Vault agent init error - permission denied sur secret path

Question

salut la team
je galère avec un vault agent qui arrive pas à s'initialiser. j'ai un pod k8s qui doit récupérer un secret d'un path spécifique genre secret/data/app/config. l'agent est censé injecter ça mais j'ai une erreur permissions denied quand il essaie de lire.
error initializing agent: error fetching secret "secret/data/app/config": permission denied
ma policy vault a bien le capabilitiy 'read' sur ce path. je comprends pas ce qui coince

diaz-philippe · Answer

yo. t'as vérifié que le rôle k8s que tu utilises pour l'authentification vault a bien la bonne policy attachée ? des fois on attache la policy au rôle k8s et pas au service account du pod direct. check ton auth method config

jacqueline-potier · Answer

ouais j'ai fait ça le role kubernetes dans vault il est lié à mon service account app-sa et la policy app-policy qui elle a bien 'read' sur secret/data/app/* est attachée à ce role

thomas81 · Answer

hum c'est souvent un truc con avec les chemins. ton path est secret/data/app/config mais ta policy a 'read' sur secret/data/app/*. es-tu sûr que secret/data/app/config est bien le path exact et pas genre secret/data/app/config/key ? ou qu'il y a pas un truc entre data et app ?

diaz-philippe · Answer

et aussi assure-toi que ton k8s auth method n'a pas de restriction de namespace ou de service account qui pourrait écraser ce que tu attends

jacqueline-potier · Answer

c'était ça ! en fait le secret était à secret/data/app-config/key et pas secret/data/app/config. juste une faute de frappe dans le path du mountpoint. tellement con j'ai passé 2h là-dessus. thx les gars

Vault agent init error - permission denied sur secret path

Commentaires

Laisser une réponse

Découverte et installation de Docker

Les pointeurs dans le langage de programmation Go

Créer ses propres images Docker avec le Dockerfile

Rejoindre la communauté