Vault agent init error - permission denied sur secret path
Commentaires
Membre depuis le 30/05/2019
yo. t'as vérifié que le rôle k8s que tu utilises pour l'authentification vault a bien la bonne policy attachée ? des fois on attache la policy au rôle k8s et pas au service account du pod direct. check ton auth method config
Membre depuis le 17/08/2019
ouais j'ai fait ça le role kubernetes dans vault il est lié à mon service account app-sa et la policy app-policy qui elle a bien 'read' sur secret/data/app/* est attachée à ce role
Membre depuis le 21/03/2019
hum c'est souvent un truc con avec les chemins. ton path est secret/data/app/config mais ta policy a 'read' sur secret/data/app/*. es-tu sûr que secret/data/app/config est bien le path exact et pas genre secret/data/app/config/key ? ou qu'il y a pas un truc entre data et app ?
Membre depuis le 30/05/2019
et aussi assure-toi que ton k8s auth method n'a pas de restriction de namespace ou de service account qui pourrait écraser ce que tu attends
Membre depuis le 17/08/2019
c'était ça ! en fait le secret était à secret/data/app-config/key et pas secret/data/app/config. juste une faute de frappe dans le path du mountpoint. tellement con j'ai passé 2h là-dessus. thx les gars
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
jacqueline-potier
Membre depuis le 17/08/2019
salut la team
je galère avec un vault agent qui arrive pas à s'initialiser. j'ai un pod k8s qui doit récupérer un secret d'un path spécifique genre secret/data/app/config. l'agent est censé injecter ça mais j'ai une erreur permissions denied quand il essaie de lire.
ma policy vault a bien le capabilitiy 'read' sur ce path. je comprends pas ce qui coince