0

我创建了一个带有策略的用户:

$ vault token create -renewable -policy=admin_policy    Key                  Value
---                  -----
token                s.kG0Kdb8d2DSOUHv3AMzw5tdO
token_accessor       Do57Fg9DpiMv1j6t3oysZoz9
token_duration       900h
token_renewable      true
token_policies       ["admin_policy" "default"]
identity_policies    []
policies             ["admin_policy" "default"]

现在我想为令牌添加策略。我该怎么做?

或者我创建了用户:

vault write auth/userpass/users/test3 password=test -policy=admin_policy
Success! Data written to: auth/userpass/users/test3

现在我想向用户添加一个策略:

vault write auth/userpass/users/test3 password=test -policy=admin_policy -policy=crm_sales_policy
Success! Data written to: auth/userpass/users/test3

但一切都没有改变。

4

2 回答 2

1

您不能将策略添加到现有令牌。

因此,您必须使用所述策略(或多个策略)创建一个新令牌。

一般来说,如果您的上游身份验证源(例如 LDAP 等)能够处理为用户分配策略,那会更好,但也欢迎您在保险库级别执行此操作。

另请注意,令牌与其父级绑定,因此它们会在其父级令牌到期时到期,除非您添加-orphan

令牌通常不应该有很长的寿命。Vault 在这里声名鹊起的是秘密和令牌应该是短暂的,因此如果它们泄漏,危害是最小的。

于 2021-03-26T20:25:09.167 回答
0

起初我也对如何更新用户策略感到困惑,但我发现文档已经更新,API 是/auth/userpass/users/:username/policies,所以你可以像这样更新策略:

vault write auth/userpass/users/bob123/policies policies="foo,bar"

官方参考

于 2021-12-21T13:59:14.780 回答