Problème de rotation de clés KMS via Vault avec le plugin AWS

Posté par gomes-michele le 11/01/2025
RÉSOLU
Retour Répondre Créer

Avatar de gomes-michele

gomes-michele

Membre depuis le 13/04/2019

Salut la team j'ai un souci avec Vault et le plugin AWS KMS pour la rotation des clés. J'ai configuré un secret backend type aws et un rôle pour KMS mais quand je tente la rotation via `vault write aws/rotate-root-key`, ça me sort des erreurs d'accès ou de permissions. J'ai pourtant mis toutes les permissions `kms:*` sur le rôle IAM attaché à mon serveur Vault. Je pige pas

vault write aws/rotate-root-key
# Erreur typique:
# Error writing aws/rotate-root-key: Error making API request.
# URL: POST https://vault.example.com/v1/aws/rotate-root-key
# Code: 400. Errors:
# * no kms keys found for rotation, please check your configuration

Commentaires

Avatar de delorme-tristan

delorme-tristan

Membre depuis le 20/05/2019

yo t'as checké les logs Vault avec un niveau de debug plus élevé `vault server -log-level=debug` des fois ça donne des infos plus précises sur l'appel AWS qui foire. et vérifie si ta politique IAM sur le rôle Vault n'a pas un `Deny` implicite ou explicite quelque part qui override ton `Allow` général

Avatar de hugues47

hugues47

Membre depuis le 25/03/2019

côté KMS t'as pas des policies de clé qui restreignent l'accès à certaines entités IAM spécifiquement ? même si ton rôle a les perms IAM, la policy de la clé KMS elle-même peut être plus restrictive et empêcher Vault d'agir

Avatar de delorme-tristan

delorme-tristan

Membre depuis le 20/05/2019

ouais ce que dit user_key:3 c'est important. la policy KMS sur la clé doit permettre à l'ARN de l'instance Vault (ou du rôle qu'il assume) de faire `kms:ListAliases` `kms:CreateKey` `kms:ScheduleKeyDeletion` et `kms:TagResource` au minimum. sans ça Vault peut pas gérer le cycle de vie

Avatar de bernard-muller

bernard-muller

Membre depuis le 11/10/2021

aussi si t'as plusieurs régions aws dans ta config de backend aws pour vault vérifie que t'essaies de rotate une clé dans une région où vault a bien accès. et que ton endpoint kms est bon si t'utilises un vpc endpoint

Avatar de delorme-tristan

delorme-tristan

Membre depuis le 20/05/2019

t'as bien activé le `root_rotation_enabled` sur ton backend aws pour KMS ? par défaut il est à false je crois. `vault read aws/config/root` pour voir la config

Avatar de hugues47

hugues47

Membre depuis le 25/03/2019

sinon tu peux tenter de créer une clé KMS manuellement avec les mêmes perms que celles que Vault utilise pour la rotation et voir si tu as le même souci. ça peut aider à isoler si le problème est côté Vault ou purement AWS IAM/KMS

Avatar de gomes-michele

gomes-michele

Membre depuis le 13/04/2019

Ok les gars c'était une combinaison de deux trucs. D'une part la politique de clé KMS n'avait pas le `kms:ScheduleKeyDeletion` pour le rôle de Vault. Et en plus j'avais mal configuré le paramètre `allowed_managed_key_id` dans mon rôle Vault pour KMS, il était trop restrictif. J'ai corrigé les deux et paf la rotation passe. Thx pour le coup de main !

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire