SecOps : Vault auto-unseal GCP KMS ne trouve pas le keyring

Posté par smarques le 24/08/2024
RÉSOLU
Retour Répondre Créer

Avatar de smarques

smarques

Membre depuis le 02/07/2024

actif

yo la team petit souci avec vault. je tente de configurer l'auto-unseal avec gcp kms mais ça veut pas il me dit Error initializing migration: googleapi: Error 404: Keyring 'vault-keyring' not found.

j'ai bien créé le keyring le key et la key version dans la même région que le vault. le service account a les droits cloudkms.viewer et cloudkms.cryptokeyencrypterdecrypter sur le keyring. voici ma config


seal "gcpckms" {
  project     = "mon-projet-gcp"
  region      = "europe-west3"
  key_ring    = "vault-keyring"
  crypto_key  = "vault-key"
}

une idée de ce que je loupe

Commentaires

Avatar de charles-charles

charles-charles

Membre depuis le 24/03/2019

actif secouriste

salut. t'as vérifié le projet et la région dans la config vault ? si y a une coquille sur le nom du projet ou si la région est pas exacte par rapport à la création du keyring ça peut faire ça même si le keyring existe

Avatar de mfontaine

mfontaine

Membre depuis le 15/03/2019

actif

regarde aussi si le service account que tu utilises pour vault a bien le rôle Cloud KMS CryptoKey Encrypter/Decrypter sur le key lui-même pas juste le keyring ou le projet entier. des fois les rôles hérités ça suffit pas

Avatar de smarques

smarques

Membre depuis le 02/07/2024

actif

c'était bien ça le rôle sur la crypto key pas juste le keyring. j'ai ajouté le rôle Cloud KMS CryptoKey Encrypter/Decrypter direct sur la key vault-key pour le service account de vault et c'est passé. thx les gars

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire