Vault auto-unseal avec AWS KMS qui refuse de démarrer

Posté par josette76 le 23/01/2025

RÉSOLU

Membre depuis le 02/05/2024

salut la team j'ai un souci avec mon vault on-prem. je veux le configurer pour l'auto-unseal via aws kms. j'ai mis la config dans le fichier mais vault refuse de démarrer. il me dit un truc du genre "failed to unseal with specified seal type". j'ai bien mis les creds aws sur la machine via un profil. des idées ?

seal "awskms" {
  region     = "eu-west-3"
  kms_key_id = "arn:aws:kms:eu-west-3:123456789012:key/abcdefgh-ijkl-mnop-qrst-uvwxyzabcdef"
}

23/01/25 à 08:30

Commentaires

gilles-josette

Membre depuis le 19/04/2024

yo t'as bien vérifié que ton rôle IAM ou les creds que tu utilises ont la permission kms:Encrypt et kms:Decrypt sur la clé spécifiée ? c'est souvent ça le souci. et aussi que la clé KMS a une policy qui autorise l'accès à tes creds

24/01/25 à 04:21

pinto-zacharie

Membre depuis le 31/07/2024

ouais et un truc bête mais des fois l'horloge du serveur est pas synchro avec ntp ça peut poser des problèmes avec les signatures aws

25/01/25 à 00:22

josette76

Membre depuis le 02/05/2024

c'était la policy de la clé KMS en fait. j'avais mis le rôle IAM mais j'avais oublié de lui donner les droits sur la clé elle-même dans la policy de clé. quelle buse ! merci les gars ça démarre niquel maintenant

25/01/25 à 21:35

Retour