Vault pas de secrets dispo pour pods K8s

Question

yo la team j'ai un souci avec vault. on a mis à jour nos configs k8s pour récupérer les secrets via le sidecar agent mais mes pods reçoivent des 403 forbidden. les service accounts sont bien annotés pourtant et vault est joignable. une idée de ce qui cloche ?

# annotations sur le service account
annotations:
  "vault.hashicorp.com/agent-inject": "true"
  "vault.hashicorp.com/role": "mon-app-role"

corinne37 · Answer

salut check tes policies vault côté vault est-ce que le rôle mon-app-role a bien les droits de lecture sur le path où sont tes secrets ? souvent c'est une policy trop restrictive qui empêche l'accès

lelievre-dorothee · Answer

ouais et assure-toi que ton auth method kubernetes est bien configurée pour mapper le service account à ce rôle vault. le token review service account doit être valide et les bound_service_accounts doivent correspondre à ce que tu déploies

marthe-teixeira · Answer

regarde aussi les logs du sidecar agent vault il donne souvent des infos précieuses sur les erreurs d'auth ou de récupération des secrets il peut te dire quel policy deny l'accès

alexandrie-traore · Answer

ah top les gars c'était bien une policy qui avait sauté avec une mise à jour mineure j'ai rajouté la règle de lecture pour le path des secrets et c'est reparti nickel. thx pour les pistes c'était bien ça

Vault pas de secrets dispo pour pods K8s

4 commentaires

Laisser une réponse

Les packages dans le langage de programmation Go

Les rôles sur Ansible

Comprendre et utiliser Packetbeat dans la stack ELK

Policy-as-Code : La Révolution de la Gouvernance Holistique en DevOps

Le DevOps Déclaratif Unifié : Maîtrise Totale du Système par le Code

Rejoindre la communauté