Sujet :
Vault pas d'accès aux secrets via AppRole depuis les runners GitLab
RÉSOLU
Liste des sujets Répondre Créer un sujet
Membre depuis le 07/05/2024
hello j'ai un pb avec vault nos runners gitlab sur k8s essaient de récupérer des secrets avec AppRole mais ça foire tout le temps avec permission denied. j'ai bien configuré le AppRole le role_id et le secret_id sont générés et le runner les utilise mais ça passe pas. les politiques vault sont censées donner accès
Répondre
vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
guy07
Membre depuis le 06/10/2024
vérifie bien la policy attachée à ton AppRole. souvent on fait une policy trop générique ou on oublie des chemins. les logs d'audit de vault sont tes amis tu devrais voir exactement quelle permission manque
josephine86
Membre depuis le 07/05/2024
ouais j'ai regardé les logs vault. y'a un permission denied on "auth/approle/login" sur le rôle. pourtant le rôle existe et le secret_id est bon
hugues98
Membre depuis le 21/07/2024
attends "permission denied on auth/approle/login" ça c'est pas une policy de secret ça. ça veut dire que le client (ton runner) n'a pas le droit de faire le login lui-même avec son role_id et secret_id. la policy attachée au role_id doit avoir un chemin genre
lebrun-brigitte
Membre depuis le 21/07/2024
précisément. et vérifie aussi que ton rôle approle a bien le
configuré si tu l'utilises des fois ça bloque des ips non autorisées ou des si ton token généré a aussi une restriction ipjosephine86
Membre depuis le 07/05/2024
vous aviez raison ! la policy de mon AppRole n'avait pas les capabilities de create/read/update sur "auth/approle/login". j'avais mis que les permissions pour les secrets. après ajout c'est passé nickel. merci pour l'aide précieuse