create/delete 命名空间的 HashiCorp Vault 策略

HashiCorp Vault policy for create/delete namespace

/org/teams/my-team 我配置了一个 AppRole。我想授予 AppRole 在 my-team 命名空间下创建和删除命名空间的权限。

这种情况下的政策如何?

我可以用

达到我想要的
path "*" {
    capabilities = ["create", "delete"]
}

当然,这也太厉害了吧

我在官方 HashiCorp 中找不到任何有用的东西 docs.

命名空间的一般策略路径位于 sys/namespaces。您可以使用命名空间的 API 端点来确认这一点。您的政策将显示为:

path "sys/namespaces" {
  capabilities = ["list"]
}

path "sys/namespaces/my-team" {
  capabilities = ["list", "read"]
}

path "sys/namespaces/my-team/*" {
  capabilities = ["create", "read", "update", "delete", "list", "sudo"]
}