Vaultシークレットリストのアクセス許可が拒否されました
どうしたらいいのかわからないsecrets list動作します。パス権限のあるポリシーがあります。
path "sys/mounts/*" {
capabilities = ["create", "read", "update", "delete", "list","Sudo"]
}
有効フラグと無効フラグを実行できます
$ vault secrets enable -path=Test kv
Success! Enabled the kv secrets engine at: Test/
$ vault secrets disable Test
Success! Disabled the secrets engine (if it existed) at: Test/
しかし、リストを実行したり移動したりすることはできません
vault secrets list
Error listing secrets engines: Error making API request.
URL: GET http://localhost:8200/v1/sys/mounts
Code: 403. Errors:
* permission denied
vault secrets move Test Test2
Error moving secrets engine Test/ to Test2/: Error making API request.
URL: POST http://localhost/v1/sys/remount
Code: 403. Errors:
* permission denied
Adminトークンをrootトークンに変更した後は、ファイルシステムのアクセス許可の問題ではなく、すべて正常に機能します。だから誰でも私にこの行動を説明することができますか?
試してください:
path "sys/mounts" {
capabilities = ["read"]
}
コマンドは、sys/mountsではなくsys/mounts/*で実行されます。
追加するだけです。特定のトークンに対して許可または禁止できるすべてのシークレットバックエンドパスは、このWebページにリストされています https://www.vaultproject.io/api/system/index.html
いずれかのURLへのアクセス許可が拒否された場合。このページでそのURLを検索する必要があります。そして、そのシステムバックエンドに関するすべての情報を取得します。例えば「sys/remount」と「sys/mounts」の両方を検索できます