Я тут когда-то спрашивал про взломанный vault, посоветовали через sys/leases

отозвать все токены (https://www.vaultproject.io/api/system/leases).
Смотрю endpoint vault-server/v1/sys/leases/lookup/auth/token/create и вижу там некоторые keys (с десяток):
...
{
"lease_duration" : 0,
"auth" : null,
"data" : {
"keys" : [
"h06..b",
"h0bd..c",
Каждому этому keys могу сделать lookup чтообы посмотреть когда его выпустили и когда он протухнет.
Читаю доку https://www.vaultproject.io/docs/concepts/lease и ни черта не проясняется - какая конкретно взаимосвязь между этими leases и моими токенами?
- если сделаю revoke lease для одного из этих id, то какие-то токены, которые были созданы с одной из политик, отзовутся?
- если первое выполняется, то тогда необходимо будет создать новый токен с указанной политикой?
- какая-то взаимосвязь между policy и id leases есть? cейчас у нас с десяток id leases (судя по API), пару десятков политик => вроде как ожидаешь как минимум пару десятков id leases для каждой из политик

Политики всегда привязаны к токену. Но т.к. сам токен волт тебе не показывает, он даёт тебе lease, как способ к токену обратиться. Поэтому отзыв лиза = отзыв токена. Сами политики останутся, но тот, кто пользуется токеном, доступ потеряет, т.к. токен станет невалидным