Sujet :

Vault : erreur permission denied sur un secret existant

RÉSOLU

Liste des sujets Répondre Créer un sujet

Membre depuis le 08/08/2024

yo la team j'ai un souci avec vault on a un secret kv/data/app/config qui existe bien je peux le lire avec mon token root mais quand j'essaie de le lire avec un token d'app généré via un rôle k8s j'ai un permission denied pourtant la policy est censée autoriser


# ma policy simplifiée
path "kv/data/app/config" {
  capabilities = ["read"]
}

le rôle kubernetes est bien attaché à cette policy je pige pas pourquoi ça bloque

25/06/25 à 07:09

bertrand-grondin

Membre depuis le 18/06/2024

salut regarde si ta policy est bien sur le bon chemin pour le kv engine v2 faut pas oublier le /data/ au milieu si ton moteur est un v2 souvent c'est l'erreur bête

un vault secrets tune -description="KV v2 engine" kv/ pour voir la version de ton moteur

26/06/25 à 02:50

maggie18

Membre depuis le 25/03/2024

ouais et vérifie aussi que ton rôle kubernetes est bien associé à la policy correcte avec vault read auth/kubernetes/role/mon-app-role tu devrais voir la liste des policies attachées

27/06/25 à 00:48

claude90

Membre depuis le 31/12/2024

et aussi un truc con mais le kv engine est bien monté au chemin kv/ ? pas un autre nom ? un vault secrets list pour vérifier tout ça des fois y'a des surprises avec les migrations ou les configs par défaut

27/06/25 à 20:00

nath02

Membre depuis le 08/08/2024

putain vous êtes des chefs c'était bien ça le chemin kv/data/app/config ma policy était bonne mais le rôle était pas bien mappé sur la bonne policy après un vault write auth/kubernetes/role/mon-app-role policies=ma-policy-vault c passé comme une lettre à la poste thx la team

28/06/25 à 16:44

Répondre

vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire