vault pas de secrets fetchés en kubernetes

Question

salut la team on a un souci avec notre intégration vault/k8s les pods arrivent pas à récupérer les secrets via l'agent sidecar. l'init container se lance bien mais après ça bloque. on voit des erreurs genre 403 permission denied dans les logs de l'agent. le role binding semble ok côté vault
# policy vault simplifiée
path "secret/data/my-app/*" {
  capabilities = ["read"]
}

# service account role binding
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: my-app-vault-reader
subjects:
- kind: ServiceAccount
  name: my-app-sa
  namespace: default
roleRef:
  kind: ClusterRole
  name: system:auth-delegator
  apiGroup: rbac.authorization.k8s.io

duval-david · Answer

yo t'as vérifié que le service account est bien annoté avec le bon role vault ? et que le token k8s est bien monté dans le sidecar ? des fois l'annotation est mal écrite ou pointe vers le mauvais rôle

unicolas · Answer

oui l'annotation est là vault.hashicorp.com/role: my-app-role. le token k8s est mounté via un volume Projected. ça a marché avant sur un autre cluster

lucy-duval · Answer

le 403 ça sent le souci de policy vault ou de k8s auth method config. t'as regardé les logs de l'auth method dans vault même ? souvent ça te dit quel est le pb exact avec le jwt ou le rôle mappé

unicolas · Answer

ah pas bête j'ai pas pensé aux logs de l'auth method. je vais regarder ça tout de suite

unicolas · Answer

ok c'était ça ! en fait la policy était bonne mais l'auth method k8s n'avait pas le bon token reviewer jwt qui était pas à jour après une rotation des clés k8s. merci les gars ça marche maintenant

vault pas de secrets fetchés en kubernetes

5 commentaires

Laisser une réponse

Introduction du cours pour apprendre le langage programmation GO

Exécutez vos premières commandes Ansible

Construire une infrastructure AWS hautement disponible

Maximiser la productivité du DevOps grâce à ChatGpt

Pourquoi et comment créer des branches sur GitLab

Rejoindre la communauté