Sujet :

SecOps : Vault auto-unseal via GCP KMS qui refuse de démarrer

RÉSOLU

Liste des sujets Répondre Créer un sujet

Avatar de buisson-thomas

buisson-thomas

Membre depuis le 30/05/2024

yo la team j'ai une prod qui galère à démarrer. on a mis en place vault avec l'auto-unseal via gcp kms. la config a l'air ok mais vault refuse de s'unsealer au boot. les logs disent juste failed to unseal sans plus de détails. on est sur k8s, le service account a bien les droits kms decrypt/encrypt. une idée de ce qui cloche ?

# extrait du configmap vault
storage "raft" {
  path = "/vault/data"
}
seal "gcpckms" {
  project     = "mon-projet-gcp"
  region      = "europe-west1"
  key_ring    = "vault-keyring"
  crypto_key  = "vault-key"
}
listener "tcp" {
  address     = "0.0.0.0:8200"
  tls_disable = true
}

Avatar de thibault-dominique

thibault-dominique

Membre depuis le 28/04/2024

salut ! t'as vérifié les logs du pod vault avec kubectl logs <pod-vault> ? des fois y'a plus d'info si tu creuses bien. et t'es sûr que le service account gcp est bien monté et utilisé par le pod ? c'est un classic

Avatar de constance-gauthier

constance-gauthier

Membre depuis le 25/06/2024

en plus de ce que dit le collègue t'as bien configuré l'environnement google_application_credentials pour vault ou tu passes par l'workload identity de k8s avec un sa ? si c'est workload identity faut que le sa k8s soit bien annoté pour mapper au sa gcp

Avatar de buisson-thomas

buisson-thomas

Membre depuis le 30/05/2024

d'acc je regarde les logs plus en détail. pour le sa c'est bien via workload identity j'ai mis l'annotation comme il faut genre iam.gke.io/gcp-service-account: vault-sa@mon-projet-gcp.iam.gserviceaccount.com

Avatar de thibault-dominique

thibault-dominique

Membre depuis le 28/04/2024

ok si le sa est bien mappé ça devrait être bon côté auth gcp. t'as un network policy sur ton cluster k8s qui pourrait bloquer l'accès à l'api kms de gcp ? c'est une piste aussi

Avatar de buisson-thomas

buisson-thomas

Membre depuis le 30/05/2024

bingo ! c'était bien un souci de network policy qui bloquait les requêtes sortantes vers l'api kms. j'avais mis un deny all par défaut et oublié d'autoriser la sortie vers *.googleapis.com. tout roule maintenant merci les gars !

Répondre

vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire