Vault policies trop permissives pour mes secrets kubernetes

Posté par lefort-michel le 09/06/2025

RÉSOLU

Membre depuis le 02/01/2025

salut la team j'ai un souci avec vault j'ai configuré l'auth method kubernetes et j'arrive à injecter des secrets mais les tokens générés par vault ont des droits de ouf genre ils peuvent lire tout le path secrets/data/ mon but c'est de limiter ça à un path spécifique par service mais ma policy marche pas


# ma policy actuelle qui donne trop de droits
path "secrets/data/{{identity.entity.aliases.auth_kubernetes_mycluster_fd04b50c.name}}/*" {
  capabilities = ["read"]
}
# je voudrais un truc genre path "secrets/data/myapp/*" { capabilities = ["read"] }

09/06/25 à 06:30

Commentaires

imbert-anne

Membre depuis le 04/06/2024

yo le souci c'est que la policy utilise le nom de l'entité k8s générique pour match faut que tu crées un rôle k8s pour chaque service et que tu attaches la bonne policy à ce rôle là pas directement à l'entité

10/06/25 à 05:55

alphonse-goncalves

Membre depuis le 09/10/2024

grave le role k8s tu le lies à un service account dans ton namespace k8s et c'est ce role qui a sa propre policy vault. genre pour mon service-a tu crées un role k8s role-service-a puis tu lui attaches une policy service-a-policy qui n'a accès qu'à secrets/data/service-a/*

11/06/25 à 01:51

paul-thibault

Membre depuis le 11/12/2024

oui et n'oublie pas de vérifier le type de secret engine si c'est kv-v1 ou kv-v2 ça change un peu les paths. pour kv-v2 c'est secrets/data/path/to/secret sinon c'est secrets/path/to/secret juste histoire de pas galérer avec des 403 incompréhensibles

12/06/25 à 01:28

lefort-michel

Membre depuis le 02/01/2025

ok d'acc je vais refaire mes rôles k8s avec des policies spécifiques. j'utilise kv-v2 donc c'est bien secrets/data. j'avais mal compris le lien entre les entités et les rôles. thx pour l'aide les gars

12/06/25 à 23:16

Retour