【发布时间】:2020-06-23 22:07:26
【问题描述】:
我试图实现一个通用规则,允许每个 Kubernetes 服务访问它自己的路径。这是我尝试过的:
path "secret/services/k8s/{{identity.entity.metadata.metadata.service_account_namespace}}/{{identity.entity.metadata.metadata.service_account_name}}/*" {
capabilities = ["read"]
}
但这不起作用 - 有人设法编写了这样一个有效的通用策略吗?
到目前为止我尝试了什么?
- 同时使用实体元数据和 Kubernetes 访问器
- 通过检查其令牌确保我使用的是正确的服务帐户
- 检查静态路径(用实际值替换模板) - 有效
【问题讨论】:
-
是的,文档是否解释了如何做到这一点?
标签: kubernetes hashicorp-vault