SecOps : Vault auto-unseal GCP KMS ne trouve pas le keyring

Question

yo la team petit souci avec vault. je tente de configurer l'auto-unseal avec gcp kms mais ça veut pas il me dit Error initializing migration: googleapi: Error 404: Keyring 'vault-keyring' not found.
j'ai bien créé le keyring le key et la key version dans la même région que le vault. le service account a les droits cloudkms.viewer et cloudkms.cryptokeyencrypterdecrypter sur le keyring. voici ma config

seal "gcpckms" {
  project     = "mon-projet-gcp"
  region      = "europe-west3"
  key_ring    = "vault-keyring"
  crypto_key  = "vault-key"
}

une idée de ce que je loupe

charles-charles · Answer

salut. t'as vérifié le projet et la région dans la config vault ? si y a une coquille sur le nom du projet ou si la région est pas exacte par rapport à la création du keyring ça peut faire ça même si le keyring existe

mfontaine · Answer

regarde aussi si le service account que tu utilises pour vault a bien le rôle Cloud KMS CryptoKey Encrypter/Decrypter sur le key lui-même pas juste le keyring ou le projet entier. des fois les rôles hérités ça suffit pas

smarques · Answer

c'était bien ça le rôle sur la crypto key pas juste le keyring. j'ai ajouté le rôle Cloud KMS CryptoKey Encrypter/Decrypter direct sur la key vault-key pour le service account de vault et c'est passé. thx les gars

SecOps : Vault auto-unseal GCP KMS ne trouve pas le keyring

3 commentaires

Laisser une réponse

Les Slices (tableaux dynamiques) dans le langage de programmation Go

Téléchargement et compilation d’un projet SDL

Utilisation de la stack ELK sur les logs Apache

L'Ère des Environnements DevOps Neuro-Adaptatifs : L'IA au Service de l'Expérience Humaine

Tuto : Sécurisez vos fichiers d'état Terraform sans effort

Rejoindre la communauté