保险柜支持Google Cloud as a method of authentication。我想使用此方法,因此请配置GCE实例对Vault的访问权限,并根据不同的实例在其下运行的服务帐户为不同的实例赋予不同的权限。
要让GCE实例使用此方法进行身份验证,文档说,以下权限为required:
请注意,这是授予Vault服务器的权限。针对保险柜进行身份验证的IAM服务帐户或GCE实例必须具有以下角色:
roles/iam.serviceAccountTokenCreator
但是从here起,该角色将使实例能够接收任何服务帐户的签名JWT。有什么方法可以配置服务帐户权限,以便他们只能自己接收已签名的JWT?