SecOps : Problème d'auto-authentification Vault avec AWS IAM

RSS
xguillaume 23/12/2025
RÉSOLU
Retour Répondre
Avatar de xguillaume
xguillaume
Auteur
Avatar de xguillaume
xguillaume
Auteur

Salut la team ! J'ai un souci avec mon Vault server. Je veux utiliser l'auto-authentification avec AWS IAM pour mes agents sur des instances EC2. J'ai configuré le rôle IAM qui va bien (j'espère) avec les permissions sts:GetCallerIdentity et le policy vault-agent-policy attaché. Mais quand l'agent démarre, il arrive pas à s'authentifier. J'ai un message d'erreur genre failed to login: failed to make request: forbidden


{
  "listener": {
    "tcp": {
      "address": "0.0.0.0:8200",
      "tls_disable": true
    }
  },
  "storage": {
    "file": {
      "path": "/vault/data"
    }
  },
  "service_registration": {
    "address": "127.0.0.1:8200",
    "cluster_address": "127.0.0.1:8201",
    "tag": "vault"
  }
}
23/12/2025 à 01:09

4 commentaires

Avatar de jean-bigot
jean-bigot
Membre
Avatar de jean-bigot
jean-bigot
Membre

yo t'as bien configuré ton auth method AWS dans Vault pour qu'il reconnaisse les rôles IAM de tes instances la ? il faut mapper le rôle IAM à un rôle Vault. et ton IAM policy sur l'instance il a le sts:AssumeRole pour le rôle Vault ?

23/12/2025 à 20:16
Avatar de faivre-adrien
faivre-adrien
Membre
Avatar de faivre-adrien
faivre-adrien
Membre

j'ajouterais un truc : vérifie la config de ton auth method AWS dans Vault. le bound_iam_principal_arns ou bound_iam_role_arns doit correspondre exactement au rôle ou principal ARN de tes instances EC2 qui tentent de s'authentifier. des fois c'est juste une erreur de copier coller

24/12/2025 à 19:40
Avatar de camille07
camille07
Membre Actif
Avatar de camille07
camille07
Membre Actif

et aussi l'heure systeme de tes instances ! le skew entre l'instance et AWS peut faire foirer l'auth IAM. ntpdate ou chrony c'est ton ami pour ça

25/12/2025 à 17:13
Avatar de xguillaume
xguillaume
Auteur
Avatar de xguillaume
xguillaume
Auteur

bingo pour le bound_iam_role_arns ! j'avais mis un ARN générique au lieu de l'ARN spécifique de mon rôle EC2. j'ai corrigé ça et l'agent s'est authentifié direct. thx les gars !

26/12/2025 à 16:27

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire