如何创建仅允许通过令牌访问 kv-group 的领事 ACL?
How to create consul ACL that allow access to kv-group only by token?
我正在尝试了解 Consul ACL 系统,看起来不可能创建仅允许使用默认策略通过令牌访问某些密钥的 ACL "allow":
user@server01:~$ cat /etc/consul/conf.d/acl.json
{
"acl_datacenter": "dc-example-com",
"acl_master_token": "00000000-1111-2222-3333-444444444444",
"acl_default_policy": "allow",
"acl_down_policy": "allow"
}
我在 ACL 规则中创建了客户端规则:
key "group1/" {
policy = "write"
}
我希望 consul 仅通过新规则获得的令牌启用 v1/kv/group1/* 中的书写。
只是将 default_policy 更改为 deny 太难了,因为它是生产。
看来,我找到了解决方法:
Anonymous token:
key "group1/" {
policy = "deny"
}
acl_group1_allow:
key "group1/" {
policy = "write"
}
我正在尝试了解 Consul ACL 系统,看起来不可能创建仅允许使用默认策略通过令牌访问某些密钥的 ACL "allow":
user@server01:~$ cat /etc/consul/conf.d/acl.json
{
"acl_datacenter": "dc-example-com",
"acl_master_token": "00000000-1111-2222-3333-444444444444",
"acl_default_policy": "allow",
"acl_down_policy": "allow"
}
我在 ACL 规则中创建了客户端规则:
key "group1/" {
policy = "write"
}
我希望 consul 仅通过新规则获得的令牌启用 v1/kv/group1/* 中的书写。
只是将 default_policy 更改为 deny 太难了,因为它是生产。
看来,我找到了解决方法:
Anonymous token:
key "group1/" {
policy = "deny"
}
acl_group1_allow:
key "group1/" {
policy = "write"
}