feat(vault): erp prod runtime may read the shared GCS backup creds (kv_read_paths) #5
Reference in New Issue
Block a user
Delete Branch "claude/erp-backup-vault-read"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
Active les creds du CronJob de backup Dolibarr dédié (erp#32) sans dupliquer de secret ni emprunter le secret Longhorn cross-namespace.
Ajoute une liste optionnelle
kv_read_pathsau moduleapp_policy(défaut[]) : la policy runtime env=prod d'une app peut lire des paths kvv2 supplémentaires. Plumbée dans le schémaapplications+ l'appel du module (règledynamic,read+list).Posée pour erp :
→ le
VaultStaticSecretdu CronJob (chart erp, gated) lit les creds HMAC GCS existants avec le rôle Vault d'erp.Surface : no-op pour toutes les autres apps (défaut
[]). Seule la policy runtimeerpgagne une règleread,list. Validétofu init(graphe parse OK ; l'erreurvalidaterestante = auth JWT du provider, fournie par la CI).🤖 Generated with Claude Code