Vault pas moyen de renouveler les leases aws trop vite
Membre depuis le 05/12/2024
yo la team j'ai un souci avec vault. on utilise le secrets engine aws pour générer des creds dynamiques pour nos apps. le problème c'est que le renouvellement des leases prend des plombes ou même échoue carrément avant la fin de vie du lease ce qui pète nos services. lease duration configurée à 1h mais des fois ça pète au bout de 30min déjà. les logs vault sont pas super clairs j'ai des timeout.
vault read aws/creds/my-role
# Expected: valid credentials for 1h
# Actual: fails to renew mid-lease
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
Commentaires
jmace
Membre depuis le 16/01/2025
hello. t'as vérifié la config de ton rôle aws dans vault. y a un paramètre max_ttl qui peut overrider le ttl de ton lease. si ton max_ttl est plus court que ton lease initial ça peut causer des soucis à la tentative de renouvellement
bernadette-launay
Membre depuis le 04/05/2024
aussi check le clock skew entre ton serveur vault et les serveurs aws. une différence d'horloge de quelques minutes peut faire planter l'authentification et les renouvellements
mlefevre
Membre depuis le 25/10/2024
regarde bien les logs de vault au niveau debug si tu peux augmenter le log_level. ptete tu vas voir des erreurs plus précises liées à l'api aws ou à la connexion sous-jacente. un proxy ou un firewall qui coupe les connexions après un certain temps
jmace
Membre depuis le 16/01/2025
et t'as pas des soucis de rate limiting sur l'api aws de ton côté. si vault fait trop d'appels à aws en peu de temps aws peut te jeter et ça bloque les renewals
alexandria36
Membre depuis le 05/12/2024
putain mais oui ! c'était une combinaison de deux trucs. le max_ttl sur le rôle était plus court que le ttl que j'avais en tête et en plus y avait un léger clock skew. j'ai corrigé les deux et les renouvellements passent nickel maintenant. thx la team !