在授权访问路径时,我必须启用对所有父文件夹的读取访问权限吗?我在文档中找不到这样的声明,但是一些测试证实了这一点。考虑一下:
path "secret/myapp/*" {
capabilities = ["create", "read", "sudo", "update", "list", "delete"]
}
分配了适当的角色后,我无法阅读secret/myapp/test。我至少需要将此角色添加:
path "secret/*" {
capabilities = ["read"]
}
这似乎与说最具体的规则匹配的文档相矛盾。
答案 0 :(得分:0)
好的,我并不疯。事实证明,KV后端要求您按照以下说明更改路径:https://www.vaultproject.io/docs/secrets/kv/kv-v2.html
我可以通过将政策更改为以下方式来解决我的问题:
path "secret/data/myapp/*" {
capabilities = ["create", "read", "sudo", "update", "list", "delete"]
}
只需在/data之前偷一个myapp。而且,我尝试的“修复”(允许访问父路径)完全是偶然的:这种方式使我可以访问secret/data,而这已经绰绰有余。