这些页面的内容正在积极开发中，可能随时会更改。感谢您的耐心等待。

用户管理¶

本页面记录了管理流程用户在 MinIO 租户上。 MinIO 对所有传入请求强制执行身份验证和授权，客户端必须提供用户在 MinIO 租户上的凭据。

创建新的 MinIO 用户 ¶

MinIO Console Connectivity

以下过程假设使用作为 MinIO 租户一部分部署的 MinIO 控制台实例。由于 Kubernetes 限制外部访问，因此该过程假设：

用户正在从 Kubernetes 集群内部的主机访问控制台。

-或-
Kubernetes 集群具有Ingressresource 配置为授予对 MinIO 租户和控制台的外部访问权限。

以下步骤使用 MinIO 控制台在 MinIO 租户上创建新用户。

所需权限

TheconsoleAdmin内置策略提供了执行此过程所需的权限。请以已明确附加该策略的用户身份进行身份验证or从其组成员身份继承该策略。

没有所需权限的用户无法执行此过程。必要的UI元素对权限不足的用户不可见。

1) 打开用户管理界面¶

在浏览器中打开 MinIO 控制台并使用您的凭据登录。从控制台中点击用户在左侧导航中。如果管理员导航组已折叠，点击可展开该部分并查看用户导航项。

The用户interface shows all existing MinIO users and their access keys. Click the+ 创建用户打开按钮创建用户modal.

2) 创建新用户¶

The创建用户modal 显示以下用于配置新用户的输入项：

访问密钥	必需要附加到用户的访问密钥。客户端在连接到 MinIO 租户时必须提供此密钥。
密钥	必需输入要附加到用户的密钥。请遵循您所在组织的策略来生成安全密码。MinIO强烈建议为每个密钥生成长、唯一且随机的字符串。
分配群组	可选用户所属的群组。用户将继承与每个群组关联的IAM策略。您可以使用以下方式筛选群组：按组筛选input.

访问密钥

必需

要附加到用户的访问密钥。客户端在连接到 MinIO 租户时必须提供此密钥。

密钥

必需

输入要附加到用户的密钥。请遵循您所在组织的策略来生成安全密码。MinIO强烈建议为每个密钥生成长、唯一且随机的字符串。

分配群组

可选

用户所属的群组。用户将继承与每个群组关联的IAM策略。

您可以使用以下方式筛选群组：按组筛选input.

点击保存保存新用户。

3) 为用户分配策略¶

可选

如果用户的组成员身份提供了支持该用户预期工作负载所需的策略，则此步骤不是必需的。

MinIO uses Policy-Based Access Control (PBAC) to determine which actions and resources to which a MinIO Tenant user has access. A user can have MinIO 使用基于策略的访问控制（PBAC）来确定 MinIO 租户用户可以访问哪些操作和资源。用户可以拥有一显式附加的策略。每个用户还会继承其所属的每个组所附加的策略。给定用户的总权限集包括其显式附加和继承的策略。

要显式地将策略附加到用户，请打开用户管理界面并点击旗帜他们姓名旁边的图标以打开设置策略modal.

The设置策略模态框显示用于选择要附加到用户的策略的输入。

MinIO Console User Management Set Policies

Under分配策略, 选择要附加到用户的策略。您可以使用以下方式筛选策略：按策略筛选文本输入。一个用户可以拥有恰好一附加策略。

点击保存保存新的策略附件。

有关创建新的 IAM 策略以附加到 MinIO 组的完整文档，请参阅创建新策略.

4) 后续步骤¶

客户端应用程序可以使用与用户关联的访问密钥和密钥对MinIO租户进行身份验证和执行操作。有关使用用户凭证连接到S3兼容对象存储系统的示例，请参阅MinIO客户端SDK或任何S3兼容SDK。

为 MinIO 用户附加策略 ¶

MinIO Console Connectivity

以下过程假设使用作为 MinIO 租户一部分部署的 MinIO 控制台实例。由于 Kubernetes 限制外部访问，因此该过程假设：

用户正在从 Kubernetes 集群内部的主机访问控制台。

-或-
Kubernetes 集群具有Ingressresource 配置为授予对 MinIO 租户和控制台的外部访问权限。

有关创建新的 IAM 策略以附加到 MinIO 用户的完整文档，请参阅创建新策略.

以下过程使用 MinIO 控制台更改附加到 MinIO 用户的 IAM 策略。

所需权限

TheconsoleAdmin内置策略提供了执行此过程所需的权限。请以已明确附加该策略的用户身份进行身份验证or从其组成员身份继承该策略。

没有所需权限的用户无法执行此过程。必要的UI元素对权限不足的用户不可见。

1) 打开用户管理界面¶

打开浏览器中的控制台并使用您的凭据登录。从控制台中点击用户在左侧导航中。如果管理员导航组已折叠，点击可展开该部分并查看用户导航项。

2) 设置用户的附加IAM策略¶

要修改附加到用户的策略，请单击旗帜图标打开的设置策略modal.

The设置策略模态框显示用于选择要附加到用户的策略的输入。

Under分配策略, 选择要附加到用户的策略。您可以使用以下方式筛选策略：按策略筛选文本输入。一个用户可以拥有恰好一附加策略。

启用或禁用 MinIO 用户 ¶

MinIO Console Connectivity

以下过程假设使用作为 MinIO 租户一部分部署的 MinIO 控制台实例。由于 Kubernetes 限制外部访问，因此该过程假设：

用户正在从 Kubernetes 集群内部的主机访问控制台。

-或-
Kubernetes 集群具有Ingressresource 配置为授予对 MinIO 租户和控制台的外部访问权限。

以下过程使用 MinIO 控制台启用或禁用 MinIO 用户。应用程序只能以已启用的 MinIO 用户身份进行身份验证。

所需权限

TheconsoleAdmin内置策略提供了执行此过程所需的权限。请以已明确附加该策略的用户身份进行身份验证or从其组成员身份继承该策略。

没有所需权限的用户无法执行此过程。必要的UI元素对权限不足的用户不可见。

1) 打开用户管理界面¶

打开浏览器中的控制台并使用您的凭据登录。从控制台中点击用户在左侧导航中。如果管理员导航组已折叠，点击可展开该部分并查看用户导航项。

2) 选择要启用或禁用的用户¶

点击用户所在行以打开编辑用户modal:

3) 启用或禁用用户¶

右上角的切换开关编辑用户modal 显示 MinIO 用户的当前状态。

如果切换开关显示已启用用户当前已启用。如果开关显示已禁用用户当前处于禁用状态。点击切换按钮可更改用户状态。

点击保存保存更改。应用程序无法使用已禁用用户将无法向 MinIO 租户进行身份验证，直到它们被重新启用。

更改 MinIO 用户的组成员身份 ¶

MinIO Console Connectivity

以下过程假设使用作为 MinIO 租户一部分部署的 MinIO 控制台实例。由于 Kubernetes 限制外部访问，因此该过程假设：

用户正在从 Kubernetes 集群内部的主机访问控制台。

-或-
Kubernetes 集群具有Ingressresource 配置为授予对 MinIO 租户和控制台的外部访问权限。

MinIO uses Policy-Based Access Control (PBAC) to determine which actions and resources to which a MinIO Tenant user has access. MinIO also supports群组用户组，其中用户继承附加到该组的策略。因此，给定用户的访问权限包括其显式附加的策略集合和其从组成员身份继承的所有策略。

以下过程使用 MinIO 控制台更改 MinIO 用户的组成员资格。

所需权限

TheconsoleAdmin内置策略提供了执行此过程所需的权限。请以已明确附加该策略的用户身份进行身份验证or从其组成员身份继承该策略。

没有所需权限的用户无法执行此过程。必要的UI元素对权限不足的用户不可见。

1) 打开用户管理界面¶

打开浏览器中的控制台并使用您的凭据登录。从控制台中点击用户在左侧导航中。如果管理员导航组已折叠，点击可展开该部分并查看用户导航项。

2) 选择要编辑的用户¶

点击用户所在行以打开编辑用户modal:

3) 更改组成员身份¶

The编辑用户modal 显示有关所选 MinIO 租户用户的信息：

The分配群组section 显示 MinIO Tenant 上的可用组。切换选择在每个群组旁边的复选框中，仅需勾选用户必须隶属的群组。

您可以使用以下方式筛选群组：按组筛选input.

点击保存保存新的组成员身份。

删除 MinIO 用户 ¶

MinIO Console Connectivity

以下过程假设使用作为 MinIO 租户一部分部署的 MinIO 控制台实例。由于 Kubernetes 限制外部访问，因此该过程假设：

用户正在从 Kubernetes 集群内部的主机访问控制台。

-或-
Kubernetes 集群具有Ingressresource 配置为授予对 MinIO 租户和控制台的外部访问权限。

以下步骤使用 MinIO 控制台删除 MinIO 用户。

所需权限

TheconsoleAdmin内置策略提供了执行此过程所需的权限。请以已明确附加该策略的用户身份进行身份验证or从其组成员身份继承该策略。

没有所需权限的用户无法执行此过程。必要的UI元素对权限不足的用户不可见。

1) 打开用户管理界面¶

打开浏览器中的控制台并使用您的凭据登录。从控制台中点击用户在左侧导航中。如果管理员导航组已折叠，点击可展开该部分并查看用户导航项。

2) 删除用户¶

要删除用户，请点击垃圾桶打开图标删除用户modal:

您必须通过点击确认用户删除删除从模态框中。

MinIO Console User Management Delete User

更改 MinIO 用户密码 ¶

MinIO Console Connectivity

以下过程假设使用作为 MinIO 租户一部分部署的 MinIO 控制台实例。由于 Kubernetes 限制外部访问，因此该过程假设：

用户正在从 Kubernetes 集群内部的主机访问控制台。

-或-
Kubernetes 集群具有Ingressresource 配置为授予对 MinIO 租户和控制台的外部访问权限。

以下过程使用 MinIO 控制台更改已认证 MinIO 用户的密码。

所需权限

更改已认证用户的密码需要该用户具有明确附加的密码策略。or继承策略，允许以下操作和资源：

{
   "Version": "2012-10-17",
   "Statement": [
      {
            "Effect": "Allow",
            "Action": [
               "admin:ListUsers",
               "admin:GetUser",
               "admin:CreateUser"
            ]
      },
      {
            "Effect": "Allow",
            "Action": [
               "s3:*"
            ],
            "Resource": [
               "arn:aws:s3:::*"
            ]
      }
   ]
}

没有所需权限的用户无法执行此过程。必要的UI元素对权限不足的用户不可见。

1) 打开账户界面¶

要更改您的 MinIO 用户密码，请在浏览器中打开 MinIO 控制台并使用您的凭据登录。在控制台中，点击账户在左侧导航栏中。如果用户导航组已折叠，点击可展开该部分并查看账户navigation item.

点击修改密码要打开修改密码modal.

MinIO Console Account Management Change Password

2) 更改用户密码¶

The修改密码modal 显示以下用于更改 MinIO 用户密码的输入项：

当前密码	指定 MinIO 租户用户的现有密码。
新密码	指定 MinIO 租户用户的新密码。
再次输入新密码	请再次输入新密码以进行验证。

点击保存保存新密码。后续使用 MinIO 租户用户的登录尝试必须指定新密码。

创建服务账户 ¶

MinIO Console Connectivity

以下过程假设使用作为 MinIO 租户一部分部署的 MinIO 控制台实例。由于 Kubernetes 限制外部访问，因此该过程假设：

用户正在从 Kubernetes 集群内部的主机访问控制台。

-或-
Kubernetes 集群具有Ingressresource 配置为授予对 MinIO 租户和控制台的外部访问权限。

MinIO 服务账户是单个父级 MinIO 用户的子身份。每个服务账户根据其父级用户的权限继承特权。策略附加到其父用户和父用户所属的每个组所附加的策略。服务账户还支持可选的附加策略，该策略限制其对子集父用户可用的操作和资源。

Service Accounts 允许 MinIO 租户用户管理对租户的访问权限，而无需依赖管理操作。禁用或删除父用户也会禁用/删除该用户的所有 Service Accounts。

MinIO 服务账户仅可通过 MinIO 控制台进行管理。以下流程使用 MinIO 控制台创建与 MinIO 租户用户关联的新服务账户。

1) 打开账户界面¶

要创建新的服务账户，请打开浏览器中的 MinIO 控制台并使用您的凭据登录。在控制台中，点击账户在左侧导航栏中。如果用户导航组已折叠，点击可展开该部分并查看账户navigation item.

MinIO Console Service Account Management View

The账户interface 显示当前用户创建的所有现有 Service Accounts。点击+ 创建服务账户打开按钮创建服务账户modal.

2) 创建新的服务账户¶

The创建服务账户modal 显示一个输入框，用于配置新服务账户的可选 IAM 策略：

MinIO Console Service Account Management Create New Service Account

MinIO 服务账户继承其权限自附加到租户用户并由其继承的策略。可选策略可以指定一个子集明确允许作为租户用户权限一部分的操作和资源。无法在创建服务账户后应用自定义策略。

点击创建创建服务账户，如果指定了IAM策略，则包含可选的IAM策略。

3) 复制服务账号凭据¶

The新服务账户已创建对话框显示为新服务账户随机生成的访问密钥和密钥。

MinIO Console Service Account Management View Download Credentials

将凭据复制到安全位置，例如密码管理器或类似的密码保护系统。您也可以点击下载下载凭据为 JSON 文件。

重要

MinIO 控制台仅在此对话框中显示密钥，从不在关闭对话框后再次显示。MinIO 不支持更改服务帐户的凭据。如果服务帐户的凭据丢失，您必须创建一个新的服务帐户。

删除服务用户 ¶

MinIO Console Connectivity

以下过程假设使用作为 MinIO 租户一部分部署的 MinIO 控制台实例。由于 Kubernetes 限制外部访问，因此该过程假设：

用户正在从 Kubernetes 集群内部的主机访问控制台。

-或-
Kubernetes 集群具有Ingressresource 配置为授予对 MinIO 租户和控制台的外部访问权限。

MinIO 服务账户是与单个 MinIO 租户用户关联的特殊凭证。每个服务账户包含一个自动生成的随机访问密钥和一个共享的密钥。

以下过程删除与 MinIO 租户用户关联的服务账户。删除后，使用该服务账户的应用程序将无法使用服务账户凭据访问 MinIO 租户。服务用户管理功能可用仅通过 MinIO 控制台。

1) 打开账户界面¶

The账户界面显示当前用户创建的所有现有服务账户。

2) 删除服务账户¶

点击垃圾桶打开图标删除服务账户modal.

您必须通过点击确认用户删除删除从模态框中。