vault auto-unseal avec kms bloqué en sealed

Posté par lucas-amelie le 24/06/2024

RÉSOLU

Membre depuis le 28/01/2023

hello tt le monde on essaie de configurer vault sur des ec2 avec l'auto-unseal via aws kms. tout semble bon côté config vault mais l'instance reste sealed. les logs vault montrent rien de particulier à part qu'il attend d'être unsealed.


# extrait de la config vault
seal "awskms" {
  region     = "eu-west-3"
  kms_key_id = "arn:aws:kms:eu-west-3:123456789012:key/abcdefgh-1234-abcd-efgh-1234567890ab"
}
listener "tcp" {
  address     = "0.0.0.0:8200"
  tls_disable = "true"
}
storage "s3" {
  bucket     = "my-vault-s3-bucket"
  region     = "eu-west-3"
}

24/06/24 à 23:30

Commentaires

agathe-mary

Membre depuis le 31/05/2024

t'as vérifié que l'instance role de ton ec2 vault a bien les permissions kms decrypt sur la clé spécifiée ? c'est le truc classique. faut au moins kms:Decrypt et kms:DescribeKey

25/06/24 à 19:17

celina54

Membre depuis le 21/03/2024

et aussi que ton ec2 peut joindre les endpoints kms. pas de proxy pas de vpc endpoint bloqué par un sg ou une nacl ?

26/06/24 à 16:37

lucas-amelie

Membre depuis le 28/01/2023

putain mais oui l'instance role ! j'avais oublié d'attacher la policy. je viens d'ajouter une policy custom avec kms:Decrypt sur la clé et c'est passé en started. je suis trop con merci bcp

27/06/24 à 15:10

Retour