如何在'when‘条件下将kube-secret映射为istio key: request.headers的值？

Question

在下面的Istio鉴权策略中，when下的token (617D8667CPPP3B3F0EA05814B7D9)是硬编码的，不能轮换。有没有什么方法可以映射出kubesecret的值呢？这样我们就可以旋转令牌了？

kind: AuthorizationPolicy
metadata:
  name: allow-requests
spec:
  selector:
    matchLabels:
      run: test
  action: ALLOW
  rules:
    - to:
        - operation:
            methods: ["GET","POST"]
      when:
      - key: request.headers[x-token]
        values: ["617D8667CPPP3B3F0EA05814B7D9"]

Answer 1

谢谢你们。我使用cron作业通过轮换when值每隔几个小时重新创建一次身份验证策略。将该值存储在用户可以使用适当的RBAC控制从其中读取令牌的秘密中。

Answer 2

我同意@suren在评论中提到的，在授权策略中是不可能做到的。至少我找不到任何这样的例子。

存在用于授权策略when值的conditions。

值类型为string[]。

Field   Type      Description     Required                                     

values  string[]  A list of allowed values for the attribute. Note: at least one of values or not_values must be set. No

所以我会说它是一个或多个硬编码的字符串值。