Vault sur K8S j'arrive pas à lire les secrets depuis un pod

Posté par sophie34 le 21/03/2025

RÉSOLU

Membre depuis le 26/01/2025

yo la team j'ai un souci avec vault on a setup vault sur k8s avec l'agent injector mais mes pods arrivent pas à lire les secrets j'ai un permission denied même après avoir bien attaché le service account au rôle vault ptete un truc que j'ai loupé dans la config rbac ou policy

# policy vault simplifiée
path "kv/data/myapp/*" {
  capabilities = ["read"]
}

21/03/25 à 08:30

Commentaires

mlucas

Membre depuis le 11/01/2025

hello t'as bien vérifié que le service account du pod est annoté correctement pour l'injection du vault agent et que la policy attachée au rôle vault est bien la bonne par rapport au chemin du secret

22/03/25 à 07:54

wklein

Membre depuis le 21/07/2024

et aussi regarde les logs du sidecar vault agent dans le pod des fois il y a des messages plus précis sur la raison du denied genre token expiré ou pas valide

23/03/25 à 03:26

sophie34

Membre depuis le 26/01/2025

ok je regarde les logs du sidecar et effectivement j'ai un client token not authorized. c'est bizarre pourtant le role est bien bindé au service account. je vais recheck la config auth method kubernetes sur vault

23/03/25 à 22:42

rjoseph

Membre depuis le 13/07/2024

un classique ça. souvent c le jwt_reviewer_kubernetes_host qui est mal configuré ou le ca_cert. ou alors le ttl de ton token est trop court. regarde les claims du token jwt que vault reçoit

24/03/25 à 22:11

sophie34

Membre depuis le 26/01/2025

bingo c'était bien le jwt_reviewer_kubernetes_host dans la config auth method. on l'avait mis en ip locale au lieu de l'url du cluster k8s quand vault est en dehors du cluster. du coup le token était pas validé. corrigé et ça roule nickel now thx la team

25/03/25 à 17:41

Retour