Vault pas de secrets fetchés depuis KMS, permission denied
Commentaires
hello t'as bien attaché la bonne policy IAM à ton rôle vault ? la AccessDeniedException c'est classique pour un souci de permissions. faut que le rôle qui run vault ait les droits kms:Decrypt sur la clé spécifique.
ouaip j'ai vérifié le rôle vault-role il a une policy qui autorise kms:Decrypt sur * et kms:Encrypt sur *
attention le * c'est traitre. t'as une key policy sur ta clé KMS aussi non ? des fois la key policy override ou limite les accès même si ton IAM role semble ok.
ah la key policy j'y ai pas pensé. je vais regarder ça de plus près. thx pour le hint
et t'es sur que le Vault server tourne avec le bon rôle IAM ? si t'as plusieurs rôles sur tes instances EC2 ça peut créer des confusions. un ptit curl sur l'endpoint metadata pour checker le rôle actuel
curl http://169.254.169.254/latest/meta-data/iam/security-credentials/
ok je confirme le rôle est bon. par contre la key policy ! elle limitait l'accès à decrypt pour un autre rôle iam. j'ai ajouté mon vault-role dedans et miracle ça unseal tout seul. putain quelle prise de tête les policies imbriquées.
nickel content que ça marche. les key policies c'est un piège classique mais ça permet d'avoir un contrôle super granulaire.
clairement. merci à tous pour l'aide précieuse !
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
danielle-petit
Membre depuis le 26/04/2024actif
salut la team on setup vault avec l'auto-unseal via kms sur aws. la config semble correcte mais au démarrage de vault j'ai une erreur de permission. genre il arrive pas à interagir avec kms pour décrypter la clé de master. je sèche.
Et dans les logs vault: