feat: add tf_vault required policies
move management of Vault back to tf_vault approle. for this, we need to create a number of policies that are missing. - add policies to manage consul secret engines - add policies to manage pki secret engines - add policies to manage kv secret engines - add policies to manage ssh secret engines
This commit is contained in:
@@ -0,0 +1,14 @@
|
|||||||
|
# Allow access to configure consul secret backend
|
||||||
|
---
|
||||||
|
rules:
|
||||||
|
- path: "consul_root/au/syd1/config/*"
|
||||||
|
capabilities:
|
||||||
|
- create
|
||||||
|
- update
|
||||||
|
- delete
|
||||||
|
- read
|
||||||
|
- list
|
||||||
|
|
||||||
|
auth:
|
||||||
|
approle:
|
||||||
|
- tf_vault
|
||||||
@@ -0,0 +1,14 @@
|
|||||||
|
# Allow access to manage consul secret backend roles
|
||||||
|
---
|
||||||
|
rules:
|
||||||
|
- path: "consul_root/au/syd1/roles/*"
|
||||||
|
capabilities:
|
||||||
|
- create
|
||||||
|
- update
|
||||||
|
- delete
|
||||||
|
- read
|
||||||
|
- list
|
||||||
|
|
||||||
|
auth:
|
||||||
|
approle:
|
||||||
|
- tf_vault
|
||||||
@@ -0,0 +1,14 @@
|
|||||||
|
# Allow access to configure KV secret backend
|
||||||
|
---
|
||||||
|
rules:
|
||||||
|
- path: "kv/config"
|
||||||
|
capabilities:
|
||||||
|
- create
|
||||||
|
- update
|
||||||
|
- delete
|
||||||
|
- read
|
||||||
|
- list
|
||||||
|
|
||||||
|
auth:
|
||||||
|
approle:
|
||||||
|
- tf_vault
|
||||||
@@ -0,0 +1,14 @@
|
|||||||
|
# Allow access to configure pki/au/syd1 secret backend
|
||||||
|
---
|
||||||
|
rules:
|
||||||
|
- path: "pki/au/syd1/config/*"
|
||||||
|
capabilities:
|
||||||
|
- create
|
||||||
|
- update
|
||||||
|
- delete
|
||||||
|
- read
|
||||||
|
- list
|
||||||
|
|
||||||
|
auth:
|
||||||
|
approle:
|
||||||
|
- tf_vault
|
||||||
@@ -0,0 +1,11 @@
|
|||||||
|
# Allow access to read pki/au/syd1 issuers
|
||||||
|
---
|
||||||
|
rules:
|
||||||
|
- path: "pki/au/syd1/issuer/*"
|
||||||
|
capabilities:
|
||||||
|
- read
|
||||||
|
- list
|
||||||
|
|
||||||
|
auth:
|
||||||
|
approle:
|
||||||
|
- tf_vault
|
||||||
@@ -0,0 +1,14 @@
|
|||||||
|
# Allow access to configure pki_int secret backend
|
||||||
|
---
|
||||||
|
rules:
|
||||||
|
- path: "pki_int/config/*"
|
||||||
|
capabilities:
|
||||||
|
- create
|
||||||
|
- update
|
||||||
|
- delete
|
||||||
|
- read
|
||||||
|
- list
|
||||||
|
|
||||||
|
auth:
|
||||||
|
approle:
|
||||||
|
- tf_vault
|
||||||
@@ -0,0 +1,11 @@
|
|||||||
|
# Allow access to read pki_int issuers
|
||||||
|
---
|
||||||
|
rules:
|
||||||
|
- path: "pki_int/issuer/*"
|
||||||
|
capabilities:
|
||||||
|
- read
|
||||||
|
- list
|
||||||
|
|
||||||
|
auth:
|
||||||
|
approle:
|
||||||
|
- tf_vault
|
||||||
@@ -0,0 +1,14 @@
|
|||||||
|
# Allow access to configure pki_root secret backend
|
||||||
|
---
|
||||||
|
rules:
|
||||||
|
- path: "pki_root/config/*"
|
||||||
|
capabilities:
|
||||||
|
- create
|
||||||
|
- update
|
||||||
|
- delete
|
||||||
|
- read
|
||||||
|
- list
|
||||||
|
|
||||||
|
auth:
|
||||||
|
approle:
|
||||||
|
- tf_vault
|
||||||
@@ -0,0 +1,11 @@
|
|||||||
|
# Allow access to read pki_root issuers
|
||||||
|
---
|
||||||
|
rules:
|
||||||
|
- path: "pki_root/issuer/*"
|
||||||
|
capabilities:
|
||||||
|
- read
|
||||||
|
- list
|
||||||
|
|
||||||
|
auth:
|
||||||
|
approle:
|
||||||
|
- tf_vault
|
||||||
@@ -0,0 +1,14 @@
|
|||||||
|
# Allow access to manage pki_root secret backend roles
|
||||||
|
---
|
||||||
|
rules:
|
||||||
|
- path: "pki_root/roles/*"
|
||||||
|
capabilities:
|
||||||
|
- create
|
||||||
|
- update
|
||||||
|
- delete
|
||||||
|
- read
|
||||||
|
- list
|
||||||
|
|
||||||
|
auth:
|
||||||
|
approle:
|
||||||
|
- tf_vault
|
||||||
@@ -0,0 +1,14 @@
|
|||||||
|
# Allow access to configure rundeck KV secret backend
|
||||||
|
---
|
||||||
|
rules:
|
||||||
|
- path: "rundeck/config"
|
||||||
|
capabilities:
|
||||||
|
- create
|
||||||
|
- update
|
||||||
|
- delete
|
||||||
|
- read
|
||||||
|
- list
|
||||||
|
|
||||||
|
auth:
|
||||||
|
approle:
|
||||||
|
- tf_vault
|
||||||
@@ -0,0 +1,14 @@
|
|||||||
|
# Allow access to configure SSH CA secret backend
|
||||||
|
---
|
||||||
|
rules:
|
||||||
|
- path: "sshca/config/*"
|
||||||
|
capabilities:
|
||||||
|
- create
|
||||||
|
- update
|
||||||
|
- delete
|
||||||
|
- read
|
||||||
|
- list
|
||||||
|
|
||||||
|
auth:
|
||||||
|
approle:
|
||||||
|
- tf_vault
|
||||||
Reference in New Issue
Block a user