vault unseal bloqué via kms après reboot

Question

yo la team j'ai un vault server (standalone pour le dev) qui a rebooté et là il veut plus s'unseal tout seul avec le config du auto-unseal via aws kms. les logs vault montrent une erreur de permission kms mais on a rien changé à la policy ou au role de l'instance. le vault est bien sur une instance avec le bon iam role
Error: failed to unseal: error making API call: AccessDeniedException: User: arn:aws:sts::XXXXXXXXXXXX:assumed-role/my-vault-role/i-XXXXXXXXXXXXXXX is not authorized to perform: kms:Decrypt on resource: arn:aws:kms:eu-west-1:XXXXXXXXXXXX:key/XXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX because no identity-based policy allows the kms:Decrypt action

anne39 · Answer

hello t'as checké la key policy du kms key elle-même ? des fois la policy de la key peut être plus restrictive que l'iam role de l'instance. assure-toi que le role y est bien listé avec kms:Decrypt

thierry-valette · Answer

et t'es sûr que c'est le bon kms key id qui est configuré dans le vault config ? des fois y'a un typo ou c'est une vieille key qui est référencée. revérifie le alias ou l'arn

anne39 · Answer

si la key policy est ok et l'iam role aussi vérifie si la région aws dans le vault config correspond bien à la région de ta key kms et de ton instance. un mismatch et ça plante

vdumont · Answer

ptete un transient issue avec sts ? l'assumed-role arn est ok mais des fois sts galère un peu à propager les creds. essaye de redémarrer l'instance une fois de plus ou force un refresh des creds aws cli pour voir si ça change qqch

elisabeth13 · Answer

vous êtes des génies ! c'était bien la key policy du kms key. quelqu'un avait modifié la policy de la key pour la durcir et a viré mon role sans faire gaffe. j'ai rajouté le role et c'est reparti. merci un max !

vault unseal bloqué via kms après reboot

Commentaires

Laisser une réponse

Invitation de l'entreprise OVH et présentation de l'outil CDS

Les variables d'environnement dans Kubernetes

Les Vaults sur Ansible

Rejoindre la communauté