Vault auto-unseal avec AWS KMS qui refuse de démarrer

RSS
josette76 23/01/2025
RÉSOLU
Retour Répondre
Avatar de josette76
josette76
Auteur Actif Secouriste
Avatar de josette76
josette76
Auteur Actif Secouriste

salut la team j'ai un souci avec mon vault on-prem. je veux le configurer pour l'auto-unseal via aws kms. j'ai mis la config dans le fichier mais vault refuse de démarrer. il me dit un truc du genre "failed to unseal with specified seal type". j'ai bien mis les creds aws sur la machine via un profil. des idées ?

seal "awskms" {
  region     = "eu-west-3"
  kms_key_id = "arn:aws:kms:eu-west-3:123456789012:key/abcdefgh-ijkl-mnop-qrst-uvwxyzabcdef"
}
23/01/2025 à 08:30

3 commentaires

Avatar de gilles-josette
gilles-josette
Membre Actif
Avatar de gilles-josette
gilles-josette
Membre Actif

yo t'as bien vérifié que ton rôle IAM ou les creds que tu utilises ont la permission kms:Encrypt et kms:Decrypt sur la clé spécifiée ? c'est souvent ça le souci. et aussi que la clé KMS a une policy qui autorise l'accès à tes creds

24/01/2025 à 04:21
Avatar de pinto-zacharie
pinto-zacharie
Membre Actif
Avatar de pinto-zacharie
pinto-zacharie
Membre Actif

ouais et un truc bête mais des fois l'horloge du serveur est pas synchro avec ntp ça peut poser des problèmes avec les signatures aws

25/01/2025 à 00:22
Avatar de josette76
josette76
Auteur Actif Secouriste
Avatar de josette76
josette76
Auteur Actif Secouriste

c'était la policy de la clé KMS en fait. j'avais mis le rôle IAM mais j'avais oublié de lui donner les droits sur la clé elle-même dans la policy de clé. quelle buse ! merci les gars ça démarre niquel maintenant

25/01/2025 à 21:35

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire