SecOps : Problème d'auto-authentification Vault avec AWS IAM

Question

Salut la team ! J'ai un souci avec mon Vault server. Je veux utiliser l'auto-authentification avec AWS IAM pour mes agents sur des instances EC2. J'ai configuré le rôle IAM qui va bien (j'espère) avec les permissions sts:GetCallerIdentity et le policy vault-agent-policy attaché. Mais quand l'agent démarre, il arrive pas à s'authentifier. J'ai un message d'erreur genre failed to login: failed to make request: forbidden

{
  "listener": {
    "tcp": {
      "address": "0.0.0.0:8200",
      "tls_disable": true
    }
  },
  "storage": {
    "file": {
      "path": "/vault/data"
    }
  },
  "service_registration": {
    "address": "127.0.0.1:8200",
    "cluster_address": "127.0.0.1:8201",
    "tag": "vault"
  }
}

jean-bigot · Answer

yo t'as bien configuré ton auth method AWS dans Vault pour qu'il reconnaisse les rôles IAM de tes instances la ? il faut mapper le rôle IAM à un rôle Vault. et ton IAM policy sur l'instance il a le sts:AssumeRole pour le rôle Vault ?

faivre-adrien · Answer

j'ajouterais un truc : vérifie la config de ton auth method AWS dans Vault. le bound_iam_principal_arns ou bound_iam_role_arns doit correspondre exactement au rôle ou principal ARN de tes instances EC2 qui tentent de s'authentifier. des fois c'est juste une erreur de copier coller

camille07 · Answer

et aussi l'heure systeme de tes instances ! le skew entre l'instance et AWS peut faire foirer l'auth IAM. ntpdate ou chrony c'est ton ami pour ça

xguillaume · Answer

bingo pour le bound_iam_role_arns ! j'avais mis un ARN générique au lieu de l'ARN spécifique de mon rôle EC2. j'ai corrigé ça et l'agent s'est authentifié direct. thx les gars !

SecOps : Problème d'auto-authentification `Vault` avec AWS IAM

Commentaires

Laisser une réponse

Les Slices (tableaux dynamiques) dans le langage de programmation Go

Introduction au rapport DORA

Les bonnes pratiques du DevOps

Rejoindre la communauté