Root Access Settings
本页介绍了控制 MinIO 进程 root(超级用户)访问权限的设置。 root 用户拥有在 MinIO 部署上执行操作的完全访问权限和所有权限。
Root User 和 Root Password 是必需的,即使您使用MinIO 密钥加密服务或其他密钥管理工具。
您可以通过定义以下内容来建立或修改设置:
an 环境变量在启动或重启 MinIO 服务器之前,请在主机系统上设置此环境变量。 有关如何定义环境变量,请参阅操作系统的文档。
a 配置设置使用
mc admin config set.
如果您同时定义了环境变量和类似的配置设置,MinIO 将使用环境变量的值。
某些设置只有环境变量或配置设置,但没有两者都提供。
重要
每个配置设置控制着 MinIO 的基本行为和功能。 MinIO强烈建议在应用到生产环境之前,先在较低环境(如开发环境或测试环境)中测试配置变更。
Root User
- MINIO_ROOT_USER
访问密钥用于root用户。
警告
If MINIO_ROOT_USER未设置,minio默认为minioadmin.
从不在生产环境中使用默认凭据。
MinIO强烈建议指定一个唯一的、长的且随机的MINIO_ROOT_USER所有环境的值。
此设置没有配置变量设置。 请改用环境变量。
Root Password
- MINIO_ROOT_PASSWORD
密钥root用户。
警告
If MINIO_ROOT_PASSWORD未设置,minio默认为minioadmin.
从不在生产环境中使用默认凭据。
MinIO强烈建议指定一个唯一的、长的且随机的MINIO_ROOT_PASSWORD所有环境的值。
此设置没有配置变量设置。 请改用环境变量。
Root Access
MinIO 版本新增功能:Server RELEASE.2023-05-04T21-44-30Z
指定on启用并off禁用rootuser account.
禁用 root 服务账户也会禁用所有与 root 关联的服务账户,但不包括站点复制使用的服务账户。
默认为on.
重要
如果您通过此设置禁用 root API 访问,您必须仍然设置一个root用户和root密码供内部使用。
确保您至少有一个其他管理员用户,例如具有consoleAdmin策略,在禁用 root 账户之前。
如果您没有其他管理员用户,禁用 root 账户将锁定对部署的管理访问权限。
您可以使用此变量临时覆盖配置设置,重新启用对部署的根访问权限。
要重置意外锁定,请设置MINIO_API_ROOT_ACCESS on要覆盖此设置并临时重新启用 root 账户。
然后您可以更改此设置为on or进行必要的用户/策略更改,确保通过其他非root账户能够正常进行管理访问。
唯一根凭据
版本 Server 中的新功能:RELEASE.2024-03-03T17-50-39Z
MinIO 在以下所有条件均为真时会自动生成唯一的根凭据:
KESRelease 2024-03-01T18-06-46Z 或更高版本正在运行
还没有定义:
MINIO_ROOT_USER变量MINIO_ROOT_PASSWORD变量
有:
设置 KES 与支持的 KMS 目标
禁用了 root 访问权限MinIO 环境变量
当这些条件在启动时满足,MinIO 使用 KMS 为部署生成唯一的根凭据,使用一个基于哈希的消息认证码 (HMAC).
如果 MinIO 生成此类凭据,用于生成凭据的密钥必须保持不变和继续存在。 部署中的所有数据都使用此密钥进行加密!
要轮换生成的根凭据,请在 KMS 中生成一个新密钥,然后更新MINIO_KMS_KES_KEY_NAME使用新密钥。
