Vault : erreur permission denied sur un secret existant

Posté par nath02 le 25/06/2025
RÉSOLU
Retour Répondre Créer

Avatar de nath02

nath02

Membre depuis le 27/07/2019

yo la team j'ai un souci avec vault on a un secret kv/data/app/config qui existe bien je peux le lire avec mon token root mais quand j'essaie de le lire avec un token d'app généré via un rôle k8s j'ai un permission denied pourtant la policy est censée autoriser


# ma policy simplifiée
path "kv/data/app/config" {
  capabilities = ["read"]
}

le rôle kubernetes est bien attaché à cette policy je pige pas pourquoi ça bloque

Commentaires

Avatar de bertrand-grondin

bertrand-grondin

Membre depuis le 26/07/2019

salut regarde si ta policy est bien sur le bon chemin pour le kv engine v2 faut pas oublier le /data/ au milieu si ton moteur est un v2 souvent c'est l'erreur bête

un vault secrets tune -description="KV v2 engine" kv/ pour voir la version de ton moteur

Avatar de maggie18

maggie18

Membre depuis le 10/06/2020

ouais et vérifie aussi que ton rôle kubernetes est bien associé à la policy correcte avec vault read auth/kubernetes/role/mon-app-role tu devrais voir la liste des policies attachées

Avatar de claude90

claude90

Membre depuis le 11/01/2021

et aussi un truc con mais le kv engine est bien monté au chemin kv/ ? pas un autre nom ? un vault secrets list pour vérifier tout ça des fois y'a des surprises avec les migrations ou les configs par défaut

Avatar de nath02

nath02

Membre depuis le 27/07/2019

putain vous êtes des chefs c'était bien ça le chemin kv/data/app/config ma policy était bonne mais le rôle était pas bien mappé sur la bonne policy après un vault write auth/kubernetes/role/mon-app-role policies=ma-policy-vault c passé comme une lettre à la poste thx la team

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire