vault pas d'accès aux secrets après refresh token
Posté par
raynaud-roland
le 25/04/2025
RÉSOLU
Membre depuis le 12/02/2024
hello la team, j'ai un souci avec vault. mon app java utilise l'auth method kubernetes et récupère un token. elle le met à jour régulièrement mais parfois après un refresh le token ne peut plus accéder aux secrets. j'ai un "permission denied" classique. obligé de relancer le pod pour que ça remarche un temps. ça vous dit qqc ?
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
Commentaires
lefort-joseph
Membre depuis le 09/09/2024
salut. t'as vérifié la ttl de tes tokens vault et le max_ttl de ta policy ? si ton token est refresh mais que la max_ttl est atteinte, il se peut que le nouveau token soit invalide ou ait moins de droits. l'api de refresh de vault ne peut pas étendre un token au-delà de sa max_ttl
raynaud-roland
Membre depuis le 12/02/2024
hmm la max_ttl est à 24h et le refresh est toutes les heures donc ça devrait aller. et la policy associée au rôle k8s a bien les droits pour les chemins des secrets. j'ai l'impression que c'est aléatoire
lefort-joseph
Membre depuis le 09/09/2024
quand ça plante, t'as un message précis dans les logs d'audit de vault ou dans les logs de l'app ? cherche des "token revoked" ou "policy not found". ça pourrait être aussi un souci de lease renewal qui échoue à cause d'un transient network issue. regarde si ton token n'est pas révoqué par accident.
raynaud-roland
Membre depuis le 12/02/2024
ok je vais creuser les logs. j'ai juste le standard "permission denied on path". j'ai mis le log level de vault plus haut et je vois "token parent lease revoked". mais je vois pas pourquoi la parent lease serait révoquée
lefort-joseph
Membre depuis le 09/09/2024
ah "token parent lease revoked" ça change tout ! ça veut dire que le token initial (le parent) qui a servi à générer les tokens de ton app a été révoqué. du coup tous les enfants sont révoqués aussi. vérifie la durée de vie du token généré par l'auth method k8s lui-même, pas juste les tokens des policies. il a aussi une durée de vie et une max_token_ttl.
raynaud-roland
Membre depuis le 12/02/2024
bon sang t'as raison ! le rôle k8s avait une token_ttl de 30min et une max_token_ttl de 1h. mon app tournait plus longtemps. j'ai augmenté ça et plus de soucis. merci pour l'aiguillage !