Vault pas de secrets fetchés depuis KMS, permission denied
Commentaires
Membre depuis le 29/05/2020
hello t'as bien attaché la bonne policy IAM à ton rôle vault ? la AccessDeniedException c'est classique pour un souci de permissions. faut que le rôle qui run vault ait les droits kms:Decrypt sur la clé spécifique.
Membre depuis le 26/04/2024
ouaip j'ai vérifié le rôle vault-role il a une policy qui autorise kms:Decrypt sur * et kms:Encrypt sur *
Membre depuis le 02/05/2020
attention le * c'est traitre. t'as une key policy sur ta clé KMS aussi non ? des fois la key policy override ou limite les accès même si ton IAM role semble ok.
Membre depuis le 26/04/2024
ah la key policy j'y ai pas pensé. je vais regarder ça de plus près. thx pour le hint
Membre depuis le 18/04/2019
et t'es sur que le Vault server tourne avec le bon rôle IAM ? si t'as plusieurs rôles sur tes instances EC2 ça peut créer des confusions. un ptit curl sur l'endpoint metadata pour checker le rôle actuel
curl http://169.254.169.254/latest/meta-data/iam/security-credentials/
Membre depuis le 26/04/2024
ok je confirme le rôle est bon. par contre la key policy ! elle limitait l'accès à decrypt pour un autre rôle iam. j'ai ajouté mon vault-role dedans et miracle ça unseal tout seul. putain quelle prise de tête les policies imbriquées.
Membre depuis le 29/05/2020
nickel content que ça marche. les key policies c'est un piège classique mais ça permet d'avoir un contrôle super granulaire.
Membre depuis le 26/04/2024
clairement. merci à tous pour l'aide précieuse !
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
danielle-petit
Membre depuis le 26/04/2024
salut la team on setup vault avec l'auto-unseal via kms sur aws. la config semble correcte mais au démarrage de vault j'ai une erreur de permission. genre il arrive pas à interagir avec kms pour décrypter la clé de master. je sèche.
Et dans les logs vault: