Hashicorp Vault:策略赋予的权限限制,允许用户创建策略

时间:2020-04-27 17:40:47

标签: hashicorp-vault

我想到了将创建策略的权限委托给用户的想法。分配给该用户的策略为:

path "sys/policies/acl/user-*"
{
  capabilities = ["create", "read", "update", "delete", "list"]
}

现在,由于用户可以在路径sys / policies / acl / user- *中创建策略,因此该策略可以包含对Vault中任何路径的任何权利,这当然不是我想要实现的。我想将此策略创建权限限制在给定的路径上。保管箱有任何可能吗?

1 个答案:

答案 0 :(得分:0)

有两种方法可以做到:

  1. 购买带有定点支持的保险柜(我认为这是企业版)
  2. 创建另一个在创建策略时将与Vault对话的服务,然后编写自己的解析器以允许/拒绝。它不会太糟,因为策略hcl config语言可以翻译为JSON,一旦有了JSON,您就可以解析路径并找出其策略是否有效。
相关问题
最新问题