Hashicorp Vault: ограничение прав, предоставляемых политикой, для пользователя, которому разрешено создавать политики

Question

Мне пришла в голову идея делегировать пользователю право на создание политики. Политика, назначенная этому пользователю, будет:

path "sys/policies/acl/user-*"
{
  capabilities = ["create", "read", "update", "delete", "list"]
}

Теперь, когда пользователь может создать политику по пути sys /icies / acl / user- *, такая политика может содержать любые права на любой путь в Vault. что, конечно, не то, чего я хочу достичь. Я хотел бы ограничить это право создания политики для данного пути. Возможно ли это как-нибудь в Vault?

Answer 1

Есть два способа сделать это:

1. Купить хранилище с поддержкой дозорного (я полагаю, это версия для предприятия)
2. Создать другую службу, которая будет взаимодействовать с хранилищем, когда оно приходит к созданию политик, а затем написать свои собственные парсеры, чтобы разрешить / запретить. Это не будет так уж плохо, так как язык политик конфигурации hcl переводится на JSON, и, получив JSON, вы можете проанализировать пути и выяснить, является ли это действительной политикой.