Vault pas moyen de renouveler les leases aws trop vite

RSS
alexandria36 29/06/2025
RÉSOLU
Retour Répondre
Avatar de alexandria36
alexandria36
Auteur
Avatar de alexandria36
alexandria36
Auteur

yo la team j'ai un souci avec vault. on utilise le secrets engine aws pour générer des creds dynamiques pour nos apps. le problème c'est que le renouvellement des leases prend des plombes ou même échoue carrément avant la fin de vie du lease ce qui pète nos services. lease duration configurée à 1h mais des fois ça pète au bout de 30min déjà. les logs vault sont pas super clairs j'ai des timeout.


vault read aws/creds/my-role
# Expected: valid credentials for 1h
# Actual: fails to renew mid-lease
29/06/2025 à 23:47

5 commentaires

Avatar de jmace
jmace
Membre Actif
Avatar de jmace
jmace
Membre Actif

hello. t'as vérifié la config de ton rôle aws dans vault. y a un paramètre max_ttl qui peut overrider le ttl de ton lease. si ton max_ttl est plus court que ton lease initial ça peut causer des soucis à la tentative de renouvellement

30/06/2025 à 18:03
Avatar de bernadette-launay
bernadette-launay
Membre Actif Rédacteur
Avatar de bernadette-launay
bernadette-launay
Membre Actif Rédacteur

aussi check le clock skew entre ton serveur vault et les serveurs aws. une différence d'horloge de quelques minutes peut faire planter l'authentification et les renouvellements

01/07/2025 à 15:50
Avatar de mlefevre
mlefevre
Membre
Avatar de mlefevre
mlefevre
Membre

regarde bien les logs de vault au niveau debug si tu peux augmenter le log_level. ptete tu vas voir des erreurs plus précises liées à l'api aws ou à la connexion sous-jacente. un proxy ou un firewall qui coupe les connexions après un certain temps

02/07/2025 à 11:01
Avatar de jmace
jmace
Membre Actif
Avatar de jmace
jmace
Membre Actif

et t'as pas des soucis de rate limiting sur l'api aws de ton côté. si vault fait trop d'appels à aws en peu de temps aws peut te jeter et ça bloque les renewals

03/07/2025 à 09:16
Avatar de alexandria36
alexandria36
Auteur
Avatar de alexandria36
alexandria36
Auteur

putain mais oui ! c'était une combinaison de deux trucs. le max_ttl sur le rôle était plus court que le ttl que j'avais en tête et en plus y avait un léger clock skew. j'ai corrigé les deux et les renouvellements passent nickel maintenant. thx la team !

04/07/2025 à 08:39

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire