在minio中，桶策略主要用于管理匿名（未认证）用户的访问权限，而要对特定认证用户进行精细化访问控制，则必须通过iam（身份与访问管理）策略实现。本文将详细阐述这两种策略的区别与应用场景，并提供具体的iam策略示例，指导用户如何为minio中的特定用户配置桶操作权限，避免混淆minio与aws s3的策略机制。

MinIO作为S3兼容的对象存储服务，其权限管理机制与AWS S3有相似之处，但也存在关键区别。理解MinIO中桶策略（Bucket Policy）与IAM策略（Identity and access Management Policy）的正确应用，对于实现安全、高效的访问控制至关重要。

MinIO 桶策略：管理匿名访问

在MinIO中，桶策略（Bucket Policy）的主要作用是定义匿名用户对桶或桶内对象的访问权限。这意味着，当一个请求未经过身份认证时，MinIO会根据桶策略来决定是否允许该操作。例如，如果希望让所有人都能公开读取某个桶中的内容，可以通过设置桶策略来实现。

桶策略示例：允许匿名用户读取 mybucket 中的所有对象

{   "Version": "2012-10-17",   "Statement": [     {       "Effect": "Allow",       "Principal": {         "AWS": ["*"]       },       "Action": ["s3:GetObject"],       "Resource": "arn:aws:s3:::mybucket/*"     }   ] }

应用桶策略：

可以使用 mc 命令行工具来设置桶策略：

mc policy set-JSon mypolicy.json myminio/mybucket

其中 mypolicy.json 是上述策略文件，myminio 是你的MinIO别名，mybucket 是目标桶名。

重要提示： MinIO的桶策略仅适用于匿名访问。尝试在桶策略中指定特定认证用户（例如 arn:aws:iam::account_id:root 或 arn:aws:iam:::user/your_user_name）来限制其访问是无效的，因为MinIO会忽略已认证用户的桶策略中的 Principal 字段。

MinIO IAM 策略：实现认证用户访问控制

要对MinIO中的特定认证用户进行访问权限控制，必须使用IAM策略。IAM策略是附加到用户或组的权限集合，定义了这些用户或组可以执行的操作以及可以访问的资源。这与AWS IAM的工作方式更为接近。

IAM策略的结构

MinIO IAM策略的结构与AWS IAM策略非常相似，通常包含以下字段：

• Version: 策略语言版本，通常为 “2012-10-17″。
• Statement: 策略的核心，包含一个或多个权限声明。
  • Sid: 可选的语句ID，用于区分不同的声明。
  • Effect: 权限效果，可以是 “Allow”（允许）或 “Deny”（拒绝）。
  • Principal: 策略生效的主体。在MinIO中，对于IAM策略，通常使用 AWS: [“arn:aws:iam:::user/your_user_name”] 来指定特定用户，或 AWS: [“*”] 表示所有经过认证的用户。
  • Action: 允许或拒绝的操作列表，例如 s3:GetObject, s3:PutObject 等。
  • Resource: 策略作用的目标资源，通常是桶或桶内的对象，使用ARN格式，例如 arn:aws:s3:::mybucket/*。
  • Condition: 可选的条件块，用于进一步细化策略的生效条件。

示例：限制特定用户 myuser 对 mybucket 的访问

AppMall应用商店

AI应用商店，提供即时交付、按需付费的人工智能应用服务

56

查看详情

假设我们有一个MinIO用户名为 myuser，我们希望他只能在 mybucket 中上传和下载对象，但不能删除桶或更改桶的配置。

首先，创建一个名为 myuser-access-policy.json 的IAM策略文件：

{   "Version": "2012-10-17",   "Statement": [     {       "Effect": "Allow",       "Action": [         "s3:GetObject",         "s3:PutObject",         "s3:ListBucket"       ],       "Resource": [         "arn:aws:s3:::mybucket",         "arn:aws:s3:::mybucket/*"       ]     },     {       "Effect": "Deny",       "Action": [         "s3:DeleteBucket",         "s3:PutBucketPolicy",         "s3:PutBucketLifecycle",         "s3:PutBucketNotification"       ],       "Resource": "arn:aws:s3:::mybucket"     }   ] }

策略说明：

• 第一个 Statement 允许用户 myuser 对 mybucket 执行获取对象、放置对象和列出桶内容的操作。
• 第二个 Statement 明确拒绝用户 myuser 执行删除桶、设置桶策略、生命周期或通知等敏感操作。

应用IAM策略：

1. 创建策略：

   mc admin policy add myminio myuser-access myuser-access-policy.json

   这会在MinIO中创建一个名为 myuser-access 的IAM策略。

2. 将策略附加到用户：

   mc admin policy attach myminio myuser-access --user myuser

   这将把 myuser-access 策略附加到用户 myuser。现在，myuser 的权限将由这个IAM策略定义。

总结与注意事项

• MinIO桶策略（Bucket Policy）：仅用于控制匿名用户对桶的访问权限。
• MinIO IAM策略（Identity and Access Management Policy）：用于控制认证用户（通过Access Key和Secret Key登录的用户）的访问权限。这是实现用户级别精细化控制的正确方法。
• Principal 字段的差异：在MinIO的IAM策略中，Principal 字段通常不需要显式指定，因为策略是附加到特定用户或组的。如果策略是通用策略，需要指定 Principal，则应使用 AWS: [“arn:aws:iam:::user/your_user_name”] 或 AWS: [“*”]（代表所有认证用户），而不是AWS S3中常见的 arn:aws:iam::account_id:root 格式。
• 权限最小化原则：在配置任何策略时，始终遵循最小权限原则，即只授予用户完成其任务所需的最低权限。
• 测试验证：在部署策略后，务必使用受影响的用户账户进行测试，以确保权限配置符合预期。

通过正确区分和应用MinIO的桶策略和IAM策略，可以有效地管理对象存储的访问权限，确保数据的安全性和合规性。