vault unseal bloqué via kms après reboot
Commentaires
hello t'as checké la key policy du kms key elle-même ? des fois la policy de la key peut être plus restrictive que l'iam role de l'instance. assure-toi que le role y est bien listé avec kms:Decrypt
et t'es sûr que c'est le bon kms key id qui est configuré dans le vault config ? des fois y'a un typo ou c'est une vieille key qui est référencée. revérifie le alias ou l'arn
si la key policy est ok et l'iam role aussi vérifie si la région aws dans le vault config correspond bien à la région de ta key kms et de ton instance. un mismatch et ça plante
ptete un transient issue avec sts ? l'assumed-role arn est ok mais des fois sts galère un peu à propager les creds. essaye de redémarrer l'instance une fois de plus ou force un refresh des creds aws cli pour voir si ça change qqch
vous êtes des génies ! c'était bien la key policy du kms key. quelqu'un avait modifié la policy de la key pour la durcir et a viré mon role sans faire gaffe. j'ai rajouté le role et c'est reparti. merci un max !
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
elisabeth13
Membre depuis le 01/01/2020actif secouriste
yo la team j'ai un vault server (standalone pour le dev) qui a rebooté et là il veut plus s'unseal tout seul avec le config du auto-unseal via aws kms. les logs vault montrent une erreur de permission kms mais on a rien changé à la policy ou au role de l'instance. le vault est bien sur une instance avec le bon iam role