Vault pas de secrets dispo pour pods K8s

Posté par alexandrie-traore le 03/11/2025
RÉSOLU
Retour Répondre Créer

Avatar de alexandrie-traore

alexandrie-traore

Membre depuis le 02/06/2019

yo la team j'ai un souci avec vault. on a mis à jour nos configs k8s pour récupérer les secrets via le sidecar agent mais mes pods reçoivent des 403 forbidden. les service accounts sont bien annotés pourtant et vault est joignable. une idée de ce qui cloche ?


# annotations sur le service account
annotations:
  "vault.hashicorp.com/agent-inject": "true"
  "vault.hashicorp.com/role": "mon-app-role"

Commentaires

Avatar de corinne37

corinne37

Membre depuis le 09/06/2020

salut check tes policies vault côté vault est-ce que le rôle mon-app-role a bien les droits de lecture sur le path où sont tes secrets ? souvent c'est une policy trop restrictive qui empêche l'accès

Avatar de lelievre-dorothee

lelievre-dorothee

Membre depuis le 21/07/2024

ouais et assure-toi que ton auth method kubernetes est bien configurée pour mapper le service account à ce rôle vault. le token review service account doit être valide et les bound_service_accounts doivent correspondre à ce que tu déploies

Avatar de marthe-teixeira

marthe-teixeira

Membre depuis le 01/12/2024

regarde aussi les logs du sidecar agent vault il donne souvent des infos précieuses sur les erreurs d'auth ou de récupération des secrets il peut te dire quel policy deny l'accès

Avatar de alexandrie-traore

alexandrie-traore

Membre depuis le 02/06/2019

ah top les gars c'était bien une policy qui avait sauté avec une mise à jour mineure j'ai rajouté la règle de lecture pour le path des secrets et c'est reparti nickel. thx pour les pistes c'était bien ça

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire