Крутая ссылка вышла, научишь ?

Я сам не понял как так получилось 🙂

Вообщем на сколько я помню когда мастер стучится в вольт для получения секретов для миниона он как бы представляется этим минионом. И соответственно действуют только полиси навешанные на этот минион. В 2019+ это точно так работает. Те даже если ты дал мастер аппрол с аксесом на все он не сможет прочитать секрет если полиси минион не позволяют.
При генерации токена для миниона он вешает именно полиси от минион на этот токен.

Но ведь мастер все равно везде имеет доступ. в чем особый смысл избегать пилларов?

при желании можно сделать так что мастер ничего не может читать а только выдает токены

Не имеет в том то и дело.
Ты даешь ему аппрол который умеет генерит токены с полисями.

т.е. может выдать себе токен на чтение ? :)

Ну само собой.

Если ты рут ты можешь все ! 🙂

ты можешь ограничить полиси которые он может навешивать на токены

ну то есть контроль тут есть

Один хрен если даже работать с вольт агентом у тебя кто-то же должен генерить для него апп роловские секреты.

@Omegam а сколько у вас вызовов salt['vault.read_secret'] ?

в пиларах

@oloremo Не мерял. А как померить можно ?

fgrep -r vault.read_secret path/to/pillars | wc -l

Чет не понимаю как я это могу в пилларах применить 🙂

ну просто посчитать сколько раз оно вызывается

Ах блин не правильно прочитал сообщение 🙂