Vault Transit Engine decryption fail malgre des clés ok
Commentaires
yo t'as verifié que la clé elle a pas été rotated entre temps ? ou si y'a un minimum_decryption_version sur ta policy qui bloquerait une ancienne version de clé
nan la clé a pas bougé j'ai créé une clé toute neuve pour tester et meme resultat. pas de minimum_decryption_version non plus
est-ce que ton token qui fait le decrypt il a bien les droits sur le path transit/decrypt/my-key et sur transit/keys/my-key ? des fois on oublie les droits sur les clés elles-mêmes
ah merde j'avais mis uniquement sur transit/decrypt/*. j'ai ajouté les droits sur transit/keys/my-key au token et c'est le même problème. "permission denied" encore
y'a pas un autre transit engine monté sur un autre path qui aurait le meme nom de clé ? ça arrive des fois une conf qui se chevauche
non non j'ai qu'un seul transit engine monté sur transit/
check le audit log de vault tu verras exactement quel policy est refusée ou quelle capability manque. c'est la source de vérité ultime pour ces problemes de permissions
ok je regarde les logs. putain oui ! c'est la capability update sur transit/keys/my-key qui manque. mon token n'avait que read. je l'ai ajouté et BAM ça déchiffre ! merci les gars j'étais en train de devenir fou
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
guillaume-maillet
Membre depuis le 26/12/2019actif
Salut la team j'ai un souci avec Vault notre transit engine. On chiffre des données avec une clé mais quand on essaie de déchiffrer avec la même clé ça nous sort une erreur. j'ai bien vérifié les policies les capabilités sont là. on utilise le CLI pour tester
le encrypt marche niquel mais le decrypt il sort un "permission denied" ou "key not found" j'y comprends rien