Как я могу создать политику HashiCorp Vault, которая запрещает пользователям уничтожать секретные версии?

Question

У меня есть политика, которая предоставляется новым пользователям, которым нужна возможность создавать новые секреты и новые секретные версии, но у них не должно быть возможности удалять секреты или секретные версии. Фрагмент ниже запрещает пользователям удалять секрет;однако они по-прежнему могут уничтожать каждую секретную версию.

Как я могу предотвратить уничтожение секретной версии с помощью политики?

# This section grants all access on "secrets/*". Further restrictions can be
# applied to this broad policy, as shown below.
path "secrets/*" {
  capabilities = ["create", "read", "update", "list"]
}

Answer 1

Вы можете использовать документацию по API HashiCorp Vault, чтобы выяснить это: https://www.vaultproject.io/api/secret/kv/kv-v2.html https://github.com/hashicorp/vault/blob/master/website/source/docs/concepts/policies.html.md

# This section grants all access on "secrets/*". Further restrictions can be
# applied to this broad policy, as shown below.
path "secrets/*" {
  capabilities = ["create", "read", "update", "list"]
}

# This section explicitly denies the ability to destroy secret versions.
path "secrets/destroy/*" {
  capabilities = ["deny"]
}
path "secrets/delete/*" {
  capabilities = ["deny"]
}