Kubernetes服务的通用保险库策略

时间:2020-06-18 11:10:46

标签: kubernetes hashicorp-vault

我正在尝试实施一条通用规则,该规则将允许每个Kubernetes服务访问其自己的路径。这是我尝试过的:

path "secret/services/k8s/{{identity.entity.metadata.metadata.service_account_namespace}}/{{identity.entity.metadata.metadata.service_account_name}}/*" {
  capabilities = ["read"]
}

但这不起作用-任何人都设法编写了这样的通用策略?

到目前为止我尝试过什么?

  • 同时使用实体元数据和Kubernetes访问器
  • 通过检查其令牌来确保我使用了正确的服务帐户
  • 检查静态路径(将模板替换为实际值)-可行

1 个答案:

答案 0 :(得分:1)

花了一些时间后,我找到了答案:

path "kv-v2/data/kubernetes/{{identity.entity.aliases.<kubernetes auth accessor>.metadata.service_account_namespace}}/{{identity.entity.aliases.<kubernetes auth accessor>.metadata.service_account_name}}" {
  capabilities = ["read"]
}

要找到访问器,请使用vault auth list -detailed

相关问题
最新问题