创建第一个用户后,我注意到我能够更改自己的策略:
$ vault write auth/userpass/users/mconigliaro policies=root
Success! Data written to: auth/userpass/users/mconigliaro
甚至更糟糕的是,看来用户可以更改彼此的密码:
$ vault write auth/userpass/users/mconigliaro2 password=foobar
Success! Data written to: auth/userpass/users/mconigliaro2
查看策略文档,我认为我应该能够创建一个看起来像这样的策略:
path "auth/userpass/users/${user}" {
capabilities = ["update"]
allowed_parameters = {
"password" = []
}
}
但不幸的是,这取决于保险库似乎没有的策略变量(例如${user}
(的概念。我是否必须为每个用户使用硬编码路径创建单个策略,还是我缺少一些简单的方法?
您当前用Vault验证了什么用户/令牌?我猜根了吗?是的,您将能够做任何事情。您,当然您的用户通常不会具有根特权。
登录您创建的用户之一,您会发现自己无法执行所描述的操作。