Sujet :
Problème d'accès à Vault avec une nouvelle politique
RÉSOLU
Liste des sujets Répondre Créer un sujet
Membre depuis le 12/05/2024
yo la team j'ai un souci avec vault j'ai créé une nouvelle politique pour un service mais il arrive pas à lire les secrets même si la policy est attachée. je reçois un permission denied. ma policy ressemble à ça
path "secret/data/mon-service/*" {
capabilities = ["read"]
}
path "secret/metadata/mon-service/*" {
capabilities = ["read"]
}
le service est authentifié via kubernetes auth. j'ai rattaché la policy au rôle k8s. une idée ?
Répondre
vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
guillaume-marty
Membre depuis le 03/06/2024
salut t'es sûr que le chemin est bon ? vault c'est super strict avec les paths. si ton secret est stocké sous secret/data/mon-service/dev/creds et que ta policy a juste secret/data/mon-service/* ça peut foirer si y a une sous-hiérarchie que t'as pas prévue
gomes-michele
Membre depuis le 10/02/2025
ouais et vérifie aussi que ton rôle k8s utilise bien le bon service account et le bon namespace. souvent c'est un mismatch entre le token et le rôle vault qui fout la merde. t'as les logs d'audit vault ? ça peut donner un bon indice sur le pourquoi du denied
llambert
Membre depuis le 12/05/2024
ah merde c'était ça ! le path était bon mais j'avais oublié une partie du chemin dans le token d'accès généré par le service. il fallait un token spécifique avec le full path secret/data/mon-service/dev/app-name. j'ai corrigé le code du service pour qu'il prenne le bon et ça marche. thx les gars