vault policy pour app role qui arrive pas à générer de creds rds
Commentaires
Membre depuis le 28/07/2019
hello alors y'a plusieurs trucs à checker. d'abord est-ce que ton engine database est bien monté à database/ ? et est-ce que le rôle my-rds-role existe bien sous database/roles/my-rds-role ? souvent c'est un mismatch dans le path entre la policy et le rôle réel ou l'engine mount point.
Membre depuis le 09/07/2021
oui l'engine est monté à database/ et le rôle existe bien à database/roles/my-rds-role. je l'ai créé hier et j'ai testé avec le root token ça marche bien ça génère les creds. c'est vraiment que pour l'app role avec cette policy
Membre depuis le 25/03/2019
hmm ok regarde dans les logs d'audit de vault si tu as un detailed message pour le permission denied. ça peut donner des indices. et t'as bien attaché la policy à l'app role ou au token généré par l'app role ? c'est pas la même chose.
Membre depuis le 09/07/2021
ah putain c'était ça ! j'avais bien attaché la policy à l'app role mais j'avais oublié que le secret backend avait besoin d'une permission sur les chemins "database/config" et "database/connect" pour l'initialisation. c'était pas dans ma policy simple pour le "read". j'ai ajouté ça et c passé. thx pour les pistes les gars
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
fournier-philippe
Membre depuis le 09/07/2021
Salut à tous je galère à faire marcher une policy vault pour un app role. j'ai un app role qui est censé récupérer des creds rds dynamiques mais quand je fais un vault read il me dit permission denied. la policy est super simple pourtant je pige pas ce qui manque.
et le app role est lié à cette policy.