Vault : Problème de rotation de secrets RDS sur AWS

Posté par veronique-costa le 18/04/2025
RÉSOLU
Retour Répondre Créer

Avatar de veronique-costa

veronique-costa

Membre depuis le 25/04/2020

yo la team ! vault refuse de faire la rotation de nos creds rds même si j'ai vérifié le rôle associé au moteur secret il a l'air bon. je lance le vault lease renew et ça faille direct avec une erreur "permission denied". des idées avant que je me tire les cheveux


$ vault read aws/creds/my-rds-role
...
Error: Error making API request.

URL: PUT https://vault.example.com/v1/aws/rotate-root
Code: 403. Errors:

* permission denied

Commentaires

Avatar de william-marechal

william-marechal

Membre depuis le 19/04/2020

hello t'as checké les logs vault pour voir le détail de l'erreur ? souvent c'est plus explicite là. et côté aws assure-toi que l'utilisateur iam que vault utilise pour gérer rds a bien les droits pour modifier les mots de passe et décrire les instances

Avatar de auguste30

auguste30

Membre depuis le 22/05/2019

oui comme dit user_key: 2 c'est presque toujours un souci de permissions iam. vault a besoin de rds:DescribeDBInstances et rds:modifydbinstance pour la rotation des creds. aussi rds:ListTagsForResource peut être utile. sans ModifyDBInstance il peut pas changer le mdp forcément

Avatar de veronique-costa

veronique-costa

Membre depuis le 25/04/2020

ah ouais j'avais pas mis rds:ModifyDBInstance dans la policy liée au rôle IAM utilisé par Vault. c'était ça le souci. je viens de l'ajouter et la rotation a marché. merci les gars j'étais aveugle

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire