使用AWS SDK for Java 2.x为Minio存储桶配置用户访问策略

本文旨在指导开发者如何使用AWS SDK for Java 2.x为Minio存储桶配置用户访问策略。通过IAM（Identity and Access Management）的核心概念，我们将详细介绍如何创建IAM策略、定义角色、将策略附加到角色，并最终通过角色授权用户访问Minio（S3兼容）存储桶，从而实现精细化的权限管理。

在Minio作为后端服务，并使用software.amazon.awssdk.services.s3.S3Client进行交互的场景中，许多开发者可能会发现S3Client提供了putBucketPolicy方法来设置存储桶策略，但似乎没有直接为用户分配策略的方法。这主要是因为S3Client主要用于S3服务本身的数据操作（如上传、下载、管理存储桶），而用户和权限的管理则属于AWS IAM（Identity and Access Management）的范畴。

要为用户配置对Minio存储桶的访问权限，我们不能直接通过S3Client为用户分配策略，而是需要遵循IAM的最佳实践：创建策略、定义角色，并将策略附加到角色上，然后允许用户通过“承担角色”（Assume Role）的方式获取临时凭证来访问资源。

核心概念：IAM策略与角色

在深入代码实现之前，理解IAM的两个核心概念至关重要：

立即学习“Java免费学习笔记（深入）”；

策略 (Policy)：策略是定义权限的文档，以JSON格式编写。它明确了允许或拒绝哪些操作（Action）在哪些资源（Resource）上执行。例如，一个策略可以允许用户列出所有S3存储桶，或者只允许对特定存储桶进行读写操作。角色 (Role)：角色是一种IAM身份，它具有特定的权限策略。与用户不同，角色不是由特定个人长期使用的。相反，角色旨在由需要它的实体临时承担，例如IAM用户、AWS服务或外部身份。当一个实体承担角色时，它会获得该角色所关联策略定义的临时安全凭证。

Minio作为S3兼容服务，其权限管理也遵循类似的IAM模型。

步骤一：创建IAM策略

首先，我们需要定义一个IAM策略，该策略将指定用户对Minio存储桶的访问权限。这个策略可以是允许S3的读写操作，也可以是更细粒度的控制。

X Studio

网易云音乐·X Studio

91 查看详情

我们将使用IamClient来创建策略。策略文档（PolicyDocument）是一个JSON字符串，定义了具体的权限。

import software.amazon.awssdk.core.waiters.WaiterResponse;import software.amazon.awssdk.services.iam.model.CreatePolicyRequest;import software.amazon.awssdk.services.iam.model.CreatePolicyResponse;import software.amazon.awssdk.services.iam.model.GetPolicyRequest;import software.amazon.awssdk.services.iam.model.GetPolicyResponse;import software.amazon.awssdk.services.iam.model.IamException;import software.amazon.awssdk.services.iam.IamClient;import software.amazon.awssdk.services.iam.waiters.IamWaiter;public class IAMPolicyManagement {    // 示例策略文档，允许对所有S3资源进行所有操作    public static final String S3_FULL_ACCESS_POLICY_DOCUMENT =            "{" +                    "  "Version": "2012-10-17"," +                    "  "Statement": [" +                    "    {" +                    "        "Effect": "Allow"," +                    "        "Action": [" +                    "            "s3:*"" +                    "       ]," +                    "       "Resource": "*"" +                    "    }" +                    "   ]" +                    "}";    /**     * 创建一个新的IAM策略。     * @param iam IamClient实例。     * @param policyName 策略名称。     * @return 创建策略的ARN。     */    public static String createIAMPolicy(IamClient iam, String policyName) {        try {            IamWaiter iamWaiter = iam.waiter();            CreatePolicyRequest request = CreatePolicyRequest.builder()                .policyName(policyName)                .policyDocument(S3_FULL_ACCESS_POLICY_DOCUMENT) // 使用预定义的策略文档                .build();            CreatePolicyResponse response = iam.createPolicy(request);            String policyArn = response.policy().arn();            // 等待策略创建完成            GetPolicyRequest polRequest = GetPolicyRequest.builder()                    .policyArn(policyArn)                    .build();            iamWaiter.waitUntilPolicyExists(polRequest);            System.out.println("成功创建策略：" + policyArn);            return policyArn;        } catch (IamException e) {            System.err.println("创建策略失败：" + e.awsErrorDetails().errorMessage());            throw e;        }    }}

S3_FULL_ACCESS_POLICY_DOCUMENT说明：这是一个非常宽松的策略，它授予对所有S3资源的所有操作权限。在实际生产环境中，您应该遵循最小权限原则，将Action和Resource限制在实际需要的范围内。例如，只允许对特定存储桶进行s3:GetObject操作。

步骤二：创建IAM角色

接下来，我们需要创建一个IAM角色。这个角色将与我们刚刚创建的策略关联，并定义哪些实体可以承担这个角色。

创建一个角色需要一个“信任策略”（Assume Role Policy Document），它指定了哪些实体（如特定的IAM用户或服务）可以调用sts:AssumeRole操作来承担此角色。

import software.amazon.awssdk.services.iam.model.CreateRoleRequest;import software.amazon.awssdk.services.iam.model.CreateRoleResponse;import software.amazon.awssdk.services.iam.model.IamException;// ... 其他IamClient相关的导入// 假设我们有一个工具类来读取JSON文件，或者直接定义JSON字符串// import org.json.simple.JSONObject; // 如果使用Simple JSON库// import org.json.simple.parser.JSONParser; // 如果使用Simple JSON库// import java.io.FileReader; // 如果从文件读取public class IAMRoleManagement {    // 示例信任策略，允许任何账户的IAM用户承担此角色    // 在生产环境中，应限制为特定用户或账户    public static final String ASSUME_ROLE_POLICY_DOCUMENT =            "{" +                    "  "Version": "2012-10-17"," +                    "  "Statement": [" +                    "    {" +                    "      "Effect": "Allow"," +                    "      "Principal": {" +                    "        "AWS": "arn:aws:iam::ACCOUNT_ID:root"" + // 替换为您的账户ID或特定用户ARN                    "      }," +                    "      "Action": "sts:AssumeRole"" +                    "    }" +                    "  ]" +                    "}";    /**     * 创建一个新的IAM角色。     * @param iam IamClient实例。     * @param roleName 角色名称。     * @param assumeRolePolicyDoc 信任策略文档（JSON格式）。     * @return 创建角色的ARN。     * @throws Exception 如果读取文件失败或其他异常。     */    public static String createIAMRole(IamClient iam, String roleName, String assumeRolePolicyDoc) throws Exception {        try {            CreateRoleRequest request = CreateRoleRequest.builder()                .roleName(roleName)                .assumeRolePolicyDocument(assumeRolePolicyDoc)                .description("Created using the AWS SDK for Java for Minio access")                .build();            CreateRoleResponse response = iam.createRole(request);            String roleArn = response.role().arn();            System.out.println("成功创建角色：" + roleArn);            return roleArn;        } catch (IamException e) {            System.err.println("创建角色失败：" + e.awsErrorDetails().errorMessage());            throw e;        }    }}

ASSUME_ROLE_POLICY_DOCUMENT说明：请将ACCOUNT_ID替换为您的实际AWS账户ID。更安全的做法是，将Principal限制为特定的IAM用户或用户组的ARN，而不是root账户。

步骤三：将策略附加到角色

创建好策略和角色后，下一步是将策略附加到角色上。这样，当任何实体承担这个角色时，它就会继承该策略所定义的权限。

import software.amazon.awssdk.services.iam.model.AttachRolePolicyRequest;import software.amazon.awssdk.services.iam.model.IamException;import software.amazon.awssdk.services.iam.model.ListAttachedRolePoliciesRequest;import software.amazon.awssdk.services.iam.model.ListAttachedRolePoliciesResponse;import software.amazon.awssdk.services.iam.model.AttachedPolicy;import java.util.List;// ... 其他IamClient相关的导入public class IAMRolePolicyAttachment {    /**     * 将IAM策略附加到指定的IAM角色。     * @param iam IamClient实例。     * @param roleName 角色名称。     * @param policyArn 策略的ARN。     */    public static void attachIAMRolePolicy(IamClient iam, String roleName, String policyArn) {        try {            // 检查策略是否已经附加到角色            ListAttachedRolePoliciesRequest listRequest = ListAttachedRolePoliciesRequest.builder()                    .roleName(roleName)                    .build();            ListAttachedRolePoliciesResponse listResponse = iam.listAttachedRolePolicies(listRequest);            List attachedPolicies = listResponse.attachedPolicies();            for (AttachedPolicy policy : attachedPolicies) {                if (policy.policyArn().equals(policyArn)) {                    System.out.println("策略 " + policyArn + " 已经附加到角色 " + roleName + "。");                    return;                }            }            AttachRolePolicyRequest attachRequest =                AttachRolePolicyRequest.builder()                        .roleName(roleName)                        .policyArn(policyArn)                        .build();            iam.attachRolePolicy(attachRequest);            System.out.println("成功将策略 " + policyArn + " 附加到角色 " + roleName + "。");        } catch (IamException e) {            System.err.println("附加策略到角色失败：" + e.awsErrorDetails().errorMessage());            throw e;        }    }}

步骤四：用户通过角色获取S3访问权限 (Assume Role)

这是最关键的一步。IAM用户不直接拥有对Minio存储桶的权限，而是被授予承担特定角色的权限。当用户需要访问Minio时，他们会通过StsClient（Security Token Service Client）调用assumeRole操作，获取临时的安全凭证。然后，使用这些临时凭证来初始化S3Client，从而执行S3操作。

import software.amazon.awssdk.services.sts.StsClient;import software.amazon.awssdk.services.sts.model.AssumeRoleRequest;import software.amazon.awssdk.services.sts.model.AssumeRoleResponse;import software.amazon.awssdk.services.sts.model.Credentials;import software.amazon.awssdk.services.sts.model.StsException;import software.amazon.awssdk.auth.credentials.AwsSessionCredentials;import software.amazon.awssdk.auth.credentials.StaticCredentialsProvider;import software.amazon.awssdk.regions.Region;import software.amazon.awssdk.services.s3.S3Client;import software.amazon.awssdk.services.s3.model.ListObjectsRequest;import software.amazon.awssdk.services.s3.model.ListObjectsResponse;import software.amazon.awssdk.services.s3.model.S3Object;import java.util.List;public class AssumeRoleAndS3Access {    /**     * 承担指定的IAM角色，并使用获得的临时凭证执行S3操作。     * @param roleArn 要承担的角色的ARN。     * @param roleSessionName 角色会话名称，用于标识会话。     * @param bucketName 要操作的Minio存储桶名称。     */    public static void assumeGivenRoleAndListS3Objects(String roleArn, String roleSessionName, String bucketName) {        // 创建STS客户端        StsClient stsClient = StsClient.builder()            .region(Region.US_EAST_1) // STS通常是全球服务，但建议指定一个区域            .build();        try {            // 构建AssumeRole请求            AssumeRoleRequest roleRequest = AssumeRoleRequest.builder()                .roleArn(roleArn)                .roleSessionName(roleSessionName)                .build();            // 承担角色并获取临时凭证            AssumeRoleResponse roleResponse = stsClient.assumeRole(roleRequest);            Credentials myCreds = roleResponse.credentials();            // 使用临时凭证创建S3客户端            S3Client s3 = S3Client.builder()                .credentialsProvider(StaticCredentialsProvider.create(                    AwsSessionCredentials.create(myCreds.accessKeyId(), myCreds.secretAccessKey(), myCreds.sessionToken())                ))                .region(Region.US_EAST_1) // Minio服务的区域，通常是任意或与Minio配置一致                .build();            System.out.println("已使用临时凭证创建S3Client。");            System.out.println("正在列出存储桶 " + bucketName + " 中的对象:");            // 使用S3客户端执行S3操作（例如，列出对象）            ListObjectsRequest listObjects = ListObjectsRequest.builder()                .bucket(bucketName)                .build();            ListObjectsResponse res = s3.listObjects(listObjects);            List objects = res.contents();            if (objects.isEmpty()) {                System.out.println("存储桶 " + bucketName + " 中没有对象。");            } else {                for (S3Object myValue : objects) {                    System.out.println("  对象键: " + myValue.key() + ", 所有者: " + myValue.owner().displayName());                }            }        } catch (StsException e) {            System.err.println("承担角色失败或S3操作失败：" + e.getMessage());            throw e;        } finally {            stsClient.close();        }    }}

完整的用户权限管理流程示例

为了更全面地展示上述步骤，以下是一个集成了用户创建、策略创建、角色创建、策略附加、承担角色和S3操作的完整场景示例。

import software.amazon.awssdk.auth.credentials.ProfileCredentialsProvider;import software.amazon.awssdk.regions.Region;import software.amazon.awssdk.services.iam.IamClient;import software.amazon.awssdk.services.iam.model.*;import software.amazon.awssdk.services.iam.waiters.IamWaiter;import software.amazon.awssdk.services.sts.StsClient;import software.amazon.awssdk.services.sts.model.AssumeRoleRequest;import software.amazon.awssdk.services.sts.model.AssumeRoleResponse;import software.amazon.awssdk.services.sts.model.Credentials;import software.amazon.awssdk.services.sts.model.StsException;import software.amazon.awssdk.auth.credentials.AwsSessionCredentials;import software.amazon.awssdk.auth.credentials.StaticCredentialsProvider;import software.amazon.awssdk.services.s3.S3Client;import software.amazon.awssdk.services.s3.model.ListObjectsRequest;import software.amazon.awssdk.services.s3.model.ListObjectsResponse;import software.amazon.awssdk.services.s3.model.S3Object;import java.util.List;import java.util.concurrent.TimeUnit;public class MinioUserAccessScenario {    public static final String S3_FULL_ACCESS_POLICY_DOCUMENT =            "{" +                    "  "Version": "2012-10-17"," +                    "  "Statement": [" +                    "    {" +                    "        "Effect": "Allow"," +                    "        "Action": [" +                    "            "s3:*"" +                    "       ]," +                    "       "Resource": "*"" +                    "    }" +                    "   ]" +                    "}";    // 假设此信任策略允许当前账户的任何用户承担角色    // 实际应用中应更具体    public static final String ASSUME_ROLE_POLICY_DOCUMENT_FOR_USER =            "{" +                    "  "Version": "2012-10-17"," +                    "  "Statement": [" +                    "    {" +                    "      "Effect": "Allow"," +                    "      "Principal": {" +                    "        "AWS": "arn:aws:iam::YOUR_ACCOUNT_ID:root"" + // 替换为您的账户ID                    "      }," +                    "      "Action": "sts:AssumeRole"" +                    "    }" +                    "  ]" +                    "}";    public static void main(String[] args) throws Exception {        // 请替换为您的实际值        String userName = "minio-test-user";        String policyName = "MinioS3FullAccessPolicy";        String roleName = "MinioS3AccessRole";        String roleSessionName = "MinioUserSession";        String bucketName = "your-minio-bucket"; // 替换为您的Minio存储桶名称        String accountId = "YOUR_ACCOUNT_ID"; // 替换为您的AWS账户ID        // 替换信任策略中的ACCOUNT_ID        String assumeRolePolicyDoc = ASSUME_ROLE_POLICY_DOCUMENT_FOR_USER.replace("YOUR_ACCOUNT_ID", accountId);        IamClient iam = IamClient.builder()            .region(Region.AWS_GLOBAL) // IAM通常是全球服务            .credentialsProvider(ProfileCredentialsProvider.create()) // 使用默认凭证提供者            .build();        System.out.println("--- 开始 Minio 用户访问权限配置场景 ---");        try {            // 1. 创建IAM用户            System.out.println("1. 创建IAM用户: " + userName);            createIAMUser(iam, userName);            // 2. 创建IAM策略            System.out.println("2. 创建IAM策略: " + policyName);            String policyArn = createIAMPolicy(iam, policyName, S3_FULL_ACCESS_POLICY_DOCUMENT);            // 3. 创建IAM角色            System.out.println("3. 创建IAM角色: " + roleName);            String roleArn = createIAMRole(iam, roleName, assumeRolePolicyDoc);            // 4

以上就是使用AWS SDK for Java 2.x为Minio存储桶配置用户访问策略的详细内容，更多请关注创想鸟其它相关文章！