HashiCorp Vault - Superusuários

Configurei o cofre HashiCorp em nosso ambiente com ldap/active directory e o mecanismo de segredos ssh, fornecendo aos usuários um certificado assinado para acessar servidores Linux.

Eu configurei alguns grupos de AD, por exemplo:

Acesso - SSH Admin Standard # Dá acesso a servidores Linux padrão via "ssh-admin-standard-policy" Acesso - Vault Admin # Administradores do Vault com acesso de superusuário via "superadmin"

política-padrão-ssh-admin

path "ssh/roles/*" {
  capabilities = ["read"]
}

path "sys/mounts*" {
  capabilities = ["read", "list"]
}

path "ssh/sign/ssh-admin-standard" {
  capabilities = ["create", "update"]
}

e superadministrador

path "*" {
  capabilities = ["create", "read", "update", "delete", "list", "sudo"]
}

Agora, quando faço login como um usuário que tem ambos os grupos do AD, recebo:

➜  ~ vault login -method=ldap username="clarg"
Password (will be hidden):
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.

Key                    Value
---                    -----
token                  
token_accessor         
token_duration         768h
token_renewable        true
token_policies         ["default" "ssh-admin-standard" "superadmin"]
identity_policies      []
policies               ["default" "ssh-admin-standard" "superadmin"]
token_meta_username    clarg

Mas quando tento fazer coisas de superadmin, recebo permissão negada. Quando pesquisei isso no Google, descobri que o Vault, a política mais restritiva vence, neste caso a política "ssh-admin-standard-policy" que restringe ssh/roles para somente leitura.

Minha pergunta é como devo gerenciar o acesso de superusuário? Por enquanto, estou usando a chave root enquanto a configuro, mas quero excluí-la.