vault auto-unseal avec kms bloqué en sealed

RSS
lucas-amelie 24/06/2024
RÉSOLU
Retour Répondre
Avatar de lucas-amelie
lucas-amelie
Auteur
Avatar de lucas-amelie
lucas-amelie
Auteur

hello tt le monde on essaie de configurer vault sur des ec2 avec l'auto-unseal via aws kms. tout semble bon côté config vault mais l'instance reste sealed. les logs vault montrent rien de particulier à part qu'il attend d'être unsealed.


# extrait de la config vault
seal "awskms" {
  region     = "eu-west-3"
  kms_key_id = "arn:aws:kms:eu-west-3:123456789012:key/abcdefgh-1234-abcd-efgh-1234567890ab"
}
listener "tcp" {
  address     = "0.0.0.0:8200"
  tls_disable = "true"
}
storage "s3" {
  bucket     = "my-vault-s3-bucket"
  region     = "eu-west-3"
}
24/06/2024 à 23:30

3 commentaires

Avatar de agathe-mary
agathe-mary
Membre
Avatar de agathe-mary
agathe-mary
Membre

t'as vérifié que l'instance role de ton ec2 vault a bien les permissions kms decrypt sur la clé spécifiée ? c'est le truc classique. faut au moins kms:Decrypt et kms:DescribeKey

25/06/2024 à 19:17
Avatar de celina54
celina54
Membre Actif
Avatar de celina54
celina54
Membre Actif

et aussi que ton ec2 peut joindre les endpoints kms. pas de proxy pas de vpc endpoint bloqué par un sg ou une nacl ?

26/06/2024 à 16:37
Avatar de lucas-amelie
lucas-amelie
Auteur
Avatar de lucas-amelie
lucas-amelie
Auteur

putain mais oui l'instance role ! j'avais oublié d'attacher la policy. je viens d'ajouter une policy custom avec kms:Decrypt sur la clé et c'est passé en started. je suis trop con merci bcp

27/06/2024 à 15:10

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire