vault pas d'accès aux secrets après refresh token

salut. t'as vérifié la ttl de tes tokens vault et le max_ttl de ta policy ? si ton token est refresh mais que la max_ttl est atteinte, il se peut que le nouveau token soit invalide ou ait moins de droits. l'api de refresh de vault ne peut pas étendre un token au-delà de sa max_ttl

hmm la max_ttl est à 24h et le refresh est toutes les heures donc ça devrait aller. et la policy associée au rôle k8s a bien les droits pour les chemins des secrets. j'ai l'impression que c'est aléatoire

quand ça plante, t'as un message précis dans les logs d'audit de vault ou dans les logs de l'app ? cherche des "token revoked" ou "policy not found". ça pourrait être aussi un souci de lease renewal qui échoue à cause d'un transient network issue. regarde si ton token n'est pas révoqué par accident.

ok je vais creuser les logs. j'ai juste le standard "permission denied on path". j'ai mis le log level de vault plus haut et je vois "token parent lease revoked". mais je vois pas pourquoi la parent lease serait révoquée

ah "token parent lease revoked" ça change tout ! ça veut dire que le token initial (le parent) qui a servi à générer les tokens de ton app a été révoqué. du coup tous les enfants sont révoqués aussi. vérifie la durée de vie du token généré par l'auth method k8s lui-même, pas juste les tokens des policies. il a aussi une durée de vie et une max_token_ttl.

bon sang t'as raison ! le rôle k8s avait une token_ttl de 30min et une max_token_ttl de 1h. mon app tournait plus longtemps. j'ai augmenté ça et plus de soucis. merci pour l'aiguillage !