minio策略实践

目前支持设置IAM策略的有:存储桶、租户分组/用户、访问秘钥

  • 存储桶策略默认只有private、public和custom,限制的是存储桶匿名访问策略
  • 租户策略只能选择已有的策略组,限制的主要是租户登录后台的菜单权限,比如创建桶
  • 访问密码策略为租户策略的子集,限制的是API接口权限

基于实际需求

允许应用通过API上传文件保存,并支持匿名访问存储路径的文件

  1. 存储桶策略设计:只允许文件读取,其他权限禁用,比如:ListBucket权限

存储桶由超级管理员创建yxpt,而不是由租户创建

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "*"
                ]
            },
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::yxpt/*"
            ]
        }
    ]
}
  1. 租户策略,新增一个租户A,允许租户登录后台并查看或上传yxpt桶文件

策略组新增一个策略:app_yxpt,分配List、Get、Put权限并制定桶yxpt

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:PutObject",
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::yxpt/*"
            ]
        }
    ]
}
  1. 访问秘钥策略,由于访问秘钥策略自动继承租户策略,所以默认策略下,秘钥也将具有租户的所有权限

基于本需求,文件是通过桶策略进行匿名访问,所以秘钥策略采用最小化授权原则,只开放上传权限

{
 "Version": "2012-10-17",
 "Statement": [
  {
   "Effect": "Allow",
   "Action": [
    "s3:PutObject"
   ],
   "Resource": [
    "arn:aws:s3:::yxpt/*"
   ]
  }
 ]
}

实际达到效果

  • 应用通过秘钥调用云存储OSS接口,只有upload能成功,其余的listobject等接口都无法正常调用
  • 上传的文件,可以通过路径直接访问,若直接访问根目录下,则无法列出文件清单
  • 租户A登录管理后台,只有存储桶yxpt,也不允许新建桶或修改桶策略,租户A可以对存储桶进行文件上传或查看

你可能感兴趣的:(服务器,linux,运维,minio,云存储)