Как создать политику minio, чтобы юзер мог видеть только свой bucket?

Question

[Антон Пацев]

В Minio я создаю 2 юзера и 2 bucket.
Но эти оба юзера видят оба bucket.
Как создать политику minio, чтобы юзер мог видеть только свой bucket?

Answer 1

[azrocketa]

Если я правильно понял, вот подобный случай
И тут пишут что никак

https://github.com/minio/minio/issues/6811

No it is not possible, we do something similar to what AWS does, user is not tied to buckets . Buckets exist for all users you just selectively give them access.

Попробуйте решить задачу другим способом.
Запустите несколько копий minio на разных портах, один minio на один изолированный bucket, перед всеми minio серверами поставьте прокси nginx.

Если нет возможности сделать разные (под) доменны, попробуйте разнести их по разным location, в рамках одного домена.

Это должно сработать и изолировать бакеты.

https://docs.minio.io/docs/setup-nginx-proxy-with-... -

Answer 2

[zend0]

допустим есть наш бакет backet01

Создаём пользователя
mc admin user add minio <user_name> <password>
Добавляем политику

mc admin policy add minio <policy_name> policy.json

Привязываем политику к пользователю (или к группе если есть группа с несколькими пользователями)

mc admin policy set minio <policy_name> user=<user_name>

содержимое policy.json

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::backet01"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:*"
            ],
            "Resource": [
                "arn:aws:s3:::backet01/*"
            ]
        }
    ]
}

Для погружения в эти права:
API_Operations.html
list_amazons3.html
aws-arns-and-namespaces.html