Secrets Vault KV2 non accessibles pour un nouveau service

Question

salut team j'ai un souci avec vault j'ai provisionné un nouveau service et quand il essaie de lire un secret dans le path kv/data/mon-app/config il se prend un permission denied l'auth est via kubernetes et le role vault a bien les capa read sur kv/data/mon-app/*

daniel-voisin · Answer

t'as bien vérifié le policy associé au role k8s ? le chemin kv/data/mon-app/config c'est pas le vrai chemin de la policy le vrai c'est plutôt kv/data/mon-app/config donc faut kv/data/mon-app/* ou kv/data/mon-app/config en read

delaunay-elodie · Answer

oui attention au /data/ dans le chemin kv2 faut que ta policy inclue bien ça et que le service utilise le bon chemin dans son code ou son env var VAULT_ADDR etc

thibaut22 · Answer

et t'as bien rechargé les policies après modif ? un simple vault policy write ou vault policy set-rules c pas toujours instantané si y'a du cache ou de la réplication sur le cluster vault

carpentier-aurore · Answer

et le service il est bien authentifié avant de chercher le secret ? regarde les logs d'audit de vault pour voir la request exact et l'erreur retournée par vault ça va t'aider à pister

gabriel-etienne · Answer

c'était bien le chemin de la policy je l'avais mis sans le /data/ au début j'ai corrigé et là ça passe nickel merci à tous

Secrets Vault KV2 non accessibles pour un nouveau service

5 commentaires

Laisser une réponse

La supervision dans kubernetes

Faciliter le déploiements k8s avec Kustomize

Comprendre et utiliser Metricbeat dans la stack ELK

Naviguez dans la Complexité : Graphes de Connaissances pour une Observabilité DevOps Intelligente

Révolutionnez vos tests et l'IA avec les Données Synthétiques pour un DevOps Confidentiel

Rejoindre la communauté