vault agent auto-auth kubernetes token pas bon

RSS
lecomte-margaret 17/09/2025
RÉSOLU
Retour Répondre
Avatar de lecomte-margaret
lecomte-margaret
Auteur Actif
Avatar de lecomte-margaret
lecomte-margaret
Auteur Actif

hello j'ai un souci avec vault agent en k8s. l'auto-auth via le service account token déconne après un certain temps. ça marche au début et puis d'un coup plus rien j'ai un permission denied sur le token.


# logs de vault agent
2023-10-27T10:30:05.123Z [ERROR] auto-auth.handler: error authenticating: error="lookup k8s: permission denied"
17/09/2025 à 06:46

4 commentaires

Avatar de olouis
olouis
Membre
Avatar de olouis
olouis
Membre

hmm ça sent le service account token expiré ou révoqué par k8s non ? vérifie la durée de vie de tes service accounts et si y'a pas un rotation policy qui te le vire

18/09/2025 à 02:04
Avatar de wgimenez
wgimenez
Membre
Avatar de wgimenez
wgimenez
Membre

regarde aussi les logs du controller manager de k8s des fois ça te donnera des indices sur pourquoi le token est rejeté. et côté vault check l'audit log pour l'erreur exacte

18/09/2025 à 23:57
Avatar de paul03
paul03
Membre Actif
Avatar de paul03
paul03
Membre Actif

t'as bien mis à jour les bound_service_account_names et bound_service_account_namespaces dans ta config k8s auth method côté vault ? si le pod est recréé avec un nouveau SA ça peut foutre le bordel

19/09/2025 à 23:29
Avatar de lecomte-margaret
lecomte-margaret
Auteur Actif
Avatar de lecomte-margaret
lecomte-margaret
Auteur Actif

bingo c'était ça ! j'avais une vieille config qui utilisait un sa générique mais le nouveau deployment a créé un sa spécifique. j'ai mis à jour le bound_service_account_names dans vault et c'est reparti nickel thx !

20/09/2025 à 23:25

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire