YouTube 摘要：身份和访问管理

MinIO 的 Will Dinyes 将在下一期教育类 YouTube 课程中讲解身份与访问管理。 这是一套包含六部分的快速课程，但内容非常丰富。 课程结束后，你应该能够在 MinIO 中设置用户和组，分配决定其访问级别的策略，创建自定义策略和规则集，以及与 OpenID 和 LDAP 等外部系统交互。

首先，Will 会介绍 内置策略概述，包括 MinIO 中现有的内置策略以及如何添加或修改自定义策略。 MinIO 预装了标准的身份与访问策略，并包含身份提供者 (IDP)，但允许你根据组织需要修改这些策略并使用 LDAP 和 OpenID。

MinIO 默认情况下会拒绝授权用户访问，除非明确指定允许。 这些默认策略与 AWS 策略兼容，便于迁移，其中包括 consoleAdmin（完全访问权限）、readonly（可以获取特定对象，没有列出权限）、readwrite（可以读取和写入所有对象和存储桶）、writeonly（可以将对象放入现有存储桶，但不能创建存储桶）以及 diagnostics（用于子网访问）。 在第一个视频中，Will 会在一个新的 MinIO 实例演示如何管理和编辑这些策略。

下一个视频讲述的是 使用 IDP 管理用户和组，无论是使用 MinIO 内置 IDP 还是自定义 IDP。 用户由唯一的访问密钥和密钥组成，基本上相当于用户名和密码，可以为其分配任意数量的策略。 用户可以根据策略集进行分组，以便在组织内部轻松管理。 需要注意的是，在设置 MinIO 服务器时，MinIO 会创建一个 root 用户和密码，默认为 minioadmin/minioadmin，不由 MinIO IDP 管理。 出于安全考虑，在公开部署之前，使用环境变量或配置文件修改此默认设置至关重要。

第三个视频讲述的是 与 OpenID 和 LDAP 交互，以在外部管理 MinIO 的用户和组。 虽然我们建议刚入门时使用 MinIO IDP，但在商业应用程序中，你可能有很多理由想要迁移到其他方式，因为 MinIO 的 IDP 没有单点登录功能，也没有集中化管理，必须通过 MinIO 进行管理。

使用 OpenID 时，策略定义将保留在 MinIO 上，但你可以添加一个标志，告诉 OpenID 将哪些策略附加到 MinIO。 使用 LDAP 时，则反之，你需要告诉 MinIO 将哪些策略附加到来自 LDAP 的用户和组。 使用其中任何一种方式时，MinIO IDP 都会被停用，但前一个视频中提到的 root 用户仍然可用。 由于该过程比简短的博文所能描述的要复杂，我们建议你观看视频的后半部分，Will 会演示如何连接到 OIDC 和 LDAP。

在介绍了前三个视频中的高级概念后，Will 还提供了三个动手实验环节，你可以边看边做，学习几乎所有与身份与访问管理相关的操作，包括 设置用户、组和策略、 创建自定义策略以及 与 OpenID 和 LDAP 交互。 我们强烈建议你一边观看一边练习，特别是如果你刚开始使用 MinIO（尤其是第一次使用），以确保你不会错过任何内容。

从一开始就正确管理 MinIO 实例中的用户、组和策略对于确保数据安全、最大限度地发挥对象存储功能以及提高团队效率至关重要。 我们希望这套课程对您有所帮助。 欢迎您对任何问题与我们联系，并在我们的频道上关注未来课程。

有关在任何环境中安装、运行和使用 MinIO 的更详细的信息，请参阅我们的 文档。 若要详细了解 MinIO 或参与我们的社区，请访问 min.io 或加入我们的 公共 Slack 频道。 如果您想查看其他摘要，请使用 YouTube 摘要 标签。