vault auto-unseal avec gcp kms ca marche pas

Question

team vault j'ai une galère. j'essaye de configurer l'auto-unseal de vault avec gcp kms. j'ai suivi la doc officiel mais au démarrage de vault il reste en "sealed" et dans les logs je vois un truc du genre "failed to unseal with google cloud kms". les permissions du service account sont ok j'ai bien le role cloud kms cryptoKey Encrypter/Decrypter sur la clé. une idée où regarder ?
# config vault server
storage "raft" {
  path = "/vault/data"
}

listener "tcp" {
  address     = "0.0.0.0:8200"
  tls_disable = true
}

seal "gcpckms" {
  project     = "mon-projet-gcp"
  region      = "europe-west1"
  key_ring    = "vault-keyring"
  crypto_key  = "vault-unseal-key"
}

lesage-pauline · Answer

check l'authentification de vault vers gcp. si tu es sur une vm gcp est-ce que le service account de la vm a les bonnes permissions ? si c'est un pod k8s t'as bien configuré workload identity ou le json key file est au bon endroit et vault peut le lire ?

peron-raymond · Answer

ah ouais c'est un pod k8s j'utilise workload identity. j'ai bien bind le k8s service account avec le gcp service account et donné les perms. je vais re-check le trust relationship et si l'env var GOOGLE_APPLICATION_CREDENTIALS est pas en conflit si j'en ai une

lesage-pauline · Answer

souvent c'est ça un souci de creds qui se marchent dessus ou un binding de rôle qui est pas effectif. t'as vérifié que le service account vault-gcp-kms a bien les perms sur cryptokey pour encrypt/decrypt spécifiquement sur ta clé vault-unseal-key et pas juste sur le key ring ?

peron-raymond · Answer

bingo ! j'avais mis les perms sur le keyring mais pas spécifiquement sur la clé. j'ai ajouté le rôle cryptoKey Encrypter/Decrypter directement sur la crypto_key et là vault a démarré non-sealed ! thx pour le tips

vault auto-unseal avec gcp kms ca marche pas

Commentaires

Laisser une réponse

Comprendre et utiliser Packetbeat dans la stack ELK

Conclusion du cours Terraform

Introduction au cours ELK

Rejoindre la communauté