在/org/teams/my-team
中,我配置了一个AppRole。我想授予AppRole在my-team
命名空间下创建和删除命名空间的权限。
这种情况下的政策会是什么样子
我可以通过实现所需
path "*" {
capabilities = ["create", "delete"]
}
但当然,这太强大了。
我在官方的HashiCorp文档中找不到任何有用的东西。
命名空间的常规策略路径位于sys/namespaces
。您可以通过命名空间的API端点来确认这一点。您的保单显示为:
path "sys/namespaces" {
capabilities = ["list"]
}
path "sys/namespaces/my-team" {
capabilities = ["list", "read"]
}
path "sys/namespaces/my-team/*" {
capabilities = ["create", "read", "update", "delete", "list", "sudo"]
}