Sujet :

vault policy pour app role qui arrive pas à générer de creds rds

RÉSOLU

Liste des sujets Répondre Créer un sujet

Membre depuis le 08/07/2024

Salut à tous je galère à faire marcher une policy vault pour un app role. j'ai un app role qui est censé récupérer des creds rds dynamiques mais quand je fais un vault read il me dit permission denied. la policy est super simple pourtant je pige pas ce qui manque.


# vault policy write my-app-policy - <


et le app role est lié à cette policy.



                        
            
                
                                    21/07/24 à 02:11



        


            
                                                                                
        
                
    
        
            
                
                    
                                                        
    

                    
                
            

            
                
                    
                        rmaillard
                    
                
                Membre depuis le 02/07/2024
                            
        

        
            
                hello alors y'a plusieurs trucs à checker. d'abord est-ce que ton engine database est bien monté à database/ ? et est-ce que le rôle my-rds-role existe bien sous database/roles/my-rds-role ? souvent c'est un mismatch dans le path entre la policy et le rôle réel ou l'engine mount point.

            

                        
            
                
                                    21/07/24 à 23:22
                            
        
    

        
                                                                                                        
        
                
    
        
            
                
                    
                                                        
    

                    
                
            

            
                
                    
                        fournier-philippe
                    
                
                Membre depuis le 08/07/2024
                            
        

        
            
                oui l'engine est monté à database/ et le rôle existe bien à database/roles/my-rds-role. je l'ai créé hier et j'ai testé avec le root token ça marche bien ça génère les creds. c'est vraiment que pour l'app role avec cette policy

            

                        
            
                
                                    22/07/24 à 19:40
                            
        
    

        
                                                                                                        
        
                
    
        
            
                
                    
                                                        
    

                    
                
            

            
                
                    
                        tristan-morin
                    
                
                Membre depuis le 02/07/2024
                            
        

        
            
                hmm ok regarde dans les logs d'audit de vault si tu as un detailed message pour le permission denied. ça peut donner des indices. et t'as bien attaché la policy à l'app role ou au token généré par l'app role ? c'est pas la même chose.

            

                        
            
                
                                    23/07/24 à 13:47
                            
        
    

        
                                                                                                        
        
                
    
        
            
                
                    
                                                        
    

                    
                
            

            
                
                    
                        fournier-philippe
                    
                
                Membre depuis le 08/07/2024
                            
        

        
            
                ah putain c'était ça ! j'avais bien attaché la policy à l'app role mais j'avais oublié que le secret backend avait besoin d'une permission sur les chemins "database/config" et "database/connect" pour l'initialisation. c'était pas dans ma policy simple pour le "read". j'ai ajouté ça et c passé. thx pour les pistes les gars

            

                        
            
                
                                    24/07/24 à 13:11



        
            Répondre

                            vous devez être 
                connecté pour poster un message !




		
  
    
      
        Mentions légales
        
      
      

        
          Cette page décrit les mentions légales qui s'appliquent à tout internaute visitant ce site. En le
          consultant vous vous engagez sans réserve à les respecter. Les mentions légales pouvant être
          modifiées à tout moment et sans préavis, je vous invite à les consulter régulièrement.
        

        

        
  Édition et Hébergement
  
    
      Éditeur : Ce site est édité par Hatim AJDAINI, agissant à titre personnel.
    
    
      Hébergement : Le site est hébergé par la société IONOS SE 
      (Adresse : Elgendorfer Str. 57, 56410 Montabaur, Allemagne | Tél : +33 9 70 80 89 11).
    
  


        
          Conditions d'utilisation
          

            
              devopssec
              n'est en aucun cas responsable du contenu généré par l'utilisateur. Le contenu posté
              exprime les opinions de leur auteur seulement.
              Les textes et messages publiés sont la propriété de ceux qui les postent.
              je fais de mon mieux pour modérer les propos inappropriés qui pourraient être postés ici,
              mais je me dégage de toute responsabilité sur ce que vous postez.
              Vous demeurez le seul responsable de vos actes et de vos messages au regard de la loi.
            

            
              Vous acceptez de ne pas utiliser le service pour poster ou lier vers un contenu qui est
              diffamatoire, injurieux, haineux, menaçant, spams ou pourriels, étant de nature à offenser,
              ayant un contenu réservé aux adultes ou répréhensible, contenant des renseignements
              personnels des autres, risquant de violer les droits d'auteurs, encourageant une activité
              illégale ou contraire à toutes les lois.
            

            
              Le respect est la principale qualité de notre communauté. En conséquence, veillez à l'être envers
              vos camarades ici présents, en particulier les nouveaux membres qui comme vous, cherchent
              à découvrir l'univers DEVOPS, et n'ont pas toutes vos connaissances.
              Tout manque de respect à l'encontre d'un membre, néophyte ou non, entraînera également des sanctions,
              à savoir avertissements, bannissements voire poursuites selon la gravité de la situation.
            

            
              devopssec
              décline toute responsabilité concernant les rencontres réelles.
            
          
        

        

        
          Informations nominatives et données personnelles
          
            devopssec utilise des cookies, qui sont de petits fichiers texte qui sont placés sur
              votre machine pour
              aider le site à fournir une meilleure expérience utilisateur.
              Dans mon cas, ce sont des données de suivi anonymisées qui sont envoyées à l'application tierce Google Analytics pour des fins d'analyses anonymisées de visites.
            

            
              En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies 
              pour réaliser des statistiques anonymisées de visites.
            

            Conformément au RGPD , vous
              disposez d'un droit d'accès, de modification, de rectification et de suppression des données
              personnelles qui vous concernent.
            
          
        

        
        
          Dispositions juridictionnelles
          
            Le site et son contenu sont régis par le Droit Français, et tout litige
              éventuel s'y rapportant sera soumis à la compétence des tribunaux français.
          
        

      
      
        
      
    
  



    
        
            
                
                    
                        Rejoindre la communauté
                        Recevoir les derniers articles gratuitement en créant un compte !
                        
                            S'inscrire
                        
                    
                
            
        
    


    
        
            
                Devopssec
                                
                    Partage de connaissances autour de l'écosystème DevOps, Cloud et Open Source.
                
                
                    
                    
                    
                
            

            
                Navigation
                
                    Tous les articles
                    
                    Liste des cours
                    
                    Contactez-moi
                    Faq
                
            

            
                Soutenir le projet
                Le contenu est gratuit et sans pub intrusive.
                
                     Faire un don
                
            
        

        

        
            
                © 2026 Devopssec | 
                Mentions légales
            
        
    


    
        
            
                
                
                    
                    devopssec est gratuit grâce à la publicité. Merci de nous soutenir en désactivant votre bloqueur.
                    
                

                
                    
                         Don