vault unseal auto avec gcp kms pas de clé trouvée

Posté par margaud-paul le 15/01/2025
RÉSOLU
Retour Répondre Créer

Avatar de margaud-paul

margaud-paul

Membre depuis le 16/10/2024

slt la team

j'essaie de setup l'auto-unseal de vault avec gcp kms pour un déploiement k8s. vault est déployé via helm et configuré pour utiliser le plugin gcpkms pour l'auto-unseal. le problème c'est que quand je déploie le pod vault il loop sur un message disant que la clé kms est introuvable alors qu'elle existe bien et que mon compte de service a les bons droits


# partie de ma config helm pour vault
server:
  ha:
    enabled: true
    replicas: 3
    raft:
      enabled: true
  standalone:
    enabled: false
  unseal:
    gcpkms:
      enabled: true
      project: "my-gcp-project"
      region: "europe-west1"
      keyRing: "vault-keyring"
      cryptoKey: "vault-unseal-key"

le pod vault me sort ça : Error initializing unseal: error looking up KMS key: not found

j'ai check les rôles IAM sur mon compte de service k8s y'a bien le rôle Cloud KMS CryptoKey Encrypter/Decrypter

une idée ce que j'ai pu louper

Commentaires

Avatar de launay-frederique

launay-frederique

Membre depuis le 25/09/2024

hello

le message not found est souvent trompeur avec kms ça peut être un souci de permissions sur la resource parent ou meme une faute de frappe sur le nom de la clé. t'as essayé de faire un test d'accès direct à la clé depuis un pod avec le même compte de service genre avec gcloud kms keys get-iam-policy --location [region] --keyring [keyring] [keyname]

Avatar de margaud-paul

margaud-paul

Membre depuis le 16/10/2024

bien vu ! j'ai fait le test et ça renvoie bien la policy. donc le service account a bien accès à la clé. par contre j'ai remarqué que le region dans la config helm était "europe-west1" alors que ma clé est dans "global". la doc dit que si c'est pas spécifié pour global il faut pas le mettre mais là j'étais obligé de mettre quelque chose

Avatar de launay-frederique

launay-frederique

Membre depuis le 25/09/2024

ah la subtilité ! si ta clé est "global" t'es pas censé spécifier de region ni de location dans ta config unseal de vault juste le project le keyring et le cryptokey le provider gcpkms doit le gérer tout seul. essaie de retirer complètement la ligne region de ta config helm ou de la laisser vide si helm l'oblige

Avatar de margaud-paul

margaud-paul

Membre depuis le 16/10/2024

c'était exactement ça ! j'ai retiré le champ region dans la config helm et ça a marché direct. vault a unseal tout seul. merci beaucoup pour le coup de main je m'arrachais les cheveux

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire