vault auto-unseal avec gcp kms ca marche pas

Posté par peron-raymond le 02/06/2024
RÉSOLU
Retour Répondre Créer

Avatar de peron-raymond

peron-raymond

Membre depuis le 10/05/2023

team vault j'ai une galère. j'essaye de configurer l'auto-unseal de vault avec gcp kms. j'ai suivi la doc officiel mais au démarrage de vault il reste en "sealed" et dans les logs je vois un truc du genre "failed to unseal with google cloud kms". les permissions du service account sont ok j'ai bien le role cloud kms cryptoKey Encrypter/Decrypter sur la clé. une idée où regarder ?

# config vault server
storage "raft" {
  path = "/vault/data"
}

listener "tcp" {
  address     = "0.0.0.0:8200"
  tls_disable = true
}

seal "gcpckms" {
  project     = "mon-projet-gcp"
  region      = "europe-west1"
  key_ring    = "vault-keyring"
  crypto_key  = "vault-unseal-key"
}

Commentaires

Avatar de lesage-pauline

lesage-pauline

Membre depuis le 14/05/2024

check l'authentification de vault vers gcp. si tu es sur une vm gcp est-ce que le service account de la vm a les bonnes permissions ? si c'est un pod k8s t'as bien configuré workload identity ou le json key file est au bon endroit et vault peut le lire ?

Avatar de peron-raymond

peron-raymond

Membre depuis le 10/05/2023

ah ouais c'est un pod k8s j'utilise workload identity. j'ai bien bind le k8s service account avec le gcp service account et donné les perms. je vais re-check le trust relationship et si l'env var GOOGLE_APPLICATION_CREDENTIALS est pas en conflit si j'en ai une

Avatar de lesage-pauline

lesage-pauline

Membre depuis le 14/05/2024

souvent c'est ça un souci de creds qui se marchent dessus ou un binding de rôle qui est pas effectif. t'as vérifié que le service account vault-gcp-kms a bien les perms sur cryptokey pour encrypt/decrypt spécifiquement sur ta clé vault-unseal-key et pas juste sur le key ring ?

Avatar de peron-raymond

peron-raymond

Membre depuis le 10/05/2023

bingo ! j'avais mis les perms sur le keyring mais pas spécifiquement sur la clé. j'ai ajouté le rôle cryptoKey Encrypter/Decrypter directement sur la crypto_key et là vault a démarré non-sealed ! thx pour le tips

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire