Échec de l'extraction du mot de passe ou coffre verrouillé
VaultPAM stocke les identifiants dans un coffre chiffré reposant sur OpenBao. Lorsque vous tentez de lancer une session ou d'extraire un identifiant et que l'action échoue, l'une des quatre causes en est presque toujours responsable. Les événements de scellement du coffre sont rares mais perturbateurs ; les problèmes d'autorisation et de politique sont bien plus fréquents.
Symptômes
- Cliquer sur Lancer la session ou Extraire le mot de passe renvoie une erreur telle que :
Vault is sealed — credential access unavailableCredential policy expiredYou do not have permission to check out this credentialThis safe is locked
- Le champ de l'identifiant dans la vue détaillée du coffre-fort affiche une icône de cadenas ou « Indisponible » au lieu d'une valeur masquée.
- Une extraction qui fonctionnait auparavant échoue soudainement sans changement visible.
Causes
1. Coffre scellé (OpenBao)
VaultPAM utilise OpenBao pour le chiffrement des identifiants. Si l'instance OpenBao est scellée — à la suite d'un redémarrage sans descellement automatique, d'une panne du fournisseur de clés ou d'une commande de scellement émise par un opérateur — aucune opération de lecture ou d'écriture d'identifiant ne peut aboutir tant que le coffre n'est pas descellé.
Vérification : une bannière « Vault is sealed » peut être visible dans le panneau d'administration de VaultPAM sous Système → État du coffre. Les opérateurs peuvent également vérifier directement sur l'hôte OpenBao :
bao status
Le champ Sealed sera défini sur true si le coffre doit être descellé.
Qui peut corriger cela : seuls les opérateurs disposant de parts de clé de descellement (ou d'un accès au fournisseur de descellement automatique, tel que GCP KMS ou AWS KMS) peuvent desceller le coffre. Les utilisateurs finaux ne peuvent pas le desceller.
Correctif pour les opérateurs : descellez le coffre à l'aide du nombre requis de parts de clé de descellement :
bao operator unseal <key-share>
Répétez l'opération pour chaque part requise. Une fois Sealed: false confirmé, les opérations sur les identifiants reprennent automatiquement. Si le descellement automatique est configuré et que le coffre s'est scellé de manière inattendue, vérifiez que la clé KMS ou le chemin Transit est accessible depuis l'hôte OpenBao.
2. Politique d'identifiant expirée
Les politiques d'identifiant au niveau du coffre-fort peuvent imposer une durée d'extraction maximale, un calendrier de rotation ou une date d'expiration. Si une politique a expiré ou si une rotation temporisée a invalidé l'identifiant actuel avant l'extraction, l'extraction échoue.
Vérification : ouvrez Coffres-forts → sélectionnez le coffre-fort → Modifier → Politique d'identifiant. Recherchez :
- Une date de fin de politique qui est dépassée.
- Un calendrier de rotation qui s'est exécuté alors que le nouvel identifiant n'a pas encore été stocké.
- Une « Durée de validité de l'extraction » (TTL) définie sur zéro ou sur une fenêtre très courte.
Correctif : mettez à jour la politique d'identifiant pour prolonger la fenêtre de validité, ou déclenchez une rotation manuelle : Coffres-forts → sélectionnez le coffre-fort → Identifiants → Effectuer la rotation maintenant. Si la rotation nécessite une modification du système en amont, coordonnez-vous avec l'administrateur du système cible.
3. L'utilisateur ne dispose pas de l'autorisation d'extraction
L'extraction est une autorisation explicite accordée via l'appartenance à un coffre-fort et l'attribution d'un rôle. Un utilisateur disposant d'un accès en lecture à un coffre-fort ne dispose pas automatiquement de l'autorisation d'extraction.
Vérification : ouvrez Coffres-forts → sélectionnez le coffre-fort → Membres. Trouvez l'utilisateur ou le groupe auquel il appartient. Vérifiez que son rôle inclut l'autorisation Extraction. Les rôles et leurs ensembles d'autorisations sont visibles dans Organisation → Accès → Rôles.
Correctif : demandez à un administrateur de coffre-fort ou à un administrateur VaultPAM de mettre à jour le rôle de l'utilisateur pour un rôle incluant l'autorisation Extraction, ou d'ajouter l'utilisateur à un groupe disposant déjà de cet accès.
4. Coffre-fort verrouillé par un administrateur
Un administrateur peut verrouiller un coffre-fort pour empêcher toutes les sessions et extractions, généralement lors de l'investigation d'un incident de sécurité ou d'une fenêtre de maintenance. Un coffre-fort verrouillé affiche une icône de cadenas dans la liste des coffres-forts.
Vérification : dans la liste Coffres-forts, recherchez un badge de cadenas sur le coffre-fort concerné. S'il est présent, le coffre-fort est verrouillé intentionnellement.
Correctif : seul un propriétaire de coffre-fort ou un administrateur VaultPAM peut déverrouiller un coffre-fort. Contactez votre administrateur et demandez-lui de le déverrouiller via Coffres-forts → sélectionnez le coffre-fort → Actions → Déverrouiller le coffre-fort. Demandez-lui de confirmer le motif du verrouillage et s'il est sûr de procéder au déverrouillage.
Étapes de résolution
- Tentez l'extraction ou le lancement de la session. Notez le message d'erreur exact.
- Si l'erreur mentionne que le coffre est scellé, ouvrez Système → État du coffre dans le panneau d'administration de VaultPAM. Si le coffre est scellé, escaladez immédiatement vers un opérateur disposant d'un accès aux clés de descellement — les utilisateurs finaux ne peuvent pas résoudre un coffre scellé.
- Si l'erreur mentionne une politique, ouvrez Coffres-forts → sélectionnez le coffre-fort → Modifier → Politique d'identifiant et recherchez une politique expirée ou une rotation en retard. Prolongez la politique ou déclenchez une rotation manuelle.
- Ouvrez Coffres-forts → sélectionnez le coffre-fort → Membres et vérifiez que votre rôle inclut l'autorisation Extraction. Si ce n'est pas le cas, demandez un changement de rôle à un administrateur de coffre-fort.
- Dans la liste Coffres-forts, confirmez qu'aucune icône de cadenas n'est affichée sur le coffre-fort concerné. S'il est verrouillé, contactez un propriétaire de coffre-fort ou un administrateur VaultPAM et demandez-lui de le déverrouiller.
- Après toute modification, réessayez l'extraction ou le lancement de la session.
Chemin d'escalade
Si aucune des étapes ci-dessus ne résout l'échec :
- Notez le message d'erreur exact ainsi que le nom du coffre-fort et de l'identifiant concernés.
- Si le coffre s'est scellé de manière inattendue (et non lors d'une maintenance planifiée), traitez cela comme un incident opérationnel P1 et contactez immédiatement votre opérateur VaultPAM.
- Pour les problèmes persistants d'autorisation ou de politique qui ne peuvent pas être expliqués par la configuration actuelle, ouvrez un ticket de support avec : le nom du coffre-fort, le nom d'utilisateur concerné, le message d'erreur exact et une capture d'écran de la politique d'identifiant actuelle et de la liste des membres.