Sujet :

SecOps : Vault auto-unseal GCP KMS ne trouve pas le keyring

RÉSOLU

Liste des sujets Répondre Créer un sujet

Membre depuis le 02/07/2024

yo la team petit souci avec vault. je tente de configurer l'auto-unseal avec gcp kms mais ça veut pas il me dit Error initializing migration: googleapi: Error 404: Keyring 'vault-keyring' not found.

j'ai bien créé le keyring le key et la key version dans la même région que le vault. le service account a les droits cloudkms.viewer et cloudkms.cryptokeyencrypterdecrypter sur le keyring. voici ma config


seal "gcpckms" {
  project     = "mon-projet-gcp"
  region      = "europe-west3"
  key_ring    = "vault-keyring"
  crypto_key  = "vault-key"
}

une idée de ce que je loupe

24/08/24 à 12:08

charles-charles

Membre depuis le 06/05/2024

salut. t'as vérifié le projet et la région dans la config vault ? si y a une coquille sur le nom du projet ou si la région est pas exacte par rapport à la création du keyring ça peut faire ça même si le keyring existe

25/08/24 à 11:01

mfontaine

Membre depuis le 15/07/2024

regarde aussi si le service account que tu utilises pour vault a bien le rôle Cloud KMS CryptoKey Encrypter/Decrypter sur le key lui-même pas juste le keyring ou le projet entier. des fois les rôles hérités ça suffit pas

26/08/24 à 05:34

smarques

Membre depuis le 02/07/2024

c'était bien ça le rôle sur la crypto key pas juste le keyring. j'ai ajouté le rôle Cloud KMS CryptoKey Encrypter/Decrypter direct sur la key vault-key pour le service account de vault et c'est passé. thx les gars

27/08/24 à 03:49

Répondre

vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire