Sujet :
SecOps : Problème d'auto-authentification <code>Vault</code> avec AWS IAM
RÉSOLU
Liste des sujets Répondre Créer un sujet
Membre depuis le 18/11/2024
Salut la team ! J'ai un souci avec mon Vault server. Je veux utiliser l'auto-authentification avec AWS IAM pour mes agents sur des instances EC2. J'ai configuré le rôle IAM qui va bien (j'espère) avec les permissions sts:GetCallerIdentity et le policy vault-agent-policy attaché. Mais quand l'agent démarre, il arrive pas à s'authentifier. J'ai un message d'erreur genre failed to login: failed to make request: forbidden
{
"listener": {
"tcp": {
"address": "0.0.0.0:8200",
"tls_disable": true
}
},
"storage": {
"file": {
"path": "/vault/data"
}
},
"service_registration": {
"address": "127.0.0.1:8200",
"cluster_address": "127.0.0.1:8201",
"tag": "vault"
}
}
Répondre
vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
jean-bigot
Membre depuis le 19/05/2024
yo t'as bien configuré ton
auth methodAWS dansVaultpour qu'il reconnaisse les rôles IAM de tes instances la ? il faut mapper le rôle IAM à un rôleVault. et tonIAM policysur l'instance il a lests:AssumeRolepour le rôleVault?faivre-adrien
Membre depuis le 18/06/2024
j'ajouterais un truc : vérifie la config de ton
auth methodAWS dansVault. lebound_iam_principal_arnsoubound_iam_role_arnsdoit correspondre exactement au rôle ou principal ARN de tes instances EC2 qui tentent de s'authentifier. des fois c'est juste une erreur de copier collercamille07
Membre depuis le 19/02/2025
et aussi l'heure systeme de tes instances ! le
skewentre l'instance et AWS peut faire foirer l'auth IAM.ntpdateouchronyc'est ton ami pour çaxguillaume
Membre depuis le 18/11/2024
bingo pour le
bound_iam_role_arns! j'avais mis un ARN générique au lieu de l'ARN spécifique de mon rôle EC2. j'ai corrigé ça et l'agent s'est authentifié direct. thx les gars !