vault kms auto-unseal foireux sur gcp

RSS
chevalier-david 01/10/2025
RÉSOLU
Retour Répondre
Avatar de chevalier-david
chevalier-david
Auteur
Avatar de chevalier-david
chevalier-david
Auteur

Salut les experts Vault ! J'essaye de configurer l'auto-unseal de Vault avec GCP KMS mais ça veut pas. Le service Vault démarre, mais il reste sealed. J'ai pourtant suivi la doc à la lettre. J'ai une instance GCE et j'utilise le rôle par défaut de l'instance pour les perms KMS.


# vault config excerpt
storage "raft" {
  path = "/vault/data"
}

listener "tcp" {
  address = "0.0.0.0:8200"
  tls_disable = true
}

seal "gcpkms" {
  project     = "mon-projet-gcp"
  region      = "europe-west1"
  key_ring    = "vault-keyring"
  crypto_key  = "vault-key"
}

Et dans les logs j'ai un truc du genre Error initializing seal: error fetching token from metadata server: StatusCode(403)

01/10/2025 à 20:34

6 commentaires

Avatar de matthieu-pires
matthieu-pires
Membre Actif
Avatar de matthieu-pires
matthieu-pires
Membre Actif

Hmm StatusCode(403) ça sent l'erreur de permissions direct. Même si tu utilises le rôle par défaut de l'instance, il faut que ce rôle ait les bonnes perms sur la clé KMS. T'as bien cloudkms.cryptoKeyEncrypterDecrypter sur la clé vault-key pour le service account de ton instance GCE?

Modifié le 23/05/2026 à 16:20
Avatar de olivie65
olivie65
Membre
Avatar de olivie65
olivie65
Membre

Et le réseau? Vault a bien accès à l'API GCP KMS? Pas de firewall qui bloquerait la connexion vers cloudkms.googleapis.com? Ça peut être ça aussi, une bête erreur de connectivité

Modifié le 23/05/2026 à 16:20
Avatar de chevalier-david
chevalier-david
Auteur
Avatar de chevalier-david
chevalier-david
Auteur

J'ai checké les perms dans IAM, le SA de l'instance a bien le rôle Cloud KMS CryptoKey Encrypter/Decrypter sur la clé. Et le réseau est ouvert vers internet, j'ai même fait un curl vers cloudkms.googleapis.com depuis la VM, ça passe.

Modifié le 23/05/2026 à 16:20
Avatar de matthieu-pires
matthieu-pires
Membre Actif
Avatar de matthieu-pires
matthieu-pires
Membre Actif

ok donc perms et réseau ok. la région et le keyring/key sont bien exacts dans ta config vault par rapport à ce que tu as dans gcp kms? des fois une faute de frappe ou une région différente ça peut induire en erreur

05/10/2025 à 09:17
Avatar de olivie65
olivie65
Membre
Avatar de olivie65
olivie65
Membre

Regarde les logs d'audit dans Stackdriver pour GCP KMS. Tu devrais voir si les appels sont reçus et pourquoi ils sont refusés. Ça donne un indice précis sur ce que Vault essaye de faire et pourquoi GCP le bloque.

06/10/2025 à 06:12
Avatar de chevalier-david
chevalier-david
Auteur
Avatar de chevalier-david
chevalier-david
Auteur

omg c'était un truc bête mais vicieux. mon crypto_key était bon, mais j'avais oublié le full path dans mon fichier de config vault ! il faut le chemin complet /projects/mon-projet-gcp/locations/europe-west1/keyrings/vault-keyring/cryptokeys/vault-key. une fois corrigé, ça unseal direct. merci pour l'aide !

Modifié le 23/05/2026 à 16:20

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire