HashicorpVault-パス内の1つの特定のサブノードを制限するポリシー

Hashicorp Vaultサーバーを構成しましたが、「拒否」ポリシーを除いて、すべてが正常に実行されています。

私は大多数の秘密を2レベルでグループ化しているので、次の構造に従います。

secret/client/environment/*

すべてのシークレットがクライアント/環境の構造に従うわけではありませんが、そのために、このポリシーのユーザーがアクセスできないようにする「制限された」ノードがあります。

上記の要件に基づいて、私は次のようなポリシーになりました。

# Allow access to non client / environment secrets
path "secret/"
{
  capabilities = ["create", "read", "update", "list"]
}

path "secret/+/"
{
  capabilities = ["create", "read", "update", "list"]
}

path "secret/+/+/*"
{
  capabilities = ["create", "read", "update", "list"]
}

# No access to restricted secrets
path "secret/+/+/restricted"
{
  capabilities = ["deny"]
}

path "secret/+/+/restricted/*"
{
  capabilities = ["deny"]
}

ポリシーを使用してトークンを作成し、そのトークンを「ボールトトークン機能」コマンドで使用すると、期待どおりの結果が返されます。

$vault token capabilities $(cat token.txt) secret/client/environment/blah
create, list, read, update

$vault token capabilities $(cat token.txt) secret/client/environment/restricted
deny

$vault token capabilities $(cat token.txt) secret/client/environment/restricted/blah
deny

そのトークンを使用してログインすると問題が発生します。制限されたノードの内容を一覧表示できるだけでなく、その中の任意のキーの詳細を取得することもできます（以下のすべてのレベルで）。これは、CLIとWebUIの両方に当てはまります。

シークレット/ *を許可してからシークレット/ +/+ /制限付き/ *を拒否するという単純なポリシーを試してみましたが、これは「ボールトトークン機能」コマンドでは正しく機能しませんでした。

トークンを使用してログインすると、正しいポリシーが表示されます（デフォルトも同様ですが、デフォルトにはsecret /へのアクセス許可がありません）。

secret /はkvストアとしてセットアップされているので、「vault kv list | get ...」を使用してCLIからアクセスします。

ログインしたユーザーにポリシールールを「強制」するために実行する必要のある別の手順はありますか？