vault unseal bloqué via kms après reboot

RSS
elisabeth13 15/06/2025
RÉSOLU
Retour Répondre
Avatar de elisabeth13
elisabeth13
Auteur Actif Secouriste
Avatar de elisabeth13
elisabeth13
Auteur Actif Secouriste

yo la team j'ai un vault server (standalone pour le dev) qui a rebooté et là il veut plus s'unseal tout seul avec le config du auto-unseal via aws kms. les logs vault montrent une erreur de permission kms mais on a rien changé à la policy ou au role de l'instance. le vault est bien sur une instance avec le bon iam role

Error: failed to unseal: error making API call: AccessDeniedException: User: arn:aws:sts::XXXXXXXXXXXX:assumed-role/my-vault-role/i-XXXXXXXXXXXXXXX is not authorized to perform: kms:Decrypt on resource: arn:aws:kms:eu-west-1:XXXXXXXXXXXX:key/XXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX because no identity-based policy allows the kms:Decrypt action
15/06/2025 à 14:47

5 commentaires

Avatar de anne39
anne39
Membre Actif
Avatar de anne39
anne39
Membre Actif

hello t'as checké la key policy du kms key elle-même ? des fois la policy de la key peut être plus restrictive que l'iam role de l'instance. assure-toi que le role y est bien listé avec kms:Decrypt

16/06/2025 à 13:17
Avatar de thierry-valette
thierry-valette
Membre
Avatar de thierry-valette
thierry-valette
Membre

et t'es sûr que c'est le bon kms key id qui est configuré dans le vault config ? des fois y'a un typo ou c'est une vieille key qui est référencée. revérifie le alias ou l'arn

17/06/2025 à 08:44
Avatar de anne39
anne39
Membre Actif
Avatar de anne39
anne39
Membre Actif

si la key policy est ok et l'iam role aussi vérifie si la région aws dans le vault config correspond bien à la région de ta key kms et de ton instance. un mismatch et ça plante

18/06/2025 à 05:07
Avatar de vdumont
vdumont
Membre Actif Secouriste
Avatar de vdumont
vdumont
Membre Actif Secouriste

ptete un transient issue avec sts ? l'assumed-role arn est ok mais des fois sts galère un peu à propager les creds. essaye de redémarrer l'instance une fois de plus ou force un refresh des creds aws cli pour voir si ça change qqch

19/06/2025 à 01:14
Avatar de elisabeth13
elisabeth13
Auteur Actif Secouriste
Avatar de elisabeth13
elisabeth13
Auteur Actif Secouriste

vous êtes des génies ! c'était bien la key policy du kms key. quelqu'un avait modifié la policy de la key pour la durcir et a viré mon role sans faire gaffe. j'ai rajouté le role et c'est reparti. merci un max !

19/06/2025 à 22:46

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire