`mc admin group`

描述

mc admin group 命令用于在 MinIO 部署上管理组。

组是一组用户的集合。每个组可以有一个或多个分配的政策，这些政策明确列出了组成员被允许或禁止访问的动作和资源。组为管理具有共同访问模式和工作负载的用户之间的共享权限提供了一种简化的方法。

Use mc admin on MinIO Deployments Only

MinIO 不支持与其他声称与 MinIO 部署兼容的 S3 兼容服务一起使用 mc admin 命令。

组和基于策略的访问控制

MinIO 使用基于策略的访问控制（PBAC）来支持对 已成功身份验证 到部署的用户进行授权。每个策略都包括定义允许或拒绝在部署上执行的动作/资源的规则。您可以将一个或多个策略分配给一个组。组成员将继承该组的分配策略。用户的总权限集包括他们明确分配的政策以及通过组成员身份继承的任何策略。

新创建的组默认没有策略。要配置组的分配策略，请使用 mc admin policy attach 命令。

有关 MinIO 用户和组的信息，请参阅用户管理和用户组管理。有关 MinIO 策略的更多信息，请参阅 MinIO Policy Based Access Control。

Deny overrides Allow

MinIO 遵循 IAM 标准，其中在同一动作或资源上的 Deny``（拒绝）规则会覆盖 ``Allow （允许）规则。例如，如果用户有一个明确分配的政策，其中有一个 Allow 规则针对某个动作/资源，而该用户的一个组有一个分配的政策，其中有一个 Deny 规则针对那个动作/资源，MinIO 只会应用 Deny 规则。

有关 IAM 策略评估逻辑的更多信息，请参阅 IAM 文档中关于 documentation on Determining Whether a Request is Allowed or Denied Within an Account 的部分。

示例

创建一个新组

使用 mc admin group add 为 S3 兼容主机创建新组：

mc admin group add ALIAS GROUPNAME MEMBER [MEMBER...]

将 ALIAS 替换为 S3 兼容主机的 alias。
将 GROUPNAME 替换为要创建的组的名称。
将 MEMBER 替换为至少一个 user 在 S3 主机上的成员。指定多个成员作为一个列表：MEMBER1 MEMBER2 MEMBER3。

列出可用组

使用 mc admin group ls 查看 S3 兼容主机上的所有组列表：

mc admin group ls ALIAS

将 ALIAS 替换为 alias 的 S3 兼容主机的别名。

查看群组详细信息

使用 mc admin group info 查看 S3 兼容主机上的组详细信息：

mc admin group info ALIAS GROUPNAME

将 ALIAS 替换为 alias 的 S3 兼容主机的别名。
将 GROUPNAME 替换为组的名称。

删除组

使用 mc admin group rm 从 S3 兼容主机中删除一个组：

mc admin group rm ALIAS GROUPNAME

将 ALIAS 替换为 S3 兼容主机的 alias。
将 GROUPNAME 替换为组的名字。

禁用组

使用 mc admin group disable 在 S3 兼容主机上禁用一个组：

mc admin group disable ALIAS GROUPNAME

将 ALIAS 替换为 S3 兼容主机的 alias。
将 GROUPNAME 替换为组的名称。

启用组

使用 mc admin group enable 命令在S3兼容主机上启用一个组：

mc admin group enable ALIAS GROUPNAME

将 ALIAS 替换为 S3 兼容主机的 alias。
将 GROUPNAME 替换为组的名称。

快速参考

mc admin group add TARGET GROUPNAME MEMBERS: 向MinIO部署中的组添加用户。如果组不存在，则创建该组。
mc admin group info TARGET GROUPNAME: 返回MinIO部署中组的详细信息。
mc admin group ls TARGET: 返回MinIO部署上所有组的列表。
mc admin group rm TARGET GROUPNAME: 从MinIO部署中删除一个组。
mc admin group enable TARGET GROUPNAME: 在MinIO部署上启用一个组。用户只能继承分配给已启用组的策略。
mc admin group disable TARGET GROUPNAME: 在MinIO部署上禁用一个组。用户无法继承分配给禁用组的策略。

语法

mc admin group add

将现有用户添加到组中。如果该组不存在，命令将创建该组。该命令具有以下语法：

mc admin group add TARGET GROUPNAME MEMBERS

该命令接受以下参数：

TARGET: 在配置的MinIO部署上， alias 是用于添加用户到新组或现有组的命令。

GROUPNAME

组的名字。如果该组尚不存在，则命令会创建该组。可以使用 mc admin group ls 命令来查看部署上现有的所有组。

组名不能包含字符 ``=``（等号）或 ``,``（逗号）。

MEMBERS

要添加到组中的用户的名称。

用户必须在 TARGET 命令所指定的MinIO部署上存在。可以使用 mc admin user ls 命令来查看部署上可用的所有用户。

mc admin group info

目标部署上组的详细信息，包括该组的所有成员用户和分配给该组的策略。命令的语法如下：

mc admin group info TARGET GROUPNAME

该命令接受以下参数：

TARGET: 要从哪个配置的MinIO部署检索组信息，请指定该部署的 alias。

GROUPNAME: 群组的名称。

mc admin group ls, list

列出目标 MinIO 部署上的所有组。该命令有以下语法：

mc admin group ls TARGET

该命令接受以下参数：

TARGET: 要检索组的配置MinIO部署的 alias。

mc admin group rm, remove

从目标MinIO部署上删除一个组。删除组不会移除组中任何用户成员。使用 mc admin user rm 命令来从组中移除用户。

该命令具有以下语法：

mc admin group rm TARGET GROUPNAME

该命令接受以下参数：

TARGET: 要删除组的配置MinIO部署的 alias。

GROUPNAME: 要删除的组的名称。

mc admin group enable

在目标MinIO部署上启用该组。用户只能从启用的组继承策略。默认情况下，组在创建时启用。该命令有以下内容语法：

mc admin group enable TARGET GROUPNAME

该命令接受以下参数：

TARGET: 已配置的MinIO部署的 alias ，用于启用组。

GROUPNAME: 要启用的组的名称。

mc admin group disable

在目标MinIO部署上禁用组。用户无法从已禁用的组继承策略。该命令的语法如下：

mc admin group disable TARGET GROUPNAME

该命令接受以下参数：

TARGET: 要禁用组的已配置MinIO部署的 alias。

GROUPNAME: 要禁用的组的名称。

商业支持购买咨询