automatisation unseal vault avec kms pas clair sur les rôles iam

Posté par marthe-teixeira le 31/01/2026
RÉSOLU
Retour Répondre Créer

Avatar de marthe-teixeira

marthe-teixeira

Membre depuis le 01/12/2024

salut la team. j'essaie de setup l'auto unseal de vault avec aws kms mais je galère un peu avec les permissions iam. vault est déployé sur des ec2 et j'ai besoin qu'il puisse unseal tout seul. j'ai mis une policy sur le rôle ec2 mais ça coince. quelle est la policy minimale pour que vault puisse utiliser kms pour l'unseal ?

# extrait de policy que j'ai testé et qui marche pas
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:eu-west-1:123456789012:key/your-kms-key-id"
        }
    ]
}

Commentaires

Avatar de arthur-bernard

arthur-bernard

Membre depuis le 24/06/2024

yo. il te manque kms:DescribeKey pour que vault puisse introspecter la clé kms. c'est souvent un oubli. et assure-toi aussi que le key policy de ta clé kms elle-même autorise bien ton rôle ec2 à faire ces actions.

Avatar de bernier-anne

bernier-anne

Membre depuis le 21/07/2024

exact DescribeKey est critique. j'ajouterais aussi que tu dois t'assurer que ton instance vault a bien accès à l'endpoint KMS. si t'es en private subnet faut un vpc endpoint pour kms ou un nat gateway si tu passes par internet. des fois on oublie ce détail réseau.

Avatar de marthe-teixeira

marthe-teixeira

Membre depuis le 01/12/2024

ah ok describe key je l'avais pas mis. et pour l'endpoint oui on a un vpc endpoint pour kms donc ça c'est bon. je vais tester avec describe key et re-check la key policy. merci !

Avatar de arthur-bernard

arthur-bernard

Membre depuis le 24/06/2024

bien. aussi un truc con mais le nom de la clé kms que tu as dans la conf de vault, est-ce que c'est bien l'arn complet ou juste l'id ? ça peut prêter à confusion. vérifie ta conf vault dans le storage stanza.

Avatar de alain-laporte

alain-laporte

Membre depuis le 25/10/2024

si jamais ça coince toujours après DescribeKey et la key policy, regarde les logs cloudtrail pour voir quelle permission exacte est refusée. c super verbeux mais ça te donne le détail de la cause de l'échec de l'appel kms. souvent y'a un petit détail qu'on voit pas au premier coup d'œil.

Avatar de marthe-teixeira

marthe-teixeira

Membre depuis le 01/12/2024

c'était bien DescribeKey et la key policy de la clé kms qui était trop restrictive côté aws. j'ai dû rajouter mon rôle ec2 avec toutes les actions nécessaires. maintenant vault démarre sans souci avec l'auto unseal. thx les gars pour l'aide et les différentes pistes !

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire