【问题标题】:Generic Vault Policy for Kubernetes ServicesKubernetes 服务的通用保险库策略
【发布时间】:2020-06-23 22:07:26
【问题描述】:

我试图实现一个通用规则,允许每个 Kubernetes 服务访问它自己的路径。这是我尝试过的:

path "secret/services/k8s/{{identity.entity.metadata.metadata.service_account_namespace}}/{{identity.entity.metadata.metadata.service_account_name}}/*" {
  capabilities = ["read"]
}

但这不起作用 - 有人设法编写了这样一个有效的通用策略吗?

到目前为止我尝试了什么?

  • 同时使用实体元数据和 Kubernetes 访问器
  • 通过检查其令牌确保我使用的是正确的服务帐户
  • 检查静态路径(用实际值替换模板) - 有效

【问题讨论】:

标签: kubernetes hashicorp-vault


【解决方案1】:

花了一些时间后,我找到了答案:

path "kv-v2/data/kubernetes/{{identity.entity.aliases.<kubernetes auth accessor>.metadata.service_account_namespace}}/{{identity.entity.aliases.<kubernetes auth accessor>.metadata.service_account_name}}" {
  capabilities = ["read"]
}

要查找访问者,请使用vault auth list -detailed

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2019-03-20
    • 2016-12-28
    • 2022-11-14
    • 1970-01-01
    • 2019-10-30
    • 1970-01-01
    • 2017-07-06
    • 2019-10-29
    相关资源
    最近更新 更多