А кто может подсказать про политики vault? Столкнулся со странной наркоманией. Нужно

дать права на диру с секретами, типа

path "org/svc/dev/api/app/" {
capabilities = ["read", "list"]
}

Но эта шняга начинает работать только тогда, когда даешь права на саму корневую директорию со звездочкой, например вот так:

path "org/*" {
capabilities = ["read", "list"]
}

Получается что если надо много директорий с разными политиками - их надо пихать в корень, но это выглядит как порнография. Можно ли это как-то обойти?

org/svc/dev/api/app/* Не срабатывает?

нет :( Вообще такое впечатление, что работает только правило "org/*", а все остальное - нет. пробовал правила типа path "org/svc/dev/api/supersecret/*" { capabilities = ["deny"] } но они тоже не работают

Не надо воспринимать волтовые пути как "директории", здесь скорее семантика префиксов. Если ты при запросе будешь указывать полный путь, то политика будет работать.

почему-то заработало с таким путем в политике org/data/svc/dev/api/app/ то есть он в путе захотел увидеть data . Почему так - пока хз

Потому что это особенности использования kv2 бекенда, о котором ты ничего не сказал в своём вопросе.

вероятно потому что я не знал, что оно чем-то отличается от kv