Я следовал руководству в https://www.hashicorp.com/resources/best-practices-using-hashicorp-terraform-with-hashicorp-vault.
Это хорошо, но когда я использую Terraform для получения динамически созданных кредитов AWS из Vault, я получаю ошибку 403.
Я решилпроблема, но я не совсем понимаю, почему мне нужно добавить дополнительные возможности (особенно потому, что этого не было в руководстве) и какие побочные эффекты могут возникнуть.
Неработающая политика:
path "aws/creds/dev-role" {
capabilities=["read"]
}
Рабочая политика:
path "aws/creds/dev-role" {
capabilities=["read"]
}
path "auth/token/create" {
capabilities=["update"]
}
Ожидаемый результат состоит в том, что когда я запускаю «план terraform», он дает мне список вещей, которые он собирается сделать.
Я получаю сообщение об ошибке, когда не включаю возможность «обновления»:
provider.vault: не удалось создать ограниченный дочерний токен: ошибка при выполнении запроса API.
RL: POST https://:8200/v1/auth/token/create Код: 403. Ошибки:
1 произошла ошибка:
разрешение отклонено