vault auto-unseal avec gcp kms ca marche pas
Commentaires
Membre depuis le 10/12/2019
check l'authentification de vault vers gcp. si tu es sur une vm gcp est-ce que le service account de la vm a les bonnes permissions ? si c'est un pod k8s t'as bien configuré workload identity ou le json key file est au bon endroit et vault peut le lire ?
Membre depuis le 07/01/2020
ah ouais c'est un pod k8s j'utilise workload identity. j'ai bien bind le k8s service account avec le gcp service account et donné les perms. je vais re-check le trust relationship et si l'env var GOOGLE_APPLICATION_CREDENTIALS est pas en conflit si j'en ai une
Membre depuis le 10/12/2019
souvent c'est ça un souci de creds qui se marchent dessus ou un binding de rôle qui est pas effectif. t'as vérifié que le service account vault-gcp-kms a bien les perms sur cryptokey pour encrypt/decrypt spécifiquement sur ta clé vault-unseal-key et pas juste sur le key ring ?
Membre depuis le 07/01/2020
bingo ! j'avais mis les perms sur le keyring mais pas spécifiquement sur la clé. j'ai ajouté le rôle cryptoKey Encrypter/Decrypter directement sur la crypto_key et là vault a démarré non-sealed ! thx pour le tips
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
peron-raymond
Membre depuis le 07/01/2020
team vault j'ai une galère. j'essaye de configurer l'auto-unseal de vault avec gcp kms. j'ai suivi la doc officiel mais au démarrage de vault il reste en "sealed" et dans les logs je vois un truc du genre "failed to unseal with google cloud kms". les permissions du service account sont ok j'ai bien le role cloud kms cryptoKey Encrypter/Decrypter sur la clé. une idée où regarder ?