Как настроить Approle с Jenkins для генерации токена STS из хранилища

Question

Я интегрирую хранилище Hashicorp с Jenkins и пытаюсь сгенерировать динамические секреты, используя роль предположения, но получаю ошибку «Отказано в доступе».

Я выполнил эти шаги для создания политики и кода jenkins, но это не помогло.

https://learn.hashicorp.com/vault/identity-access-management/iam-authentication

https://github.com/jenkinsci/hashicorp-vault-plugin

Я не уверен, какую политику хранилища следует определить.

политика хранилища

path "auth/approle/login" capabilities = [ "create", "read" ]

path "secret/aws*" capabilities = ["create", "read", "update", "delete", "list", "sudo"]

Error

> Caused: com.datapipe.jenkins.vault.exception.VaultPluginException:
> could not read from vault: Vault responded with HTTP status code: 403
> Response body: {"errors":["1 error occurred:\n\t* permission
> denied\n\n"]}  at path: aws/sts/VaultTFE-Sandbox

Пожалуйста, помогите !!!

Answer 1

проблема в том, что в сообщении об ошибке упоминается

в пути: aws / sts / VaultTFE-Sandbox

но ваша политика упоминает

path "secret/aws*"

Это, вероятно, следует изменить на

path "aws/sts/VaultTFE-Sandbox"