Problème d'accès à Vault avec une nouvelle politique

Posté par llambert le 23/02/2026
RÉSOLU
Retour Répondre Créer

Avatar de llambert

llambert

Membre depuis le 12/05/2024

yo la team j'ai un souci avec vault j'ai créé une nouvelle politique pour un service mais il arrive pas à lire les secrets même si la policy est attachée. je reçois un permission denied. ma policy ressemble à ça


path "secret/data/mon-service/*" {
  capabilities = ["read"]
}
path "secret/metadata/mon-service/*" {
  capabilities = ["read"]
}

le service est authentifié via kubernetes auth. j'ai rattaché la policy au rôle k8s. une idée ?

Commentaires

Avatar de guillaume-marty

guillaume-marty

Membre depuis le 22/04/2019

salut t'es sûr que le chemin est bon ? vault c'est super strict avec les paths. si ton secret est stocké sous secret/data/mon-service/dev/creds et que ta policy a juste secret/data/mon-service/* ça peut foirer si y a une sous-hiérarchie que t'as pas prévue

Avatar de gomes-michele

gomes-michele

Membre depuis le 13/04/2019

ouais et vérifie aussi que ton rôle k8s utilise bien le bon service account et le bon namespace. souvent c'est un mismatch entre le token et le rôle vault qui fout la merde. t'as les logs d'audit vault ? ça peut donner un bon indice sur le pourquoi du denied

Avatar de llambert

llambert

Membre depuis le 12/05/2024

ah merde c'était ça ! le path était bon mais j'avais oublié une partie du chemin dans le token d'accès généré par le service. il fallait un token spécifique avec le full path secret/data/mon-service/dev/app-name. j'ai corrigé le code du service pour qu'il prenne le bon et ça marche. thx les gars

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire