403 Отказано в доступе при попытке прочитать секреты из хранилища с использованием аутентификации GCP IAM

Question

Я использую метод аутентификации GCP IAM для аутентификации в хранилище. Я выполнил действия, описанные в vault gcp auth , чтобы пройти аутентификацию с использованием служебной учетной записи

. Мне удалось успешно пройти аутентификацию и войти в систему. Но когда я пытаюсь прочитать секреты по указанному пути, он говорит, что разрешение запрещено.

$vi test-policy.hcl

path "secret/test/*" {
     capabilities = ["read"]
}

Мне назначены следующие роли для моей учетной записи службы.

1. Администратор учетной записи службы
2. Ключ учетной записи службы администратора
3. Сервисная учетная запись Token Creator

vault kv get secret/test/awskeys
Error reading secret/data/test/awskeys: Error making API request.

URL: GET http://127.0.0.1:8200/v1/secret/data/test/awskeys
Code: 403. Errors:

* 1 error occurred:
* permission denied

У меня та же проблема с приложением Spring-Cloud-Vault. Есть ли какая-либо роль, которую я пропустил, чтобы назначить эту учетную запись службы, или я неправильно устанавливаю политику?

Примечание. Сервер Vault настроен на AWS.

Answer 1

Это был параметр политики. Я обновил его до ниже, и это сработало! Specifi c путь вместо *.

path "secret/data/test/awskeys" {
  capabilities = ["read"]
}