ac
И еще вопрос вот есть у меня уже токен не рутовый
Size: a a a
2020 November 23
ac
"policies":["app1","default"],"token_policies":["app1","default"],
ac
сама полиси path "secret/testapp/app1"
{
capabilities = [ "read", "list"]
}
{
capabilities = [ "read", "list"]
}
ac
но я при этом под клиенстким токеном получаю 403
ac
или мне надо сделать так? secret/testapp/* чтобы оно работало?
YS
сама полиси path "secret/testapp/app1"
{
capabilities = [ "read", "list"]
}
{
capabilities = [ "read", "list"]
}
Попробуй вот такую политику
# лист на корень secret/testapp
path "secret/testapp/metadata/" {
capabilities = ["list"]
}
# даём право читать только secret/testapp/app1
path "secret/testapp/data/app1" {
capabilities = ["read"]
}
ac
непрокатило(
ac
ой вру работает надо было новый токен получать
YS
Да это тоже типа очевидно, но не сразу. Список политик токена иммутабелен. Если ты его меняешь надо переавторизоваться, но если ты меняешь уже выданную политику - изменения должны быть тут же
AD
Ага, все в это стабильно утыкаются
2020 November 24
E
Ребят, а возможно для драйвера exec или raw_exec юзать относительный путь? Так как сложно представить, если dev-env разворачивать на разной технике и завставлять всех разрабов юзать идентичную иерархию директорий
А то юзая относительный путь, он не может найти нужный файл для прочтения
А то юзая относительный путь, он не может найти нужный файл для прочтения
AY
Ребят, а возможно для драйвера exec или raw_exec юзать относительный путь? Так как сложно представить, если dev-env разворачивать на разной технике и завставлять всех разрабов юзать идентичную иерархию директорий
А то юзая относительный путь, он не может найти нужный файл для прочтения
А то юзая относительный путь, он не может найти нужный файл для прочтения
На крайняк можно запускать с -meta pwd=$(pwd) и в job вставлять.
E
хм, возможно выбора нет
E
Думал, что nomad такую штуку то поддерживает
AY
exec/raw_exec это обычно про «скачать бинарник по ссылке и запустить». В случае какого-то go или ещё чего
E
А тогда как стоит запускать некие скрипты дополнительно и подобное?
ac
пытаюсь тут получить токен до этого было все ок теперь curl: (22) The requested URL returned error: 400 Bad Request
ac
дергают вот так
pkcs7=$(curl -s \
"http://169.254.169.254/latest/dynamic/instance-identity/pkcs7" | tr -d '\n')
data=$(cat <<EOF
{
"role": "app1",
"pkcs7": "$pkcs7"
}
EOF
)
echo "777.111.22.555 vault-sbx.xxxxx.net" >> /etc/hosts
curl --request POST \
--fail \
--data "$data" \
--cacert vault-ca.crt \
"https://vault-sbx.xxxxxx.net/v1/auth/aws/login"
pkcs7=$(curl -s \
"http://169.254.169.254/latest/dynamic/instance-identity/pkcs7" | tr -d '\n')
data=$(cat <<EOF
{
"role": "app1",
"pkcs7": "$pkcs7"
}
EOF
)
echo "777.111.22.555 vault-sbx.xxxxx.net" >> /etc/hosts
curl --request POST \
--fail \
--data "$data" \
--cacert vault-ca.crt \
"https://vault-sbx.xxxxxx.net/v1/auth/aws/login"
ac
теперь * We are completely uploaded and fine