Vault HSM integration galère avec AWS CloudHSM

Posté par auguste30 le 15/07/2024
RÉSOLU
Retour Répondre Créer

Avatar de auguste30

auguste30

Membre depuis le 01/10/2023

slt la team j'essaie d'intégrer vault avec aws cloudhsm pour le scellage mais je galère. j'ai configuré mon hsm cluster créé les users cryptographiques et tout. côté vault j'ai mis le config block pour le seal type 'hsm' mais quand je lance vault il arrive pas à se connecter à mon hsm. j'ai des erreurs de connexion dans les logs genre rpc error

Commentaires

Avatar de alice21

alice21

Membre depuis le 20/06/2024

hello t'as bien installé les librairies cloudhsm sdk sur ton serveur vault ? et la variable d'environnement hsm_library_path est correcte ? souvent c un truc de chemin ou de permissions

Avatar de guibert-constance

guibert-constance

Membre depuis le 29/06/2024

en plus des libs vérifie que ton config block pour le seal hsm dans vault est bien formaté. le path vers la conf du client hsm (cloudhsm.conf) est bon ? et les credentials (user pin) sont corrects ? faut que vault puisse parler au client hsm

seal "hsm" {
  hsm_library = "/opt/cloudhsm/lib/libcloudhsm_pkcs11.so"
  hsm_slot = "0"
  hsm_key_label = "vault-hsm-key"
  hsm_pin = "your_hsm_user_pin"
  cloudhsm_client_config = "/etc/cloudhsm/cloudhsm.conf"
}

Avatar de vaillant-anais

vaillant-anais

Membre depuis le 22/06/2024

et le réseau entre ton serveur vault et le cloudhsm cluster ? firewall security groups nacls tout ça. le hsm client doit pouvoir atteindre l'interface réseau de ton cloudhsm. des fois on oublie un port

Avatar de alice21

alice21

Membre depuis le 20/06/2024

oui et le rôle iam de ton instance vault. il a bien les permissions nécessaires pour interagir avec cloudhsm ? genre km:DescribeKey etc. même si c'est le hsm client qui fait le taf vault a besoin de quelques perms pour le bootstrapping

Avatar de guibert-constance

guibert-constance

Membre depuis le 29/06/2024

check les logs du client hsm lui-même. ils sont souvent plus bavards que les logs vault pour les soucis de connexion. /var/log/cloudhsm-client.log ou un truc du genre

Avatar de auguste30

auguste30

Membre depuis le 01/10/2023

bon j'ai tout revérifié. c'était en fait un mix de permissions iam manquantes et d'une typo dans le pin utilisateur hsm dans ma config vault. le rôle iam n'avait pas les droits pour kms describe key. après correction ça démarre nickel et le unseal se fait par le hsm. thx pour les pistes

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire