Vault pas d'accès aux secrets via AppRole depuis les runners GitLab
Commentaires
Membre depuis le 06/10/2024
vérifie bien la policy attachée à ton AppRole. souvent on fait une policy trop générique ou on oublie des chemins. les logs d'audit de vault sont tes amis tu devrais voir exactement quelle permission manque
Membre depuis le 18/07/2019
ouais j'ai regardé les logs vault. y'a un permission denied on "auth/approle/login" sur le rôle. pourtant le rôle existe et le secret_id est bon
Membre depuis le 21/07/2024
attends "permission denied on auth/approle/login" ça c'est pas une policy de secret ça. ça veut dire que le client (ton runner) n'a pas le droit de faire le login lui-même avec son role_id et secret_id. la policy attachée au role_id doit avoir un chemin genre
path "auth/approle/login" {
capabilities = ["create", "read", "update"]
}
Membre depuis le 21/07/2024
précisément. et vérifie aussi que ton rôle approle a bien le
bound_cidrstoken_bound_cidrs
Membre depuis le 18/07/2019
vous aviez raison ! la policy de mon AppRole n'avait pas les capabilities de create/read/update sur "auth/approle/login". j'avais mis que les permissions pour les secrets. après ajout c'est passé nickel. merci pour l'aide précieuse
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
josephine86
Membre depuis le 18/07/2019
hello j'ai un pb avec vault nos runners gitlab sur k8s essaient de récupérer des secrets avec AppRole mais ça foire tout le temps avec permission denied. j'ai bien configuré le AppRole le role_id et le secret_id sont générés et le runner les utilise mais ça passe pas. les politiques vault sont censées donner accès