没有分配Hashicorp Vault策略

Question

我试图将策略分配给ldap组/用户，以便用户可以访问auth方法，但它似乎不起作用。这是我的情况。

我有一个策略名-具有功能的test-ldap-group：

path "auth/*" {
  capabilities = ["create", "read", "update", "delete", "list"]
}

path "kv/*" {
  capabilities = [ "read", "list" ]
}

现在，我已将此策略分配给我的ldap组：test-group。第二个带有"kv/*的方法工作得很好，因为我可以看到部署在kv引擎上的秘密，但是第一个是我试图分配auth方法的，它只是给了我一个错误-

Not authorized
Ember Data Request GET /v1/identity/entity/id?list=true returned a 403 Payload (application/json) [object Object]

1 error occurred: * permission denied

这也有效-(这让我们可以访问kv/下的所有我们不想要的东西)

path "kv/*" {
  capabilities = [ "read", "list" ]
}

但这不起作用

path "kv/staging/db" {
  capabilities = [ "read", "list" ]
}

我在这里做错了什么？

Vault版本- Vault v1.5.3

kv版本- 1

Answer 1

对于您来说失败的端点是用于列出标识的这个端点。在调用此命令时，您的用户或VAULT_TOKEN可能没有列出实体的所需权限。例如，您可以尝试以root用户身份登录Vault，或者在通过cURL执行命令时使用根VAULT_TOKEN。