当前位置: 首页 > 知识库问答 >
问题:

允许用户更新/删除某些策略(Hashicorp Vault)

辛盛
2023-03-14

说明我使用的是HashiCorp的保险库,版本1.7.0,免费版本。

{
capabilities = ["list"]
}

#To show the identity endpoint from the UI
path "/identity/*"{
 capabilities = ["list" ]
}

#policies that I would like the user to have the ability to #assign to the group.

path "/sys/policies/acl/it_team_leader"{
capabilities = ["read", "update", "list"]
}

path "sys/policies/acl/it_user"{
capabilities = ["read", "update","list"]
}

path "sys/policies/acl/ui_settings"{
capabilities = ["read", "update", "list"]
}

path "sys/policies/acl/personal_storage"{
capabilities = ["read", "update","list"]
}

#Group id that the user have full access

path "/identity/group/id/2c97485a-754f-657a-5a8b-62b08a3ce8cb" {

capabilities = ["sudo","read","update","create","list"]
}


path "sys/policies/acl/**super-priveleged**" {
capabilities = ["deny"]
}

用allowed_parameters追加组路径,如:


capabilities = ["sudo","read","update","create","list"]
denied_parameters = {
"policies" = ["it_user","it_team_leader",etc]

}

我收到一个权限拒绝错误(403)。附加被拒绝的参数:

path "/identity/group/id/2c97485a-754f-657a-5a8b-62b08a3ce8cb" {

capabilities = ["sudo","read","update","create","list"]
denied_parameters = {
"policies" = ["super-policy"]

}

不起作用,我仍然被允许分配超级策略。

我也尝试了通配符,结果相同。

是否有可能限制可以从Vault UI分配的一个/一个策略范围?

如果你到目前为止已经成功了,请提前感谢。

共有1个答案

爱繁
2023-03-14

找到了解决方案,为了限制用户更新某些策略,允许的参数字段应该封装一个列表,并添加一个带有空列表的星号键。

注意:从UI分配的策略的顺序应该符合。hcl文件中写入的顺序。

path "/identity/group/id/2c97485a-754f-657a-5a8b-62b08a3ce8cb"
{

capabilities = ["sudo","read","update","create","list"]
allowed_parameters = {
"policies" = [["policy1","policy2","policy3"]]
"*" = []
}
}
 类似资料:
  • 不幸的是,一个第三方服务IFRAME我仍然需要在我的页面是不加载了。有一种方法允许第三方域,即使嵌入策略打开? 谢了。达里奥。

  • 我正在spring boot中创建一个REST api,目前我有一个映射来获取用户和特定用户的列表。 假设我的用户是这样的: 还有,在发送更新用户的请求时,请求体是否需要正确嵌套? 两者都是有效的还是2号?

  • 已设置Hashicorp Vault docker容器,但在使用生成的令牌而不是根时,似乎无法获取数据库凭据。 重新创建的步骤: 我创建了最新的容器,获得了根令牌并使用它进行身份验证。 运行以下命令: 我还尝试将“vault write”替换为“vault kv put”,并成功执行所有命令。 所以我叫GEThttp://127.0.0.1:8200/v1/database/creds/Tenan

  • 问题内容: 鉴于以下课程 当我们验证它(例如,使用@Valid)并且如果Website.url不遵守我的自定义@ValidUrl约束时,我们将遇到约束冲突(例如,“ URL不可访问”)。 我想知道如果用户愿意,是否可以忽略该验证。 脚步: 第一次验证表格 引发约束冲突并将其显示给用户 用户选择“我知道,仍然添加”,然后重新提交 第二次验证表单,验证@ValidUrl以外的所有内容 问题答案: 您可

  • 我想出了将创建策略的权限委托给用户的想法。分配给此用户的策略是: 现在,由于用户可以在路径sys/policies/acl/user-*中创建策略,这样的策略可以包含对Vault中任何路径的任何权限,这当然不是我想要实现的。我想将此策略创建权限限制在给定的路径上。这在金库里有可能吗?

  • 我用Spring靴和Spring安全。 我这样添加基于url的安全性 有没有办法只授权get、post、put…在url上担任某些角色?