我不明白
secrets listpath "sys/mounts/*" {
capabilities = ["create", "read", "update", "delete", "list","sudo"]
}
我可以运行启用和禁用标志
$ vault secrets enable -path=Test kv
Success! Enabled the kv secrets engine at: Test/
$ vault secrets disable Test
Success! Disabled the secrets engine (if it existed) at: Test/
但是我无法运行列表或移动
vault secrets list
Error listing secrets engines: Error making API request.
URL: GET http://localhost:8200/v1/sys/mounts
Code: 403. Errors:
* permission denied
vault secrets move Test Test2
Error moving secrets engine Test/ to Test2/: Error making API request.
URL: POST http://localhost/v1/sys/remount
Code: 403. Errors:
* permission denied
这不是文件系统权限问题,将管理令牌更改为根令牌后一切正常。那么有人可以解释我这种行为吗?
尝试:
path "sys/mounts" {
capabilities = ["read"]
}
命令在
sys/mountssys/mounts/*补充一下。此网页上列出了特定令牌可以允许或禁止的所有秘密后端路径https://www.vaultproject.io/api/system/index.html
当您获得对任何 URL 的权限被拒绝时。您需要在此页面上搜索该 URL。您将获得有关该系统后端的完整信息。例如您可以搜索“sys/remount”和“sys/mounts”
我们在 Hashicorp Vault 服务中遇到同样的错误
当我们运行任何命令时,它都会遇到仅权限被拒绝的错误。
path "sys/mounts" { capabilities = ["read"] }
我们需要在哪个路径使用这个策略