我目前正在尝试Vault中的策略。
我有这样的结构:
/secrets/ms/account/shared
/secrets/ms/account/service-name
所以我有一个共享的名称空间,我希望所有服务都可以访问,并有一个空格专门用于每个服务。
我为每个服务创建一个appRole
vault write auth/approle/role/ms-mt--vault-example \
policies=service
但是我想对所有人使用相同的策略
path "auth/approle/login" {
capabilities = [ "create", "read" ]
}
path "secret/ms/account/shared" {
capabilities = ["read"]
}
path "secret/ms/account/{{ identity.entity.name }}" {
capabilities = ["read"]
}
我知道有一种叫做身份的“东西”。我假定所有令牌都具有,但是我无法找到为该对象分配了appRole的值。