Vault : erreur permission denied sur un secret existant

Question

yo la team j'ai un souci avec vault on a un secret kv/data/app/config qui existe bien je peux le lire avec mon token root mais quand j'essaie de le lire avec un token d'app généré via un rôle k8s j'ai un permission denied pourtant la policy est censée autoriser

# ma policy simplifiée
path "kv/data/app/config" {
  capabilities = ["read"]
}

le rôle kubernetes est bien attaché à cette policy je pige pas pourquoi ça bloque

bertrand-grondin · Answer

salut regarde si ta policy est bien sur le bon chemin pour le kv engine v2 faut pas oublier le /data/ au milieu si ton moteur est un v2 souvent c'est l'erreur bête
un vault secrets tune -description="KV v2 engine" kv/ pour voir la version de ton moteur

maggie18 · Answer

ouais et vérifie aussi que ton rôle kubernetes est bien associé à la policy correcte avec vault read auth/kubernetes/role/mon-app-role tu devrais voir la liste des policies attachées

claude90 · Answer

et aussi un truc con mais le kv engine est bien monté au chemin kv/ ? pas un autre nom ? un vault secrets list pour vérifier tout ça des fois y'a des surprises avec les migrations ou les configs par défaut

nath02 · Answer

putain vous êtes des chefs c'était bien ça le chemin kv/data/app/config ma policy était bonne mais le rôle était pas bien mappé sur la bonne policy après un vault write auth/kubernetes/role/mon-app-role policies=ma-policy-vault c passé comme une lettre à la poste thx la team

Vault : erreur permission denied sur un secret existant

4 commentaires

Laisser une réponse

Améliorer la productivité du modèle DevOps (DORA)

Restaurer une sauvegarde sur GitLab via la procédure de secours

DevOps Quantum-Inspiré | Révolutionnez l'Optimisation de vos Pipelines

La Révolution des Architectures Cognitives : Vers des Systèmes DevOps Auto-Adaptatifs et Intelligents

Pourquoi vos applications 10x plus rapides sont bridées par la RAM

Rejoindre la communauté