Vault Approle Auth强制使用默认策略

时间:2018-07-23 07:27:57

标签: hashicorp-vault

使用Approle Auth方法创建角色时,我确实告诉Vault根据测试策略创建生成的令牌

vault write auth/approle/role/test \
bind_secret_id=true \
secret_id_num_uses=0 \
token_num_uses=100 \
token_ttl=10m \
token_max_ttl=10m \
policies=test

我得到了Roleid和一个Secretid:     保管库读取auth / approle / role / test / role-id     保管库写入-f auth / approle / role / test / secret-id 并使用它生成令牌:

vault write auth/approle/login \
role_id=a36f3615-9532-983a-991b-f5f4bff9723a \
secret_id=d74458b0-b076-12c6-fc5d-d5f92273ef9d

我得到一个生成的令牌,现在检查生成的令牌:

  vault token lookup ddfe8514-4a9a-c14b-9179-576db031a137                                                                
  Key                 Value
  ---                 -----
  accessor            b8aecbf5-e0d1-d016-1c02-3e1a1fd5098a
  creation_time       1532330714
  creation_ttl        600
  display_name        approle
  entity_id           bcd8a77a-85df-8224-e5ff-9390cae15e25
  expire_time         2018-07-23T09:35:14.579632638+02:00
  explicit_max_ttl    0
  id                  ddfe8514-4a9a-c14b-9179-576db031a137
  issue_time          2018-07-23T09:25:14.579632516+02:00
  meta                map[role_name:test]
  num_uses            100
  orphan              true
  path                auth/approle/login
  policies            [default test]
  renewable           true
  ttl                 580

就在那里!默认策略... 在Approle上没有有关如何跳过默认策略的文档。有人遇到同样的问题吗?

1 个答案:

答案 0 :(得分:0)

official documentation中所述:

  

默认策略是无法删除的内置保险柜策略。   默认情况下,它附加到所有令牌,但可以显式地附加   通过支持身份验证方法在令牌创建时将其排除。

编辑

根据this post,实际上不可能从AppRole中删除默认策略。如您所说,这可能是将来发布的requested功能。