Добрый день всем дошли руки поковырять интегрирацию hashicorp vault и

gitlab-ci через jwt токен
классический пример норм зашел - через клиента vault получаю нужные параметры - но этого клиента немного сложновато запихать в контейнеры
смотрю в сторону получения токена авторизации по curl с jwt токеном и дальнейшим использование его в том же курле для получения сикретов - получаю сбой

первый вариант(рабочий - описанный в доках)
script:
- echo $CI_COMMIT_REF_NAME
- export VAULT_SKIP_VERIFY=true
- export VAULT_ADDR=https://vault.autapp.com/
- export VAULT_TOKEN="$(vault write -field=token auth/jwt/login role=project-test jwt=$CI_JOB_JWT)"
- export LOGIN="$(vault kv get -field=login secret/projects/test/mariadb)"
- export PASSWORD="$(vault kv get -field=password secret/projects/test/mariadb)"
- echo $LOGIN
- echo $PASSWORD

второй вариант(сбойный)
script:
- curl -v --raw --request POST --data '{"jwt": "$CI_JOB_JWT", "role": "project-test"}' https://vault.autapp.com/v1/auth/jwt/login

выдает

{"errors":["error validating token: error verifying token signature: oidc: malformed jwt: square/go-jose: compact JWS format must have three parts"]}


подскажите - в каком месте в моем ДНК сбой))?? с направлением куда поковырять))

одинарные ковычки