Vault HSM integration galère avec AWS CloudHSM

hello t'as bien installé les librairies cloudhsm sdk sur ton serveur vault ? et la variable d'environnement hsm_library_path est correcte ? souvent c un truc de chemin ou de permissions

en plus des libs vérifie que ton config block pour le seal hsm dans vault est bien formaté. le path vers la conf du client hsm (cloudhsm.conf) est bon ? et les credentials (user pin) sont corrects ? faut que vault puisse parler au client hsm

seal "hsm" {
  hsm_library = "/opt/cloudhsm/lib/libcloudhsm_pkcs11.so"
  hsm_slot = "0"
  hsm_key_label = "vault-hsm-key"
  hsm_pin = "your_hsm_user_pin"
  cloudhsm_client_config = "/etc/cloudhsm/cloudhsm.conf"
}

et le réseau entre ton serveur vault et le cloudhsm cluster ? firewall security groups nacls tout ça. le hsm client doit pouvoir atteindre l'interface réseau de ton cloudhsm. des fois on oublie un port

oui et le rôle iam de ton instance vault. il a bien les permissions nécessaires pour interagir avec cloudhsm ? genre km:DescribeKey etc. même si c'est le hsm client qui fait le taf vault a besoin de quelques perms pour le bootstrapping

check les logs du client hsm lui-même. ils sont souvent plus bavards que les logs vault pour les soucis de connexion. /var/log/cloudhsm-client.log ou un truc du genre

bon j'ai tout revérifié. c'était en fait un mix de permissions iam manquantes et d'une typo dans le pin utilisateur hsm dans ma config vault. le rôle iam n'avait pas les droits pour kms describe key. après correction ça démarre nickel et le unseal se fait par le hsm. thx pour les pistes