------Linux程序管理
aigoushan的博客
05-27 616
是运行着的程序,是操作系统执行的基本单位,是程序运行的过程, 是动态的,是有生命周期及运行状态的。安装 : apr-util-bdb-1.6.1-9.el8.x86_64 2/9。安装 : apr-util-openssl-1.6.1-9.el8.x86_64 3/9。验证 : apr-util-bdb-1.6.1-9.el8.x86_64 3/9。
Linux | Shell脚本的基础知识
最新发布
2302_81507127的博客
05-29 647
执行一条命令完毕后,系统会给出一个退出值,若成功则为0,出现错误则1~255退出状态码是一个整数,其有效范围为0~255行为良好的UNIX命令,程序和工具都会返回0作为退出码来表示成功。
linux如何查看网络设备类型
小诸葛的博客
05-27 527
参数会显示设备的详细信息,包括类型。例如,输出中可能包含。运行该命令后,查看输出中网络设备的名称和类型。文件不存在,可能是非 TUN/TAP 设备。Linux 系统中网络设备的信息存储在。是具体的网络接口名(如。输出会显示驱动信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值