SecOps : Vault auth method pour k8s qui refuse de marcher

Posté par xavier15 le 08/01/2026
RÉSOLU
Retour Répondre Créer

Avatar de xavier15

xavier15

Membre depuis le 13/03/2019

yo la team j'essaie de configurer un auth method vault pour mon cluster k8s. j'ai suivi la doc pour le kubernetes auth method mais quand j'essaie de faire un vault login -method=kubernetes role=my-role jwt=@token.jwt ça me renvoie un permission denied ou failed to login


vault auth enable kubernetes
vault write auth/kubernetes/config \
    token_reviewer_jwt="$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)" \
    kubernetes_host="https://$KUBERNETES_PORT_443_TCP_ADDR:443" \
    kubernetes_ca_cert=@/var/run/secrets/kubernetes.io/serviceaccount/ca.crt
vault write auth/kubernetes/role/my-role \
    bound_service_account_names=my-app-sa \
    bound_service_account_namespaces=default \
    policies=my-app-policy \
    ttl=1h

le service account existe bien et a les bonnes permissions. une idée de ce que je loupe

Commentaires

Avatar de sebastien-thibault

sebastien-thibault

Membre depuis le 28/08/2023

salut t'as vérifié que le token_reviewer_jwt que tu utilises pour configurer vault a bien les droits de lire les tokenreviews dans k8s ? c souvent un oubli le sa de vault doit pouvoir valider les tokens des autres sa

Avatar de caroline49

caroline49

Membre depuis le 14/04/2020

aussi check la clock skew entre ton serveur vault et les noeuds k8s ça peut foutre le bordel avec les jwt et leur validité

Avatar de xavier15

xavier15

Membre depuis le 13/03/2019

ah pas bête pour le token_reviewer_jwt j'avais utilisé un sa par défaut sans penser aux permissions spécifiques. j'ai créé un nouveau sa avec les verb: ["create"] sur resource: ["tokenreviews"] et reconfiguré. ça marche nickel maintenant merci les gars !

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire