Question

Я пытался реализовать общее правило c, которое позволит каждой службе Kubernetes получить доступ к своему собственному пути. Вот что я пробовал:

path "secret/services/k8s/{{identity.entity.metadata.metadata.service_account_namespace}}/{{identity.entity.metadata.metadata.service_account_name}}/*" {
  capabilities = ["read"]
}

Но это не работает - кому-нибудь удалось написать такую общую c политику, которая работает?

Что я пробовал до сих пор?

Использование метаданных сущности и средства доступа Kubernetes
Убедитесь, что я использую правильную учетную запись службы, проверив ее токен
Проверьте с помощью stati c path (замените шаблон на фактические значения) - отработано

Omer Levi Hevroni · Answer 1 · 23 июня 2020

Потратив некоторое время, я смог найти ответ:

path "kv-v2/data/kubernetes/{{identity.entity.aliases.<kubernetes auth accessor>.metadata.service_account_namespace}}/{{identity.entity.aliases.<kubernetes auth accessor>.metadata.service_account_name}}" {
  capabilities = ["read"]
}

Чтобы найти аксессуар, используйте vault auth list -detailed

Generi c Политика хранилища для сервисов Kubernetes

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Generi c Политика хранилища для сервисов Kubernetes

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы