Kubernetes服务的通用保险存储策略
我试图实现一个通用规则,允许每个Kubernetes服务访问它自己的路径。这就是我所尝试的:Kubernetes服务的通用保险存储策略,kubernetes,hashicorp-vault,Kubernetes,Hashicorp Vault,我试图实现一个通用规则,允许每个Kubernetes服务访问它自己的路径。这就是我所尝试的: path "secret/services/k8s/{{identity.entity.metadata.metadata.service_account_namespace}}/{{identity.entity.metadata.metadata.service_account_name}}/*" { capabilities = ["read"] } 但这不起作用——有人能写出这样一个通用的
path "secret/services/k8s/{{identity.entity.metadata.metadata.service_account_namespace}}/{{identity.entity.metadata.metadata.service_account_name}}/*" {
capabilities = ["read"]
}
但这不起作用——有人能写出这样一个通用的有效策略吗
到目前为止我试过什么
- 同时使用实体元数据和Kubernetes访问器
- 通过检查服务帐户的令牌,确保我使用了正确的服务帐户
- 使用静态路径检查(用实际值替换模板)-已工作
- 花了一段时间后,我终于找到了答案:
path "kv-v2/data/kubernetes/{{identity.entity.aliases.<kubernetes auth accessor>.metadata.service_account_namespace}}/{{identity.entity.aliases.<kubernetes auth accessor>.metadata.service_account_name}}" {
capabilities = ["read"]
}
路径“kv-v2/data/kubernetes/{{identity.entity.aliases..metadata.service_account_namespace}/{{identity.entity.aliases..metadata.service_account_name}”{
能力=[“读取”]
}
要查找访问者,请使用
vault auth list-detailed
您是否阅读了此文档?是的,文档是否解释了如何执行此操作?