1

我正在使用 GCP IAM 身份验证方法对保险库进行身份验证。我按照Vault gcp auth中建议的步骤使用服务帐户进行身份验证

我能够成功地进行身份验证和登录。但是当我尝试从指定路径读取秘密时,它说权限被拒绝。

$vi test-policy.hcl

path "secret/test/*" {
     capabilities = ["read"]
}

我将以下角色分配给我的服务帐户。

  1. 服务帐号管理员
  2. 服务帐号密钥管理员
  3. 服务帐户令牌创建者
vault kv get secret/test/awskeys
Error reading secret/data/test/awskeys: Error making API request.

URL: GET http://127.0.0.1:8200/v1/secret/data/test/awskeys
Code: 403. Errors:

* 1 error occurred:
* permission denied

我在使用 spring-cloud-vault 应用程序时也遇到了同样的问题。我是否错过了分配给此服务帐户的任何角色,或者我是否设置了错误的策略?

注意:Vault 服务器是在 AWS 上设置的。

4

1 回答 1

2

这是政策设置。我将它更新到下面并且它有效!具体路径而不是*。

path "secret/data/test/awskeys" {
  capabilities = ["read"]
}
于 2020-01-28T10:45:19.013 回答