Sujet :

Vault : Auto-unseal fail avec GCP KMS

RÉSOLU

Liste des sujets Répondre Créer un sujet

Membre depuis le 25/03/2024

salut la team on a migré notre vault sur gcp et on essaie de configurer l'auto-unseal avec kms mais ça marche pas

quand je redémarre vault j'ai l'erreur context deadline exceeded quand il essaie de contacter kms. la vm a les bons scopes iam pour kms. y'a un truc que je rate ?


seal "gcpckms" {
  project     = "mon-projet-gcp"
  region      = "europe-west1"
  key_ring    = "vault-keyring"
  crypto_key  = "vault-key"
}

03/01/25 à 12:09

roger-marcelle

Membre depuis le 19/12/2024

yo t'as vérifié les rôles IAM du service account de ta VM ? il faut cloud kms cryptokey encrypter/decrypter sur la clé spécifique pas juste le keyring ou le projet. des fois c'est ça le souci

04/01/25 à 07:53

perrot-thomas

Membre depuis le 01/07/2024

et aussi la connectivité réseau depuis ta VM vers l'endpoint KMS ? genre un gcloud auth print-access-token et ensuite un curl sur l'api kms pour voir si ça passe

05/01/25 à 05:52

christine-delorme

Membre depuis le 25/05/2024

ou un pare-feu sortant sur la vm qui bloque le port 443 vers les adresses de l'api gcp ? ça arrive plus souvent qu'on pense sur les envs strictes

06/01/25 à 03:03

bpayet

Membre depuis le 25/03/2024

bingo c'était bien le rôle iam j'avais mis sur le keyring au lieu de la clé directement. après ajustement le vault a démarré auto-unsealed direct. merci les gars !

07/01/25 à 02:35

Répondre

vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire