我正在探索Hashicorp Vault以实现安全存储。我有一个根帐户设置,我已经登录到UI并通过UI创建了以下给定的策略。策略的名称为app-readonly。我的政策如下
path "secret/clients-integration" {
capabilities = ["read"]
}
我已经执行了以下命令来创建一个令牌作为根用户
vault token create -policy=app-readonly -display-name=readonly-app-token -orphan=true -no-default-policy
这个命令已经生成了一个令牌,当我在poster中使用该令牌读取存储的机密时,我会收到如下错误,
{
"errors": [
"1 error occurred:nt* permission deniednn"
]
}
在这个错误之后,我觉得KV是不可访问的,所以修改了上面的策略,以喜欢下面的
path "secrets/kv/secret/clients-integration" {
capabilities = ["read"]
}
然而,现在我也无法通过UI/poster读取/查看令牌。实际上,UI只显示UI只显示cubbyhole,而kv本身是不可见的,你能帮我修改正确的策略以允许令牌读取机密吗。
编辑最新试用版
path "secret/data/clients-integration" {
capabilities = ["read"]
}
我正在使用最新版本的KV=>版本2,我正在检查UI和API。然而,API有如下类似的url
http://host:8080/v1/kv/data/secret/clients-integration?version=2
可以使用同一api 中的根令牌来获得数据
我花了一些时间才了解路径在Vault UI中的显示方式,因为很难理解权限设置不正确的情况。
每个发动机都可以在其安装点进行操作。用vault read sys/mounts列出你的。UI在根位置显示这些内容,例如cubbyhole。
如果引擎装载在子路径内,并且登录的用户没有访问子路径父路径的权限,则导航可能会以访问被拒绝或不显示在UI中而告终。
您可以使用UI URL直接跳转到更深的路径,或者启用对父级的权限,或者删除父级。
点击此处了解更多信息。