Problème d'accès Vault avec Kubernetes via Service Account

Posté par william-perrier le 06/01/2026
RÉSOLU
Retour Répondre Créer

Avatar de william-perrier

william-perrier

Membre depuis le 20/07/2019

Salut ! J'ai un souci avec Vault sur k8s. J'essaye d'authentifier mes pods via le mécanisme Kubernetes Service Account token. J'ai bien configuré le auth method dans Vault, la politique et le rôle. Mon pod arrive à générer un token Vault mais quand il essaye d'accéder à un secret bah c'est permission denied. J'ai l'impression qu'il y a un truc qui cloche avec les policies attachées ou le mapping du role.


# Exemple de config du rôle Vault
path "auth/kubernetes/role/my-app" {
  bound_service_account_names = "my-service-account"
  bound_service_account_namespaces = "my-namespace"
  policies = ["my-app-policy"]
  ttl = "1h"
}

Commentaires

Avatar de chevallier-paulette

chevallier-paulette

Membre depuis le 12/05/2019

Ah oui le `token_reviewer_jwt` c'est critique si t'es pas sur un setup simple. Souvent l'erreur vient de là ou d'un `kubernetes_ca_cert` qui n'est pas bon ou n'est pas encodé correctement en base64

Avatar de william-perrier

william-perrier

Membre depuis le 20/07/2019

AH MAIS OUI ! C'est un KV v2 et j'étais persuadé que le chemin pour la policy était juste `secret/my-app/config`. Quand je faisais un `vault read secret/my-app/config` ça marchait en local avec mon token admin. En fait il fallait bien le `/data/`. J'ai corrigé ma policy pour `secret/data/my-app/*` et ça marche ! Merci énormément pour l'aide

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire