Warning: file_get_contents(/data/phpspider/zhask/data//catemap/7/kubernetes/5.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Kubernetes服务的通用保险存储策略_Kubernetes_Hashicorp Vault - Fatal编程技术网
Fatal编程技术网
  • kubernetes/
  • Kubernetes服务的通用保险存储策略

Kubernetes服务的通用保险存储策略

kubernetes

Kubernetes服务的通用保险存储策略,kubernetes,hashicorp-vault,Kubernetes,Hashicorp Vault,我试图实现一个通用规则,允许每个Kubernetes服务访问它自己的路径。这就是我所尝试的: path "secret/services/k8s/{{identity.entity.metadata.metadata.service_account_namespace}}/{{identity.entity.metadata.metadata.service_account_name}}/*" { capabilities = ["read"] } 但这不起作用——有人能写出这样一个通用的

我试图实现一个通用规则,允许每个Kubernetes服务访问它自己的路径。这就是我所尝试的:

path "secret/services/k8s/{{identity.entity.metadata.metadata.service_account_namespace}}/{{identity.entity.metadata.metadata.service_account_name}}/*" {
  capabilities = ["read"]
}
但这不起作用——有人能写出这样一个通用的有效策略吗

到目前为止我试过什么

  • 同时使用实体元数据和Kubernetes访问器
  • 通过检查服务帐户的令牌,确保我使用了正确的服务帐户
  • 使用静态路径检查(用实际值替换模板)-已工作
      • 花了一段时间后,我终于找到了答案:

      path "kv-v2/data/kubernetes/{{identity.entity.aliases.<kubernetes auth accessor>.metadata.service_account_namespace}}/{{identity.entity.aliases.<kubernetes auth accessor>.metadata.service_account_name}}" {
  capabilities = ["read"]
}
      路径“kv-v2/data/kubernetes/{{identity.entity.aliases..metadata.service_account_namespace}/{{identity.entity.aliases..metadata.service_account_name}”{ 能力=[“读取”] }
      要查找访问者,请使用
      vault auth list-detailed

      您是否阅读了此文档?是的,文档是否解释了如何执行此操作?