4 commentaires
hello alors y'a plusieurs trucs à checker. d'abord est-ce que ton engine database est bien monté à database/ ? et est-ce que le rôle my-rds-role existe bien sous database/roles/my-rds-role ? souvent c'est un mismatch dans le path entre la policy et le rôle réel ou l'engine mount point.
oui l'engine est monté à database/ et le rôle existe bien à database/roles/my-rds-role. je l'ai créé hier et j'ai testé avec le root token ça marche bien ça génère les creds. c'est vraiment que pour l'app role avec cette policy
hmm ok regarde dans les logs d'audit de vault si tu as un detailed message pour le permission denied. ça peut donner des indices. et t'as bien attaché la policy à l'app role ou au token généré par l'app role ? c'est pas la même chose.
ah putain c'était ça ! j'avais bien attaché la policy à l'app role mais j'avais oublié que le secret backend avait besoin d'une permission sur les chemins "database/config" et "database/connect" pour l'initialisation. c'était pas dans ma policy simple pour le "read". j'ai ajouté ça et c passé. thx pour les pistes les gars
Laisser une réponse
Vous devez être connecté pour poster un message !
Salut à tous je galère à faire marcher une policy vault pour un app role. j'ai un app role qui est censé récupérer des creds rds dynamiques mais quand je fais un vault read il me dit permission denied. la policy est super simple pourtant je pige pas ce qui manque.
et le app role est lié à cette policy.