vault(hashicorp)向现有用户/令牌添加新策略
$ vault token create -renewable -policy=admin_policy Key Value
--- -----
token s.kG0Kdb8d2DSOUHv3AMzw5tdO
token_accessor Do57Fg9DpiMv1j6t3oysZoz9
token_duration 900h
token_renewable true
token_policies ["admin_policy" "default"]
identity_policies []
policies ["admin_policy" "default"]
vault write auth/userpass/users/test3 password=test -policy=admin_policy
Success! Data written to: auth/userpass/users/test3
vault write auth/userpass/users/test3 password=test -policy=admin_policy -policy=crm_sales_policy
Success! Data written to: auth/userpass/users/test3
共有1个答案
不能向现有令牌添加策略。
因此,您必须使用所述策略创建一个新令牌。
一般来说,如果您的上游auth源(例如LDAP等)能够处理为用户分配策略,则效果会更好,但也欢迎您在vault级别进行。
-
说明我使用的是HashiCorp的保险库,版本1.7.0,免费版本。 用allowed_parameters追加组路径,如: 我收到一个权限拒绝错误(403)。附加被拒绝的参数: 不起作用,我仍然被允许分配超级策略。 我也尝试了通配符,结果相同。 是否有可能限制可以从Vault UI分配的一个/一个策略范围? 如果你到目前为止已经成功了,请提前感谢。
-
我编写了一个,它在流中添加标记。 假定文本,其中是的词干,是的同义词,那么我是否构造了正确的属性表?
-
我想出了将创建策略的权限委托给用户的想法。分配给此用户的策略是: 现在,由于用户可以在路径sys/policies/acl/user-*中创建策略,这样的策略可以包含对Vault中任何路径的任何权限,这当然不是我想要实现的。我想将此策略创建权限限制在给定的路径上。这在金库里有可能吗?
-
我有一个AWS帐户,其中包含我所有的东西,并想保护它。 我想创建一个包含一些拒绝操作的IAM策略,并将该策略应用于所有现有和未来用户。我该怎么做? 我试图使用IAM组,但是有人可以创建一个没有特定组的用户。此外,我尝试了组织SCP,但它似乎与主帐户不工作。
-
我试图用“node-vault”访问HashiCorp Vault KV,但一直得到“statuscode:404” 3)然后使用 这返回一个状态404,另外需要做什么来避免404?
-
我正在尝试在windows 10系统中运行hashicorp vault服务器作为windows服务。Vault服务器用户界面显示为空白屏幕。请参考我的配置详情。 config.hcl 默认情况下,库服务器在此 (http://localhost:8200/ui/) 本地 URL 中运行。当我导航到此 8200 端口时,将显示空白 UI 屏幕。 保管库 UI 的控制台日志 但与此同时,如果我们将v