hashicorp-vault - Vault approle auth 强制使用默认策略

问题描述

使用 Approle Auth 方法创建角色时，我确实告诉 Vault 在测试策略下创建生成的令牌

vault write auth/approle/role/test \
bind_secret_id=true \
secret_id_num_uses=0 \
token_num_uses=100 \
token_ttl=10m \
token_max_ttl=10m \
policies=test

我得到了roleid和一个secretid： vault read auth/approle/role/test/role-id vault write -f auth/approle/role/test/secret-id 并用它来生成一个令牌：

vault write auth/approle/login \
role_id=a36f3615-9532-983a-991b-f5f4bff9723a \
secret_id=d74458b0-b076-12c6-fc5d-d5f92273ef9d

我得到一个生成的令牌现在检查生成的令牌：

  vault token lookup ddfe8514-4a9a-c14b-9179-576db031a137                                                                
  Key                 Value
  ---                 -----
  accessor            b8aecbf5-e0d1-d016-1c02-3e1a1fd5098a
  creation_time       1532330714
  creation_ttl        600
  display_name        approle
  entity_id           bcd8a77a-85df-8224-e5ff-9390cae15e25
  expire_time         2018-07-23T09:35:14.579632638+02:00
  explicit_max_ttl    0
  id                  ddfe8514-4a9a-c14b-9179-576db031a137
  issue_time          2018-07-23T09:25:14.579632516+02:00
  meta                map[role_name:test]
  num_uses            100
  orphan              true
  path                auth/approle/login
  policies            [default test]
  renewable           true
  ttl                 580

它就在那里！默认策略... Approle 没有关于如何跳过默认策略的文档。有人有同样的问题吗？

标签： hashicorp-vault

如官方文档中所述：

默认策略是无法删除的内置 Vault 策略。默认情况下，它附加到所有令牌，但可以通过支持身份验证方法在令牌创建时明确排除。

编辑

根据这篇文章，实际上不可能从 AppRole 中删除默认策略。正如您所说，这可能是未来版本要求的功能。

hashicorp-vault - Vault approle auth 强制使用默认策略

问题描述

解决方案

推荐阅读