给现有用户/令牌添加新策略的Vault（HashiCorp）操作

Question

给现有用户/令牌添加新策略的Vault（HashiCorp）操作

3

我使用策略创建了一个用户：

$ vault token create -renewable -policy=admin_policy    Key                  Value
---                  -----
token                s.kG0Kdb8d2DSOUHv3AMzw5tdO
token_accessor       Do57Fg9DpiMv1j6t3oysZoz9
token_duration       900h
token_renewable      true
token_policies       ["admin_policy" "default"]
identity_policies    []
policies             ["admin_policy" "default"]

现在我想给令牌添加策略，应该怎么做？

或者我创建了用户：

vault write auth/userpass/users/test3 password=test -policy=admin_policy
Success! Data written to: auth/userpass/users/test3

现在我想向用户添加一个策略：

vault write auth/userpass/users/test3 password=test -policy=admin_policy -policy=crm_sales_policy
Success! Data written to: auth/userpass/users/test3

但是什么都没有改变。

- Dmitriy Gr

2个回答

1

您无法为现有的令牌添加策略。

因此，您需要创建一个带有所需策略（或策略）的新令牌。

通常最好让您的上游身份验证源（例如LDAP等）处理将策略分配给用户，但您也可以在Vault级别上执行此操作。

还请注意，令牌与其父级相关联，因此当其父级令牌过期时，它们也会过期，除非您添加了-orphan。

令牌通常不应具有很长的生命周期。 Vault在这里的成功之处在于，秘密和令牌应该是短暂的，以便如果它们泄漏，伤害是最小的。

- zie

1

我可以使用用户密码吗？并为用户添加策略吗？还是每次都需要重新创建用户？ - Dmitriy Gr

是的，userpass没问题。是的，在userpass后端为用户添加策略，没问题。每次重新创建用户？我不明白这个。 - zie

如何添加新用户？更新现有的策略？你能在你的回答中添加一些代码吗？ - VityaSchel

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Winkee · Accepted Answer

起初，我也困惑如何更新用户策略，但是我发现文档已经更新了，API 是 /auth/userpass/users/:username/policies，所以您可以像这样更新策略：

vault write auth/userpass/users/bob123/policies policies="foo,bar"

官方文档