vault pas moyen d'accéder à un secret depuis un k8s pod

RSS
louis-alves 09/10/2024
RÉSOLU
Retour Répondre
Avatar de louis-alves
louis-alves
Auteur Actif Secouriste
Avatar de louis-alves
louis-alves
Auteur Actif Secouriste

hello la team je galère avec vault et k8s. j'ai un pod qui doit lire un secret via l'auth method kubernetes mais j'ai une erreur permission denied. le rôle vault est configuré j'ai mis la policy qui va bien le serviceaccount est attaché au rôle. le token est bien généré mais quand j'essaie de lire le secret boom refusé


{
  "errors": [
    "permission denied"
  ]
}
09/10/2024 à 21:11

3 commentaires

Avatar de william-marechal
william-marechal
Membre
Avatar de william-marechal
william-marechal
Membre

t'es sûr de ta policy vault et du chemin du secret ? un petit typo sur le path genre /secret/data/my-app au lieu de /secret/my-app/data peut te rendre fou. check aussi que ton serviceaccount name et namespace dans le rôle vault matchtent exactement ce qu'il y a dans k8s

10/10/2024 à 15:52
Avatar de bpayet
bpayet
Membre Actif
Avatar de bpayet
bpayet
Membre Actif

des fois c'est plus subtil. t'as vérifié l'audit log de vault ? ça te donnera l'info exacte sur quelle policy a été refusée et pourquoi. si le rôle est ok la policy est ptete trop restrictive ou mal attachée au rôle

11/10/2024 à 10:02
Avatar de louis-alves
louis-alves
Auteur Actif Secouriste
Avatar de louis-alves
louis-alves
Auteur Actif Secouriste

argh les gars merci de me rappeler l'audit log. en fait c'était une faute de frappe dans le nom du serviceaccount dans la config du rôle vault. c'est corrigé et ça passe nickel maintenant. thx pour le coup de main

12/10/2024 à 05:14

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire