Vault auto-unseal avec AWS KMS qui refuse de démarrer

Posté par josette76 le 23/01/2025
RÉSOLU
Retour Répondre Créer

Avatar de josette76

josette76

Membre depuis le 10/07/2019

salut la team j'ai un souci avec mon vault on-prem. je veux le configurer pour l'auto-unseal via aws kms. j'ai mis la config dans le fichier mais vault refuse de démarrer. il me dit un truc du genre "failed to unseal with specified seal type". j'ai bien mis les creds aws sur la machine via un profil. des idées ?

seal "awskms" {
  region     = "eu-west-3"
  kms_key_id = "arn:aws:kms:eu-west-3:123456789012:key/abcdefgh-ijkl-mnop-qrst-uvwxyzabcdef"
}

Commentaires

Avatar de gilles-josette

gilles-josette

Membre depuis le 14/08/2019

yo t'as bien vérifié que ton rôle IAM ou les creds que tu utilises ont la permission kms:Encrypt et kms:Decrypt sur la clé spécifiée ? c'est souvent ça le souci. et aussi que la clé KMS a une policy qui autorise l'accès à tes creds

Avatar de pinto-zacharie

pinto-zacharie

Membre depuis le 11/04/2019

ouais et un truc bête mais des fois l'horloge du serveur est pas synchro avec ntp ça peut poser des problèmes avec les signatures aws

Avatar de josette76

josette76

Membre depuis le 10/07/2019

c'était la policy de la clé KMS en fait. j'avais mis le rôle IAM mais j'avais oublié de lui donner les droits sur la clé elle-même dans la policy de clé. quelle buse ! merci les gars ça démarre niquel maintenant

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire