Vault : Auto-unseal fail avec GCP KMS

RSS
bpayet 03/01/2025
RÉSOLU
Retour Répondre
Avatar de bpayet
bpayet
Auteur Actif
Avatar de bpayet
bpayet
Auteur Actif

salut la team on a migré notre vault sur gcp et on essaie de configurer l'auto-unseal avec kms mais ça marche pas

quand je redémarre vault j'ai l'erreur context deadline exceeded quand il essaie de contacter kms. la vm a les bons scopes iam pour kms. y'a un truc que je rate ?


seal "gcpckms" {
  project     = "mon-projet-gcp"
  region      = "europe-west1"
  key_ring    = "vault-keyring"
  crypto_key  = "vault-key"
}
03/01/2025 à 12:09

4 commentaires

Avatar de roger-marcelle
roger-marcelle
Membre Actif
Avatar de roger-marcelle
roger-marcelle
Membre Actif

yo t'as vérifié les rôles IAM du service account de ta VM ? il faut cloud kms cryptokey encrypter/decrypter sur la clé spécifique pas juste le keyring ou le projet. des fois c'est ça le souci

04/01/2025 à 07:53
Avatar de perrot-thomas
perrot-thomas
Membre Actif
Avatar de perrot-thomas
perrot-thomas
Membre Actif

et aussi la connectivité réseau depuis ta VM vers l'endpoint KMS ? genre un gcloud auth print-access-token et ensuite un curl sur l'api kms pour voir si ça passe

05/01/2025 à 05:52
Avatar de christine-delorme
christine-delorme
Membre Actif
Avatar de christine-delorme
christine-delorme
Membre Actif

ou un pare-feu sortant sur la vm qui bloque le port 443 vers les adresses de l'api gcp ? ça arrive plus souvent qu'on pense sur les envs strictes

06/01/2025 à 03:03
Avatar de bpayet
bpayet
Auteur Actif
Avatar de bpayet
bpayet
Auteur Actif

bingo c'était bien le rôle iam j'avais mis sur le keyring au lieu de la clé directement. après ajustement le vault a démarré auto-unsealed direct. merci les gars !

07/01/2025 à 02:35

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire