11.10.3. 配置 Vault 表达式约束
在默认情况下,读和写 Vault 表达式是敏感操作。配置 Vault 表达式约束允许你设置这两个操作为非敏感的。修改这个约束允许更多的角色读和写 Vault 表达式。
Vault 表达式约束的配置位于
/core-service=management/access=authorization/constraint=vault-expression 上的管理模型里。
要配置 Vault 表达式,请使用
write-attribute 操作来设置 configured-requires-write 和 configured-requires-read 的属性为 true 或 false。在默认情况下,它们不会被设置而使用 default-requires-read 和 default-requires-write 的值。默认值不能被修改。
例 11.7. 使写入 Vault 表示成为非敏感操作
[domain@localhost:9999 /] cd /core-service=management/access=authorization/constraint=vault-expression
[domain@localhost:9999 constraint=vault-expression] :write-attribute(name=configured-requires-write, value=false)
{
"outcome" => "success",
"result" => undefined,
"server-groups" => {"main-server-group" => {"host" => {"master" => {
"server-one" => {"response" => {"outcome" => "success"}},
"server-two" => {"response" => {"outcome" => "success"}}
}}}}
}
[domain@localhost:9999 constraint=vault-expression] :read-resource
{
"outcome" => "success",
"result" => {
"configured-requires-read" => undefined,
"configured-requires-write" => false,
"default-requires-read" => true,
"default-requires-write" => true
}
}
[domain@localhost:9999 constraint=vault-expression]
表 11.3 “Vault 表达式约束配置结果” 总结了哪些角色能够读取和写入 Vault 表达式所取决的配置。
表 11.3. Vault 表达式约束配置结果
| 值 | requires-read | requires-write |
|---|---|---|
true
|
读操作是敏感的。
只有 Auditor, Administrator 和 SuperUser 可以读。
|
写操作是敏感的。
只有 Administrator 和 SuperUser 可以写。
|
false
|
读操作是不敏感的。
所有管理用户都可以读。
|
写操作是不敏感的。
Monitor, Administrator 和 SuperUser 都可以写。如果 Vault 表达式是一个应用程序资源的话,Deployers 也可以写。
|
