Sujet :
SecOps : Vault auth method pour k8s qui refuse de marcher
RÉSOLU
Liste des sujets Répondre Créer un sujet
Membre depuis le 11/04/2024
yo la team j'essaie de configurer un auth method vault pour mon cluster k8s. j'ai suivi la doc pour le kubernetes auth method mais quand j'essaie de faire un vault login -method=kubernetes role=my-role jwt=@token.jwt ça me renvoie un permission denied ou failed to login
vault auth enable kubernetes
vault write auth/kubernetes/config \
token_reviewer_jwt="$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)" \
kubernetes_host="https://$KUBERNETES_PORT_443_TCP_ADDR:443" \
kubernetes_ca_cert=@/var/run/secrets/kubernetes.io/serviceaccount/ca.crt
vault write auth/kubernetes/role/my-role \
bound_service_account_names=my-app-sa \
bound_service_account_namespaces=default \
policies=my-app-policy \
ttl=1h
le service account existe bien et a les bonnes permissions. une idée de ce que je loupe
Répondre
vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
sebastien-thibault
Membre depuis le 15/08/2024
salut t'as vérifié que le
token_reviewer_jwtque tu utilises pour configurer vault a bien les droits de lire lestokenreviewsdans k8s ? c souvent un oubli le sa de vault doit pouvoir valider les tokens des autres sacaroline49
Membre depuis le 15/07/2024
aussi check la clock skew entre ton serveur vault et les noeuds k8s ça peut foutre le bordel avec les jwt et leur validité
xavier15
Membre depuis le 11/04/2024
ah pas bête pour le
token_reviewer_jwtj'avais utilisé un sa par défaut sans penser aux permissions spécifiques. j'ai créé un nouveau sa avec lesverb: ["create"]surresource: ["tokenreviews"]et reconfiguré. ça marche nickel maintenant merci les gars !