让我用一个示例场景来解释我的问题。
假设我是 hashicorp 保险库的管理员。我使用 WEB Ui 进行管理活动。我为我的所有客户创建了 approle auth 方法,以使用 vault 进行身份验证并通过 API 方法获取机密。 问题: 现在在这种情况下 approle auth 方法生成的令牌是否允许客户端使用令牌方法登录到 web ui?
如果是这样,如何限制此访问,因为我只希望管理员访问 Vault Web UI。
欢迎大家回答
UI 只是调用 API 的另一种方式。在后台,UI 使用您通过登录获得的 Vault 令牌调用 API。例如,您可以登录命令行(使用
vault login ...
即使可以按照您的要求进行操作,也可以编写一个全新的 GUI(例如分叉 Goldfish 或 Vault-UI)并绕过您放置的任何内容。您还可以使用 HVAC 编写Python 脚本来访问 API。
所以把策略放在你想要限制的 Vault 操作上,而不是访问它们的意思。