保管库机密列表权限被拒绝

Vault secrets list permission denied

我无法理解 secrets list 的工作原理。 我有路径权限的策略。

path "sys/mounts/*" {
capabilities = ["create", "read", "update", "delete", "list","sudo"]
}

我可以运行启用和禁用标志

$ vault secrets enable -path=Test kv
Success! Enabled the kv secrets engine at: Test/
$ vault secrets disable Test
Success! Disabled the secrets engine (if it existed) at: Test/

但我无法运行列出或移动

vault secrets list
Error listing secrets engines: Error making API request.

URL: GET http://localhost:8200/v1/sys/mounts
Code: 403. Errors:

* permission denied

vault secrets move Test Test2
Error moving secrets engine Test/ to Test2/: Error making API request.

URL: POST http://localhost/v1/sys/remount
Code: 403. Errors:

* permission denied

这不是文件系统权限问题,将 admin-token 更改为 root-token 后一切正常。所以任何人都可以向我解释这种行为吗?

尝试:

path "sys/mounts" {
capabilities = ["read"]
}

命令在 sys/mounts 上执行,而不是 sys/mounts/*

补充一下。此网页上列出了特定令牌可以允许或不允许的所有秘密后端路径 https://www.vaultproject.io/api/system/index.html

当您获得对任何 URL 的权限被拒绝时。您需要在此页面上搜索 URL。您将获得有关该系统后端的全部信息。例如您可以同时搜索 "sys/remount" 和 "sys/mounts"