SecOps : Vault auto-unseal via GCP KMS qui refuse de démarrer
Commentaires
Membre depuis le 06/05/2019
salut ! t'as vérifié les logs du pod vault avec kubectl logs <pod-vault> ? des fois y'a plus d'info si tu creuses bien. et t'es sûr que le service account gcp est bien monté et utilisé par le pod ? c'est un classic
Membre depuis le 25/06/2024
en plus de ce que dit le collègue t'as bien configuré l'environnement google_application_credentials pour vault ou tu passes par l'workload identity de k8s avec un sa ? si c'est workload identity faut que le sa k8s soit bien annoté pour mapper au sa gcp
Membre depuis le 30/05/2024
d'acc je regarde les logs plus en détail. pour le sa c'est bien via workload identity j'ai mis l'annotation comme il faut genre iam.gke.io/gcp-service-account: vault-sa@mon-projet-gcp.iam.gserviceaccount.com
Membre depuis le 06/05/2019
ok si le sa est bien mappé ça devrait être bon côté auth gcp. t'as un network policy sur ton cluster k8s qui pourrait bloquer l'accès à l'api kms de gcp ? c'est une piste aussi
Membre depuis le 30/05/2024
bingo ! c'était bien un souci de network policy qui bloquait les requêtes sortantes vers l'api kms. j'avais mis un deny all par défaut et oublié d'autoriser la sortie vers *.googleapis.com. tout roule maintenant merci les gars !
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
buisson-thomas
Membre depuis le 30/05/2024
yo la team j'ai une prod qui galère à démarrer. on a mis en place vault avec l'auto-unseal via gcp kms. la config a l'air ok mais vault refuse de s'unsealer au boot. les logs disent juste
failed to unsealsans plus de détails. on est sur k8s, le service account a bien les droits kms decrypt/encrypt. une idée de ce qui cloche ?