Vault pas de lease renewals pour mes secrets dynamique rds

Question

yo la team j'ai un souci avec vault j'ai mis en place un backend pour les creds rds dynamiques mais j'ai l'impression que les leases se renouvellent pas. au bout d'une heure paf l'appli crashe parce que le token est expiré. je loupe un truc sur la config ou c'est un bug connu ?
path "database/creds/my-role" {
  lease = "1h"
  max_lease = "24h"
}

unicolas · Answer

salut regarde les logs de vault côté serveur si tu vois des erreurs de renouvellement. genre des permissions manquantes ou un truc du genre. et vérifie que ton client qui utilise le secret a bien les droits pour faire un sys/leases/renew

fouquet-paul · Answer

ouais et des fois c'est la config du plugin rds lui-même. il faut que le rôle database soit configuré pour gérer le renouvellement et la révocation. un vault write database/roles/my-role policy="..." timeout="..."

orenard · Answer

ok j'ai check les logs vault rien de super explicite juste que le lease est expiré. par contre j'ai vérifié la policy de l'appli et il manquait le sys/leases/renew comme tu disais. je l'ai ajouté et ça semble tenir la route pour l'instant je vais surveiller

unicolas · Answer

nickel bien vu ! c'est souvent ça une policy trop restrictive. content que ça roule

Vault pas de lease renewals pour mes secrets dynamique rds

4 commentaires

Laisser une réponse

Les boucles dans le langage de programmation Go

Déployer, manipuler et sécuriser un serveur Registry Docker privé

Les méthodes pour ajouter des fichiers à votre projet GitLab

Introduction à l'optimisation de vos pipelines GitLab CI

Mettre en place une architecture DRY sur GitLab CI

Rejoindre la communauté