vault auto-unseal avec kms bloqué en sealed

Posté par lucas-amelie le 24/06/2024
RÉSOLU
Retour Répondre Créer

Avatar de lucas-amelie

lucas-amelie

Membre depuis le 08/06/2019

hello tt le monde on essaie de configurer vault sur des ec2 avec l'auto-unseal via aws kms. tout semble bon côté config vault mais l'instance reste sealed. les logs vault montrent rien de particulier à part qu'il attend d'être unsealed.


# extrait de la config vault
seal "awskms" {
  region     = "eu-west-3"
  kms_key_id = "arn:aws:kms:eu-west-3:123456789012:key/abcdefgh-1234-abcd-efgh-1234567890ab"
}
listener "tcp" {
  address     = "0.0.0.0:8200"
  tls_disable = "true"
}
storage "s3" {
  bucket     = "my-vault-s3-bucket"
  region     = "eu-west-3"
}

Commentaires

Avatar de agathe-mary

agathe-mary

Membre depuis le 15/06/2020

t'as vérifié que l'instance role de ton ec2 vault a bien les permissions kms decrypt sur la clé spécifiée ? c'est le truc classique. faut au moins kms:Decrypt et kms:DescribeKey

Avatar de celina54

celina54

Membre depuis le 24/07/2019

et aussi que ton ec2 peut joindre les endpoints kms. pas de proxy pas de vpc endpoint bloqué par un sg ou une nacl ?

Avatar de lucas-amelie

lucas-amelie

Membre depuis le 08/06/2019

putain mais oui l'instance role ! j'avais oublié d'attacher la policy. je viens d'ajouter une policy custom avec kms:Decrypt sur la clé et c'est passé en started. je suis trop con merci bcp

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire