hosts vincula la identidad de máquina de cada host gestionado con el conjunto de perfiles que puede solicitar.
Campos
| Campo | Tipo | Obligatorio | Notas |
|---|---|---|---|
identity | string | sí | CN del certificado de identidad del host (emitido por step-ca). |
profiles | string[] | sí | Lista no vacía de nombres de perfil. |
edge01, api01) es solo una etiqueta humana — aparece en auditoría y validación. El broker autoriza por identity.
Reglas de matching
identitydebe ser un CN estable — el agente lo presenta como CN del certificado cliente sobre mTLS.- Dos entradas no pueden compartir
identity. El compilador rechaza duplicados. profilesdeben referenciar perfiles del mismo archivo.- Un agente que pide un perfil no listado para su host es rechazado, aunque el perfil exista.
Añadir un host
-
Emite un token de
step-capara el nuevo CN. -
Añade una entrada
hosts.<etiqueta>: -
Con
policy.watch: trueel cambio se aplica al instante. Si no, reinicia el broker. -
Despliega el agente y ejecuta
enroll.
Eliminar un host
Borra su entrada enhosts. Con policy.watch: true se aplica al siguiente cambio de archivo. El certificado de identidad puede seguir siendo válido (eso lo decide step-ca), pero el broker rechazará todas sus peticiones.