SecOps : Vault auth method pour k8s qui refuse de marcher

Question

yo la team j'essaie de configurer un auth method vault pour mon cluster k8s. j'ai suivi la doc pour le kubernetes auth method mais quand j'essaie de faire un vault login -method=kubernetes role=my-role jwt=@token.jwt ça me renvoie un permission denied ou failed to login

vault auth enable kubernetes
vault write auth/kubernetes/config \
    token_reviewer_jwt="$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)" \
    kubernetes_host="https://$KUBERNETES_PORT_443_TCP_ADDR:443" \
    kubernetes_ca_cert=@/var/run/secrets/kubernetes.io/serviceaccount/ca.crt
vault write auth/kubernetes/role/my-role \
    bound_service_account_names=my-app-sa \
    bound_service_account_namespaces=default \
    policies=my-app-policy \
    ttl=1h

le service account existe bien et a les bonnes permissions. une idée de ce que je loupe

sebastien-thibault · Answer

salut t'as vérifié que le token_reviewer_jwt que tu utilises pour configurer vault a bien les droits de lire les tokenreviews dans k8s ? c souvent un oubli le sa de vault doit pouvoir valider les tokens des autres sa

caroline49 · Answer

aussi check la clock skew entre ton serveur vault et les noeuds k8s ça peut foutre le bordel avec les jwt et leur validité

xavier15 · Answer

ah pas bête pour le token_reviewer_jwt j'avais utilisé un sa par défaut sans penser aux permissions spécifiques. j'ai créé un nouveau sa avec les verb: ["create"] sur resource: ["tokenreviews"] et reconfiguré. ça marche nickel maintenant merci les gars !

SecOps : Vault auth method pour k8s qui refuse de marcher

3 commentaires

Laisser une réponse

Guide pour configurer de votre environnement GoLang

Maximiser la productivité du DevOps grâce à ChatGpt

Les Merge Requests sur GitLab pour collaborer et valider

Zero Trust DevOps : L'Ère de la Confiance Zéro en Cloud Natif

Low-Code/No-Code DevOps : L'Agilité Visuelle Rencontre la Robustesse

Rejoindre la communauté