6 commentaires
en plus des libs vérifie que ton config block pour le seal hsm dans vault est bien formaté. le path vers la conf du client hsm (cloudhsm.conf) est bon ? et les credentials (user pin) sont corrects ? faut que vault puisse parler au client hsm
seal "hsm" {
hsm_library = "/opt/cloudhsm/lib/libcloudhsm_pkcs11.so"
hsm_slot = "0"
hsm_key_label = "vault-hsm-key"
hsm_pin = "your_hsm_user_pin"
cloudhsm_client_config = "/etc/cloudhsm/cloudhsm.conf"
}
et le réseau entre ton serveur vault et le cloudhsm cluster ? firewall security groups nacls tout ça. le hsm client doit pouvoir atteindre l'interface réseau de ton cloudhsm. des fois on oublie un port
check les logs du client hsm lui-même. ils sont souvent plus bavards que les logs vault pour les soucis de connexion. /var/log/cloudhsm-client.log ou un truc du genre
bon j'ai tout revérifié. c'était en fait un mix de permissions iam manquantes et d'une typo dans le pin utilisateur hsm dans ma config vault. le rôle iam n'avait pas les droits pour kms describe key. après correction ça démarre nickel et le unseal se fait par le hsm. thx pour les pistes
Laisser une réponse
Vous devez être connecté pour poster un message !
slt la team j'essaie d'intégrer vault avec aws cloudhsm pour le scellage mais je galère. j'ai configuré mon hsm cluster créé les users cryptographiques et tout. côté vault j'ai mis le config block pour le seal type 'hsm' mais quand je lance vault il arrive pas à se connecter à mon hsm. j'ai des erreurs de connexion dans les logs genre rpc error