minio 创建一个类似“家目录”的组策略

以下配置使用了配置变量,实现多用户家目录的功能,用户只能在与自己用户名相同的bucket里面进行完整的读写访问。PS:假设这里的对象存储服务器别名是 minio

创建配置文件 home.json

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": ["s3:ListBucket"],
      "Effect": "Allow",
      "Resource": ["arn:aws:s3:::*"],
      "Condition": {"StringLike": {"s3:prefix": ["${aws:username}/*"]}}
    },
    {
      "Action": [
        "*"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:s3:::${aws:username}/*"]
    }
  ]
}

添加新策略

$ mc admin policy add minio home ./home.json

添加home用户组

$ mc admin group add minio home

为home用户组应用策略

$ mc admin policy set minio home group=home

将herald用户加入home用户组

$ mc admin group add minio home herald