如何正确使用 etcd 角色来控制特定 etcd 密钥的写入权限？

目前golang学习网上已经有很多关于Golang的文章了，自己在初次阅读这些文章中，也见识到了很多学习思路；那么本文《如何正确使用 etcd 角色来控制特定 etcd 密钥的写入权限？》，也希望能帮助到大家，如果阅读完后真的对你学习Golang有帮助，欢迎动动手指，评论留言并分享~

我使用 go etcd/clientv3 并使用以下参数启动我的 etcd 集群：

"--name", "etcd-cluster"                                    
"--data-dir", "/var/lib/etcd",                      
"--wal-dir", "/var/lib",                                      
"--listen-client-urls", "127.0.0.1:2379",                        
"--listen-peer-urls", , "127.0.0.1:2380",                                                              
"--advertise-client-urls", "127.0.0.1:2379",           
"--initial-advertise-peer-urls", "127.0.0.1:2380", 
"--initial-cluster", "cluster",                          
"--initial-cluster-state", "new",                               
"--initial-cluster-token", "election",                                                             
"--cert-file", "tls.pem",                                      
"--key-file", "tls.key",                                       
"--client-cert-auth",                                           
"--trusted-ca-file", "ca.pem",                                  
"--peer-client-cert-auth",                                      
"--peer-trusted-ca-file", "peer-ca.pem",                             
"--peer-cert-file", "peer-cert.pem",                                 
"--peer-key-file", "peer.key",

然后我运行以下命令：

env etcdctl_api=3 etcdctl --endpoints=localhost:2379 --cert tls.pem --key tls.key --cacert ca.pem user add root
env etcdctl_api=3 etcdctl --endpoints=localhost:2379 --cert tls.pem --key tls.key --cacert ca.pem role add root
env etcdctl_api=3 etcdctl --endpoints=localhost:2379 --cert tls.pem --key tls.key --cacert ca.pem user add myuser
env etcdctl_api=3 etcdctl --endpoints=localhost:2379 --cert tls.pem --key tls.key --cacert ca.pem role add myrole
env etcdctl_api=3 etcdctl --endpoints=localhost:2379 --cert tls.pem --key tls.key --cacert ca.pem put /events/1 value
env etcdctl_api=3 etcdctl --endpoints=localhost:2379 --cert tls.pem --key tls.key --cacert ca.pem role grant-permisson myrole read /events/1
env etcdctl_api=3 etcdctl --endpoints=localhost:2379 --cert tls.pem --key tls.key --cacert ca.pem user grant-role root root
env etcdctl_api=3 etcdctl --endpoints=localhost:2379 --cert tls.pem --key tls.key --cacert ca.pem user grant-role myuser myrole
env etcdctl_api=3 etcdctl --endpoints=localhost:2379 --cert tls.pem --key tls.key --cacert ca.pem auth enable

用于身份验证的 etcd 文档表示，如果客户端使用 tls 证书，则从该证书中获取 cn 并用作 etcd user。我的证书 tls.pem 具有 cn=myuser 因此：

env etcdctl_api=3 etcdctl --endpoints=localhost:2379 --cert tls.pem --key tls.key --cacert ca.pem put /events/1 value

将导致permission被拒绝，这是正确的，因为只为read授予myuser权限。然而，文档还指出，如果 --user 选项与 tls 证书一起使用，则 --user 将优先于 cn。这意味着，如果我运行：

env ETCDCTL_API=3 etcdctl --endpoints=localhost:2379 --cert tls.pem --key tls.key --cacert ca.pem --user=root:mypass put /events/1 value

然后应该使用 root 用户来执行该操作，我希望它会导致 ok，但是它没有发生，而是我得到了相同的东西 - permission returned。什么会导致这个问题？预先感谢您！

正确答案

我无法帮助解决 --user 问题，即为什么它不起作用，但是，为什么你不能使用以下方法。您使用TLS auth，这很好，但是为什么不创建MASTER.CLIENTV3和ZQBCCBMMYUSERN.CLIENTV3ZQBENDCBENDCBENDCBENDCBENS MASTER是Master Master tls tls tls tls tls具有CN = Mastern = Masterzqbendczqn corpert cotter cotter cotter cortati ，其中N = 0 ,1,2,...。然后，将 root 角色授予 master 用户，并将 myrole 角色授予所有 myuserN。

在这种情况下，您可以使用主证书来完全控制 etcd 和具有 myrole 角色的其他证书，即对 /events/1 密钥仅具有 read 权限。

按照这个想法，您基本上可以创建任何其他 permissions 并拥有一个 master 客户端来控制 etcd 中的所有内容。希望有帮助:)

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《如何正确使用 etcd 角色来控制特定 etcd 密钥的写入权限？》文章吧，也可关注golang学习网公众号了解相关技术文章。