La descarga de contraseña falla o la bóveda está bloqueada
VaultPAM almacena credenciales en una bóveda cifrada respaldada por OpenBao. Cuando intenta iniciar una sesión o descargar una credencial y la acción falla, casi siempre hay cuatro causas posibles. Los eventos de sellado de la bóveda son raros pero disruptivos; los problemas de permisos y políticas son mucho más comunes.
Síntomas
- Al hacer clic en Launch Session o Check out password se devuelve un error como:
Vault is sealed — credential access unavailableCredential policy expiredYou do not have permission to check out this credentialThis safe is locked
- El campo de credencial en la vista de detalle del Safe muestra un icono de candado o "Unavailable" en lugar de un valor enmascarado.
- Una descarga que funcionaba anteriormente falla repentinamente sin cambios visibles.
Causas
1. Bóveda sellada (OpenBao)
VaultPAM utiliza OpenBao para el cifrado de credenciales. Si la instancia de OpenBao está sellada —debido a un reinicio sin auto-unseal, una interrupción del proveedor de claves o un comando de sellado del operador— ninguna operación de lectura o escritura de credenciales puede tener éxito hasta que la bóveda se deselle.
Verificación: Un banner "Vault is sealed" puede ser visible en el panel de administración de VaultPAM en System → Vault Status. Los operadores también pueden verificar directamente en el host de OpenBao:
bao status
El campo Sealed será true si la bóveda necesita deselarse.
Quién puede resolver esto: Solo los operadores con acceso a comparticiones de claves de desellado (o acceso al proveedor de auto-unseal, como GCP KMS o AWS KMS) pueden dessellar la bóveda. Los usuarios finales no pueden hacerlo.
Solución para operadores: Deselle la bóveda usando el número requerido de comparticiones de claves de desellado:
bao operator unseal <key-share>
Repita para cada compartición requerida. Una vez confirmado Sealed: false, las operaciones de credenciales se reanudan automáticamente. Si se configura auto-unseal y la bóveda se selló inesperadamente, compruebe que la clave KMS o ruta Transit sea accesible desde el host de OpenBao.
2. Política de credenciales caducada
Las políticas de credenciales a nivel de Safe pueden aplicar una duración máxima de descarga, un programa de rotación o una fecha de vencimiento. Si una política ha caducado o si una rotación basada en tiempo ha invalidado la credencial actual antes de la descarga, la descarga falla.
Verificación: Abra Safes → seleccione Safe → Edit → Credential policy. Busque:
- Una fecha de finalización de política que haya pasado.
- Un programa de rotación que se haya ejecutado y la nueva credencial aún no se haya almacenado.
- Un "Checkout TTL" configurado en cero o una ventana muy corta.
Solución: Actualice la política de credenciales para extender la ventana de validez, o desencadene una rotación manual: Safes → seleccione Safe → Credentials → Rotate now. Si la rotación requiere un cambio del sistema ascendente, coordine con el administrador del sistema de destino.
3. El usuario carece de permiso de descarga
La descarga es un permiso explícito otorgado a través de la membresía de Safe y asignación de rol. Un usuario con acceso de lectura a un Safe no tiene automáticamente permiso de descarga.
Verificación: Abra Safes → seleccione Safe → Members. Encuentre al usuario o al grupo al que pertenece el usuario. Confirme que su rol incluye el permiso Checkout. Los roles y sus conjuntos de permisos son visibles en Organization → Access → Roles.
Solución: Pida a un administrador de Safe o a un administrador de VaultPAM que actualice el rol del usuario a uno que incluya el permiso Checkout, o agregue el usuario a un grupo que ya tenga ese acceso.
4. Safe bloqueado por administrador
Un administrador puede bloquear un Safe para prevenir todas las sesiones y descargas, típicamente durante una investigación de incidente de seguridad o una ventana de mantenimiento. Un Safe bloqueado muestra un icono de candado en la lista de Safes.
Verificación: En la lista Safes, busque un distintivo de candado en el Safe afectado. Si está presente, el Safe está intencionalmente bloqueado.
Solución: Solo un propietario de Safe o un administrador de VaultPAM puede desbloquear un Safe. Contacte a su administrador y pídales que lo desbloqueen a través de Safes → seleccione Safe → Actions → Unlock safe. Pídales que confirmen la razón del bloqueo y si es seguro desbloquearlo.
Pasos de resolución
- Intente la descarga o el inicio de sesión. Anote el mensaje de error exacto.
- Si el error menciona que la bóveda está sellada, abra System → Vault Status en el panel de administración de VaultPAM. Si la bóveda está sellada, escale a un operador con acceso a claves de desellado de inmediato —los usuarios finales no pueden resolver una bóveda sellada.
- Si el error menciona una política, abra Safes → seleccione Safe → Edit → Credential policy y verifique si hay una política caducada o rotación vencida. Extienda la política o desencadene una rotación manual.
- Abra Safes → seleccione Safe → Members y verifique que su rol incluya el permiso Checkout. Si no lo incluye, solicite un cambio de rol a un administrador de Safe.
- En la lista Safes, confirme que no haya icono de candado en el Safe afectado. Si está bloqueado, contacte a un propietario de Safe o a un administrador de VaultPAM y pídales que lo desbloqueen.
- Después de cualquier cambio, reintente la descarga o el inicio de sesión.
Ruta de escalación
Si ninguno de los pasos anteriores resuelve el error:
- Anote el mensaje de error exacto y el nombre del Safe y la credencial involucrados.
- Si la bóveda se selló inesperadamente (no durante mantenimiento planificado), trate esto como un incidente operativo P1 y contacte a su operador de VaultPAM de inmediato.
- Para problemas de permisos o políticas persistentes que no se puedan explicar por la configuración actual, abra un ticket de soporte con: nombre del Safe, nombre de usuario afectado, mensaje de error exacto y una captura de pantalla de la política de credenciales actual y la lista de miembros.