Политики Vault иерархичны?
При авторизации доступа к пути я должен разрешить доступ для чтения ко всем родительским папкам? Я не нашел такого утверждения в документации, но несколько тестов подтверждают это. Учти это:
path "secret/myapp/*" {
capabilities = ["create", "read", "sudo", "update", "list", "delete"]
}
С назначенной должной ролью я не могу читать secret/myapp/test. Мне нужно хотя бы добавить к роли:
path "secret/*" {
capabilities = ["read"]
}
Кажется, это противоречит документам, в которых говорится, что соответствует наиболее конкретное правило.
Ответы 1
Ладно, я не сумасшедший. Оказывается, бэкэнд KV требует, чтобы вы изменили путь, как описано здесь: https://www.vaultproject.io/docs/secrets/kv/kv-v2.html
Я смог решить свою проблему, изменив политику на:
path "secret/data/myapp/*" {
capabilities = ["create", "read", "sudo", "update", "list", "delete"]
}
Просто прокрасьте /data, а не myapp. Более того, «исправление», которое я предпринял (предоставление доступа к родительскому пути), работает по чистой случайности: таким образом я предоставлял доступ к secret/data, чего более чем достаточно.