7 commentaires
yo t'as checké les logs Vault avec un niveau de debug plus élevé vault server -log-level=debug des fois ça donne des infos plus précises sur l'appel AWS qui foire. et vérifie si ta politique IAM sur le rôle Vault n'a pas un Deny implicite ou explicite quelque part qui override ton Allow général
ouais ce que dit user_key:3 c'est important. la policy KMS sur la clé doit permettre à l'ARN de l'instance Vault (ou du rôle qu'il assume) de faire kms:ListAliases kms:CreateKey kms:ScheduleKeyDeletion et kms:TagResource au minimum. sans ça Vault peut pas gérer le cycle de vie
aussi si t'as plusieurs régions aws dans ta config de backend aws pour vault vérifie que t'essaies de rotate une clé dans une région où vault a bien accès. et que ton endpoint kms est bon si t'utilises un vpc endpoint
t'as bien activé le root_rotation_enabled sur ton backend aws pour KMS ? par défaut il est à false je crois. vault read aws/config/root pour voir la config
Ok les gars c'était une combinaison de deux trucs. D'une part la politique de clé KMS n'avait pas le kms:ScheduleKeyDeletion pour le rôle de Vault. Et en plus j'avais mal configuré le paramètre allowed_managed_key_id dans mon rôle Vault pour KMS, il était trop restrictif. J'ai corrigé les deux et paf la rotation passe. Thx pour le coup de main !
Laisser une réponse
Vous devez être connecté pour poster un message !
Salut la team j'ai un souci avec Vault et le plugin AWS KMS pour la rotation des clés. J'ai configuré un secret backend type aws et un rôle pour KMS mais quand je tente la rotation via
vault write aws/rotate-root-key, ça me sort des erreurs d'accès ou de permissions. J'ai pourtant mis toutes les permissionskms:*sur le rôle IAM attaché à mon serveur Vault. Je pige pas