Problème d'accès à Vault avec une nouvelle politique

RSS
llambert 23/02/2026
RÉSOLU
Retour Répondre
Avatar de llambert
llambert
Auteur Actif
Avatar de llambert
llambert
Auteur Actif

yo la team j'ai un souci avec vault j'ai créé une nouvelle politique pour un service mais il arrive pas à lire les secrets même si la policy est attachée. je reçois un permission denied. ma policy ressemble à ça


path "secret/data/mon-service/*" {
  capabilities = ["read"]
}
path "secret/metadata/mon-service/*" {
  capabilities = ["read"]
}

le service est authentifié via kubernetes auth. j'ai rattaché la policy au rôle k8s. une idée ?

23/02/2026 à 05:11

3 commentaires

Avatar de guillaume-marty
guillaume-marty
Membre Actif
Avatar de guillaume-marty
guillaume-marty
Membre Actif

salut t'es sûr que le chemin est bon ? vault c'est super strict avec les paths. si ton secret est stocké sous secret/data/mon-service/dev/creds et que ta policy a juste secret/data/mon-service/* ça peut foirer si y a une sous-hiérarchie que t'as pas prévue

24/02/2026 à 01:40
Avatar de gomes-michele
gomes-michele
Membre Actif
Avatar de gomes-michele
gomes-michele
Membre Actif

ouais et vérifie aussi que ton rôle k8s utilise bien le bon service account et le bon namespace. souvent c'est un mismatch entre le token et le rôle vault qui fout la merde. t'as les logs d'audit vault ? ça peut donner un bon indice sur le pourquoi du denied

24/02/2026 à 20:14
Avatar de llambert
llambert
Auteur Actif
Avatar de llambert
llambert
Auteur Actif

ah merde c'était ça ! le path était bon mais j'avais oublié une partie du chemin dans le token d'accès généré par le service. il fallait un token spécifique avec le full path secret/data/mon-service/dev/app-name. j'ai corrigé le code du service pour qu'il prenne le bon et ça marche. thx les gars

25/02/2026 à 18:06

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire