Я использую метод аутентификации GCP IAM для аутентификации в хранилище. Я выполнил шаги, предложенные в vault gcp auth для аутентификации с использованием учетной записи службы
Я смог успешно пройти аутентификацию и войти в систему. Но когда я пытаюсь прочитать секреты по указанному пути, он говорит, что в разрешении отказано.
$vi test-policy.hcl
path "secret/test/*" {
capabilities = ["read"]
}
У меня есть следующие роли, назначенные моей учетной записи службы.
- Администратор учетной записи службы
- Администратор ключа служебного аккаунта
- Создатель токена сервисного аккаунта
vault kv get secret/test/awskeys
Error reading secret/data/test/awskeys: Error making API request.
URL: GET http://127.0.0.1:8200/v1/secret/data/test/awskeys
Code: 403. Errors:
* 1 error occurred:
* permission denied
У меня такая же проблема с приложением spring-cloud-vault. Есть ли какая-то роль, которую я пропустил для назначения этой учетной записи службы, или я неправильно настроил политику?
Примечание. Vault Server настроен на AWS.