Sujet :
SecOps : Vault K8s et le sidecar qui s'authentifie pas
RÉSOLU
Liste des sujets Répondre Créer un sujet
Membre depuis le 25/03/2024
yo la team j'ai un souci avec notre déploiement vault sur k8s les pods vault sont up healthy pas de souci mais les agents sidecar qui sont censés s'injecter dans nos applis n'arrivent pas à s'authentifier auprès de vault
j'ai le message permission denied: no handler for current token type dans les logs du sidecar
# exemple de role k8s auth path
path "auth/kubernetes/role/mon-app" {
bound_service_account_names = ["mon-app-sa"]
bound_service_account_namespaces = ["default"]
policies = ["mon-app-policy"]
ttl = "1h"
}
le service account mon-app-sa existe bien dans default
Répondre
vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
claudine60
Membre depuis le 22/04/2024
hello t'as bien activé l'auth method kubernetes dans vault et configuré le chemin du service account token ? souvent c'est un problème de rôle k8s mal défini ou le service account token review qui est pas vu par vault
henri-aubert
Membre depuis le 13/04/2024
vérifie aussi que t'as pas une network policy un peu trop zélée qui bloquerait le trafic entre ton pod sidecar et le pod vault le port 8200 de vault doit être joignable
chevalier-david
Membre depuis le 25/03/2024
c'était bien ça une network policy qui empêchait le sidecar de pinger le service vault même si le service était dans le même namespace. thx à vous les gars pour le coup de main je vais revoir mes policies