Vault Transit Engine decryption fail malgre des clés ok

Posté par guillaume-maillet le 17/03/2025
RÉSOLU
Retour Répondre Créer

Avatar de guillaume-maillet

guillaume-maillet

Membre depuis le 26/12/2019

Salut la team j'ai un souci avec Vault notre transit engine. On chiffre des données avec une clé mais quand on essaie de déchiffrer avec la même clé ça nous sort une erreur. j'ai bien vérifié les policies les capabilités sont là. on utilise le CLI pour tester

vault write -f transit/encrypt/my-key plaintext=@(base64 -w0 <<<"mysecretdata")
vault write -f transit/decrypt/my-key ciphertext="vault:v1:..."

le encrypt marche niquel mais le decrypt il sort un "permission denied" ou "key not found" j'y comprends rien

Commentaires

Avatar de wmasse

wmasse

Membre depuis le 18/05/2019

yo t'as verifié que la clé elle a pas été rotated entre temps ? ou si y'a un minimum_decryption_version sur ta policy qui bloquerait une ancienne version de clé

Avatar de guillaume-maillet

guillaume-maillet

Membre depuis le 26/12/2019

nan la clé a pas bougé j'ai créé une clé toute neuve pour tester et meme resultat. pas de minimum_decryption_version non plus

Avatar de blanchard-anne

blanchard-anne

Membre depuis le 13/08/2019

est-ce que ton token qui fait le decrypt il a bien les droits sur le path transit/decrypt/my-key et sur transit/keys/my-key ? des fois on oublie les droits sur les clés elles-mêmes

Avatar de guillaume-maillet

guillaume-maillet

Membre depuis le 26/12/2019

ah merde j'avais mis uniquement sur transit/decrypt/*. j'ai ajouté les droits sur transit/keys/my-key au token et c'est le même problème. "permission denied" encore

Avatar de wmasse

wmasse

Membre depuis le 18/05/2019

y'a pas un autre transit engine monté sur un autre path qui aurait le meme nom de clé ? ça arrive des fois une conf qui se chevauche

Avatar de guillaume-maillet

guillaume-maillet

Membre depuis le 26/12/2019

non non j'ai qu'un seul transit engine monté sur transit/

Avatar de bjean

bjean

Membre depuis le 22/11/2018

check le audit log de vault tu verras exactement quel policy est refusée ou quelle capability manque. c'est la source de vérité ultime pour ces problemes de permissions

Avatar de guillaume-maillet

guillaume-maillet

Membre depuis le 26/12/2019

ok je regarde les logs. putain oui ! c'est la capability update sur transit/keys/my-key qui manque. mon token n'avait que read. je l'ai ajouté et BAM ça déchiffre ! merci les gars j'étais en train de devenir fou

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire