Vault : Auto-unseal fail avec GCP KMS

Posté par bpayet le 03/01/2025
RÉSOLU
Retour Répondre Créer

Avatar de bpayet

bpayet

Membre depuis le 12/01/2020

salut la team on a migré notre vault sur gcp et on essaie de configurer l'auto-unseal avec kms mais ça marche pas

quand je redémarre vault j'ai l'erreur context deadline exceeded quand il essaie de contacter kms. la vm a les bons scopes iam pour kms. y'a un truc que je rate ?


seal "gcpckms" {
  project     = "mon-projet-gcp"
  region      = "europe-west1"
  key_ring    = "vault-keyring"
  crypto_key  = "vault-key"
}

Commentaires

Avatar de roger-marcelle

roger-marcelle

Membre depuis le 31/03/2019

yo t'as vérifié les rôles IAM du service account de ta VM ? il faut cloud kms cryptokey encrypter/decrypter sur la clé spécifique pas juste le keyring ou le projet. des fois c'est ça le souci

Avatar de perrot-thomas

perrot-thomas

Membre depuis le 19/03/2019

et aussi la connectivité réseau depuis ta VM vers l'endpoint KMS ? genre un gcloud auth print-access-token et ensuite un curl sur l'api kms pour voir si ça passe

Avatar de christine-delorme

christine-delorme

Membre depuis le 27/12/2019

ou un pare-feu sortant sur la vm qui bloque le port 443 vers les adresses de l'api gcp ? ça arrive plus souvent qu'on pense sur les envs strictes

Avatar de bpayet

bpayet

Membre depuis le 12/01/2020

bingo c'était bien le rôle iam j'avais mis sur le keyring au lieu de la clé directement. après ajustement le vault a démarré auto-unsealed direct. merci les gars !

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire