Vault pas de secrets fetchés depuis KMS, permission denied

RSS
danielle-petit 07/11/2024
RÉSOLU
Retour Répondre
Avatar de danielle-petit
danielle-petit
Auteur Actif
Avatar de danielle-petit
danielle-petit
Auteur Actif

salut la team on setup vault avec l'auto-unseal via kms sur aws. la config semble correcte mais au démarrage de vault j'ai une erreur de permission. genre il arrive pas à interagir avec kms pour décrypter la clé de master. je sèche.


  seal "awskms" {
    region     = "eu-west-3"
    kms_key_id = "arn:aws:kms:eu-west-3:123456789012:key/abcdefgh-ijkl-mnop-qrst-uvwxyz123456"
  }

Et dans les logs vault:


  Error initializing seal: error unsealing: error decrypting KMS ciphertext: AccessDeniedException: User: arn:aws:sts::123456789012:assumed-role/vault-role/i-0abcdef1234567890 is not authorized to perform: kms:Decrypt on resource: arn:aws:kms:eu-west-3:123456789012:key/abcdefgh-ijkl-mnop-qrst-uvwxyz123456
07/11/2024 à 07:34

8 commentaires

Avatar de collin-theophile
collin-theophile
Membre Secouriste
Avatar de collin-theophile
collin-theophile
Membre Secouriste

hello t'as bien attaché la bonne policy IAM à ton rôle vault ? la AccessDeniedException c'est classique pour un souci de permissions. faut que le rôle qui run vault ait les droits kms:Decrypt sur la clé spécifique.

08/11/2024 à 04:06
Avatar de danielle-petit
danielle-petit
Auteur Actif
Avatar de danielle-petit
danielle-petit
Auteur Actif

ouaip j'ai vérifié le rôle vault-role il a une policy qui autorise kms:Decrypt sur et kms:Encrypt sur

Modifié le 23/05/2026 à 16:20
Avatar de elise32
elise32
Membre Actif
Avatar de elise32
elise32
Membre Actif

attention le * c'est traitre. t'as une key policy sur ta clé KMS aussi non ? des fois la key policy override ou limite les accès même si ton IAM role semble ok.

09/11/2024 à 19:55
Avatar de danielle-petit
danielle-petit
Auteur Actif
Avatar de danielle-petit
danielle-petit
Auteur Actif

ah la key policy j'y ai pas pensé. je vais regarder ça de plus près. thx pour le hint

10/11/2024 à 15:25
Avatar de gmichel
gmichel
Membre Actif
Avatar de gmichel
gmichel
Membre Actif

et t'es sur que le Vault server tourne avec le bon rôle IAM ? si t'as plusieurs rôles sur tes instances EC2 ça peut créer des confusions. un ptit curl sur l'endpoint metadata pour checker le rôle actuel


  curl http://169.254.169.254/latest/meta-data/iam/security-credentials/
11/11/2024 à 10:43
Avatar de danielle-petit
danielle-petit
Auteur Actif
Avatar de danielle-petit
danielle-petit
Auteur Actif

ok je confirme le rôle est bon. par contre la key policy ! elle limitait l'accès à decrypt pour un autre rôle iam. j'ai ajouté mon vault-role dedans et miracle ça unseal tout seul. putain quelle prise de tête les policies imbriquées.

12/11/2024 à 05:14
Avatar de collin-theophile
collin-theophile
Membre Secouriste
Avatar de collin-theophile
collin-theophile
Membre Secouriste

nickel content que ça marche. les key policies c'est un piège classique mais ça permet d'avoir un contrôle super granulaire.

13/11/2024 à 02:56
Avatar de danielle-petit
danielle-petit
Auteur Actif
Avatar de danielle-petit
danielle-petit
Auteur Actif

clairement. merci à tous pour l'aide précieuse !

14/11/2024 à 01:41

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire