А кто может подсказать про политики vault? Столкнулся со странной наркоманией. Нужно

дать права на диру с секретами, типа

path "org/svc/dev/api/app/" {
capabilities = ["read", "list"]
}

Но эта шняга начинает работать только тогда, когда даешь права на саму корневую директорию со звездочкой, например вот так:

path "org/*" {
capabilities = ["read", "list"]
}

Получается что если надо много директорий с разными политиками - их надо пихать в корень, но это выглядит как порнография. Можно ли это как-то обойти?

6 ответов

38 просмотров

org/svc/dev/api/app/* Не срабатывает?

Aleks-Michajlow Автор вопроса

нет :( Вообще такое впечатление, что работает только правило "org/*", а все остальное - нет. пробовал правила типа path "org/svc/dev/api/supersecret/*" { capabilities = ["deny"] } но они тоже не работают

Не надо воспринимать волтовые пути как "директории", здесь скорее семантика префиксов. Если ты при запросе будешь указывать полный путь, то политика будет работать.

Aleks-Michajlow Автор вопроса

почему-то заработало с таким путем в политике org/data/svc/dev/api/app/ то есть он в путе захотел увидеть data . Почему так - пока хз

Потому что это особенности использования kv2 бекенда, о котором ты ничего не сказал в своём вопросе.

Aleks-Michajlow Автор вопроса

вероятно потому что я не знал, что оно чем-то отличается от kv

Похожие вопросы

Обсуждают сегодня

Гайс, вопрос для разносторонее развитых: читаю стрим с юарта, нада выделять с него фреймы с определенной структурой, если ли чо готовое, или долбаться с ринг буффером? нада у...
Vitaly
9
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
длина пакета фиксированная, или меняется?
Okhsunrog
7
Вот еще странный косяк, подскажите как бороться. Я git clone сделал себе всего embassy и примеры там запускаю. Всё хорошо. Но вот решил в cargo.toml зависимости не как в приме...
Lukutin R2AJP
5
А в каком формате фреймы? Сам формат сейчас придумываешь, или что-то готовое нужно распарсить?
Okhsunrog
5
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Добрый вечер, Пока не совсем понимаю как наладить общение между телеграм ботом и ПО для работы с сим боксом. По самому боту так понял: - Нужен некий баланс, который можно поп...
Magic
6
Всем привет, нужна как никогда, нужна помощь с IO в загрузчике. Пишу в code16 после установки сегментных регистров, пишу вывод символа. Пробовал 2 варианта: # 1 mov $0x0E, %a...
Shadow Akira
14
Раз начали говорить про embassy, то присоединюсь со своими парой вопросов. 1) Есть ли сопоставимые аналоги для асинхронного кода в emdebbed? 2) Можно ли внутри задач embassy ...
NI_isx
6
сделал сайт, прикрутил в боте сайт, и виджет логина. как автоматически логинить пользователя в аккаунт(телеграм), при входе с бота?
Александра Чернивецкая
5
Карта сайта