5 commentaires
yo. t'as vérifié que le rôle k8s que tu utilises pour l'authentification vault a bien la bonne policy attachée ? des fois on attache la policy au rôle k8s et pas au service account du pod direct. check ton auth method config
ouais j'ai fait ça le role kubernetes dans vault il est lié à mon service account app-sa et la policy app-policy qui elle a bien 'read' sur secret/data/app/* est attachée à ce role
hum c'est souvent un truc con avec les chemins. ton path est secret/data/app/config mais ta policy a 'read' sur secret/data/app/*. es-tu sûr que secret/data/app/config est bien le path exact et pas genre secret/data/app/config/key ? ou qu'il y a pas un truc entre data et app ?
et aussi assure-toi que ton k8s auth method n'a pas de restriction de namespace ou de service account qui pourrait écraser ce que tu attends
c'était ça ! en fait le secret était à secret/data/app-config/key et pas secret/data/app/config. juste une faute de frappe dans le path du mountpoint. tellement con j'ai passé 2h là-dessus. thx les gars
Laisser une réponse
Vous devez être connecté pour poster un message !
salut la team
je galère avec un vault agent qui arrive pas à s'initialiser. j'ai un pod k8s qui doit récupérer un secret d'un path spécifique genre secret/data/app/config. l'agent est censé injecter ça mais j'ai une erreur permissions denied quand il essaie de lire.
ma policy vault a bien le capabilitiy 'read' sur ce path. je comprends pas ce qui coince