使用 Ansible Vault 加密内容

在制定了管理和存储 Vault 密码的策略后，就可以开始加密内容了。可以使用 Ansible Vault 加密两种类型的內容：变量和文件。加密内容始终包含 !vault 标记，它告诉 Ansible 和 YAML 内容需要解密，以及 | 字符，它允许使用多行字符串。使用 --vault-id 创建的加密内容还包含 Vault ID 标签。有关加密过程以及使用 Ansible Vault 加密的内容格式的更多详细信息，请参阅 使用 Ansible Vault 加密的文件格式。此表显示了加密变量和加密文件之间的主要区别

	加密变量	加密文件
加密了多少内容？	纯文本文件中的变量	整个文件
何时解密？	按需，仅在需要时	加载或引用时 [1]
可以加密什么？	仅限变量	任何结构化数据文件

[1]

除非解密文件，否则 Ansible 无法知道它是否需要加密文件中的内容，因此它会解密 playbook 和角色中引用的所有加密文件。

使用 Ansible Vault 加密单个变量

可以使用 ansible-vault encrypt_string 命令加密 YAML 文件中的单个值。有关安全显示加密变量的一种方法，请参阅 安全显示加密变量。

加密变量的优缺点

使用变量级加密，文件仍然易于阅读。您可以混合使用纯文本和加密变量，甚至可以在 playbook 或角色中内联使用。但是，密码轮换不如文件级加密那样简单。您无法 重新加密钥 加密变量。此外，变量级加密仅适用于变量。如果要加密任务或其他内容，则必须加密整个文件。

创建加密变量

ansible-vault encrypt_string 命令会加密并格式化您键入（或复制或生成）的任何字符串，使其成为可包含在 playbook、角色或变量文件中的格式。要创建基本的加密变量，请向 ansible-vault encrypt_string 命令传递三个选项

• Vault 密码的来源（提示、文件或脚本，是否包含 Vault ID）

• 要加密的字符串

• 字符串名称（变量的名称）

模式如下所示

ansible-vault encrypt_string <password_source> '<string_to_encrypt>' --name '<string_name_of_variable>'

例如，要使用仅存储在“a_password_file”中的密码加密字符串“foobar”，并将变量命名为“the_secret”

ansible-vault encrypt_string --vault-password-file a_password_file 'foobar' --name 'the_secret'

上述命令创建以下内容

the_secret: !vault |
      $ANSIBLE_VAULT;1.1;AES256
      62313365396662343061393464336163383764373764613633653634306231386433626436623361
      6134333665353966363534333632666535333761666131620a663537646436643839616531643561
      63396265333966386166373632626539326166353965363262633030333630313338646335303630
      3438626666666137650a353638643435666633633964366338633066623234616432373231333331
      6564

要加密字符串“foooodev”，使用存储在“a_password_file”中的“dev” Vault 密码添加 Vault ID 标签“dev”，并将加密变量称为“the_dev_secret”

ansible-vault encrypt_string --vault-id dev@a_password_file 'foooodev' --name 'the_dev_secret'

上述命令创建以下内容

the_dev_secret: !vault |
          $ANSIBLE_VAULT;1.2;AES256;dev
          30613233633461343837653833666333643061636561303338373661313838333565653635353162
          3263363434623733343538653462613064333634333464660a663633623939393439316636633863
          61636237636537333938306331383339353265363239643939666639386530626330633337633833
          6664656334373166630a363736393262666465663432613932613036303963343263623137386239
          6330

要加密从 stdin 读取的字符串“letmein”，使用存储在 a_password_file 中的“dev” Vault 密码添加 Vault ID“dev”，并将变量命名为“db_password”

echo -n 'letmein' | ansible-vault encrypt_string --vault-id dev@a_password_file --stdin-name 'db_password'

警告

在命令行直接键入秘密内容（不使用提示）会将秘密字符串保留在 shell 历史记录中。在测试之外不要这样做。

上述命令创建以下输出

Reading plaintext input from stdin. (ctrl-d to end input, twice if your content does not already have a new line)
db_password: !vault |
          $ANSIBLE_VAULT;1.2;AES256;dev
          61323931353866666336306139373937316366366138656131323863373866376666353364373761
          3539633234313836346435323766306164626134376564330a373530313635343535343133316133
          36643666306434616266376434363239346433643238336464643566386135356334303736353136
          6565633133366366360a326566323363363936613664616364623437336130623133343530333739
          3039

要提示您输入要加密的字符串，请使用“a_password_file”中的“dev” Vault 密码加密它，将变量命名为“new_user_password”，并为其提供 Vault ID 标签“dev”

ansible-vault encrypt_string --vault-id dev@a_password_file --stdin-name 'new_user_password'

上述命令触发以下提示

Reading plaintext input from stdin. (ctrl-d to end input, twice if your content does not already have a new line)

键入要加密的字符串（例如，“hunter2”），按 ctrl-d，然后等待。

警告

提供要加密的字符串后，不要按 Enter。这会将换行符添加到加密值中。

上述序列创建以下输出

new_user_password: !vault |
          $ANSIBLE_VAULT;1.2;AES256;dev
          37636561366636643464376336303466613062633537323632306566653533383833366462366662
          6565353063303065303831323539656138653863353230620a653638643639333133306331336365
          62373737623337616130386137373461306535383538373162316263386165376131623631323434
          3866363862363335620a376466656164383032633338306162326639643635663936623939666238
          3161

您可以将上述任何示例的输出添加到任何 playbook、变量文件或角色以供将来使用。加密变量比纯文本变量更大，但它们可以在保护敏感内容的同时，使 playbook、变量文件或角色的其余部分保持纯文本格式，以便您可以轻松阅读。

查看加密变量

您可以使用 debug 模块查看加密变量的原始值。您必须传递用于加密变量的密码。例如，如果将上一示例中创建的变量存储在名为“vars.yml”的文件中，则可以像这样查看该变量的未加密值

ansible localhost -m ansible.builtin.debug -a var="new_user_password" -e "@vars.yml" --vault-id dev@a_password_file

localhost | SUCCESS => {
    "new_user_password": "hunter2"
}

使用 Ansible Vault 加密文件

Ansible Vault 可以加密 Ansible 使用的任何结构化数据文件，包括

• 清单中的组变量文件

• 清单中的主机变量文件

• 使用 -e @file.yml 或 -e @file.json 传递给 ansible-playbook 的变量文件

• 由 include_vars 或 vars_files 加载的变量文件

• 角色中的变量文件

• 角色中的默认文件

• 任务文件

• 处理程序文件

• 二进制文件或其他任意文件

整个文件都已在 Vault 中加密。

注意

Ansible Vault 使用编辑器创建或修改加密文件。有关保护编辑器的一些指导，请参阅 保护编辑器的步骤。

加密文件的优缺点

文件级加密易于使用。使用 重新加密钥 命令，加密文件的密码轮换非常简单。加密文件不仅可以隐藏敏感值，还可以隐藏使用的变量的名称。但是，使用文件级加密，文件的内容不再易于访问和读取。这在加密任务文件中可能是一个问题。加密变量文件时，请参阅 安全显示加密变量，了解一种在非加密文件中保留对这些变量的引用的方法。Ansible 在加载或引用加密文件时始终会解密整个加密文件，因为除非解密它，否则 Ansible 无法知道它是否需要内容。

创建加密文件

要使用“multi_password_file”中的“test” Vault 密码创建一个名为“foo.yml”的新加密数据文件

ansible-vault create --vault-id test@multi_password_file foo.yml

该工具会启动编辑器（您使用 $EDITOR 定义的任何编辑器，默认编辑器为 vi）。添加内容。关闭编辑器会话时，文件将保存为加密数据。文件头反映了用于创建它的 Vault ID

``$ANSIBLE_VAULT;1.2;AES256;test``

要创建一个新的加密数据文件，并为其分配 Vault ID“my_new_password”，并提示您输入密码

ansible-vault create --vault-id my_new_password@prompt foo.yml

同样，在编辑器中向文件添加内容并保存。请务必存储您在提示符处创建的新密码，以便在要解密该文件时可以找到它。

加密现有文件

要加密现有文件，请使用 ansible-vault encrypt 命令。此命令可以同时对多个文件进行操作。例如

ansible-vault encrypt foo.yml bar.yml baz.yml

要使用“project” ID 加密现有文件，并提示您输入密码

ansible-vault encrypt --vault-id project@prompt foo.yml bar.yml baz.yml

查看加密文件

要查看加密文件的内容而不进行编辑，可以使用 ansible-vault view 命令

ansible-vault view foo.yml bar.yml baz.yml

编辑加密文件

要在原位编辑加密文件，请使用 ansible-vault edit 命令。此命令将文件解密到临时文件，允许您编辑内容，然后保存并重新加密内容，并在关闭编辑器时删除临时文件。例如

ansible-vault edit foo.yml

要编辑使用 vault2 密码文件加密并分配了 vault ID pass2 的文件。

ansible-vault edit --vault-id pass2@vault2 foo.yml

更改加密文件的密码和/或 vault ID

要更改加密文件或文件的密码，请使用 rekey 命令

ansible-vault rekey foo.yml bar.yml baz.yml

此命令可以一次重新加密多个数据文件，并将提示您输入原始密码和新密码。要为重新加密的文件设置不同的 ID，请将新 ID 传递给 --new-vault-id。例如，要重新加密使用“preprod1” vault ID 从“ppold”文件加密到“preprod2” vault ID 的文件列表，并提示您输入新密码

ansible-vault rekey --vault-id preprod1@ppold --new-vault-id preprod2@prompt foo.yml bar.yml baz.yml

解密加密文件

如果您有一个不再希望保持加密的加密文件，您可以通过运行 ansible-vault decrypt 命令永久解密它。此命令会将文件未加密地保存到磁盘，因此请确保您不想 edit 它。

ansible-vault decrypt foo.yml bar.yml baz.yml

保护您的编辑器的步骤

Ansible Vault 依赖于您配置的编辑器，这可能是泄露信息的来源。大多数编辑器都有防止数据丢失的方法，但这些方法通常依赖于额外的纯文本文件，这些文件可能包含您的密钥的明文副本。请查阅您的编辑器文档以配置编辑器，避免泄露安全数据。以下部分提供了一些关于常见编辑器的指导，但不应将其视为保护编辑器的完整指南。

vim

您可以在命令模式下设置以下 vim 选项以避免泄露情况。您可能需要修改更多设置以确保安全，尤其是在使用插件时，因此请查阅 vim 文档。

1. 禁用在崩溃或中断时充当自动保存的交换文件。

set noswapfile

2. 禁用备份文件的创建。

set nobackup
set nowritebackup

3. 禁用 viminfo 文件从当前会话复制数据。

set viminfo=

4. 禁用复制到系统剪贴板。

set clipboard=

您可以选择在 .vimrc 中为所有文件或仅特定路径或扩展名添加这些设置。有关详细信息，请参阅 vim 手册。

Emacs

您可以设置以下 Emacs 选项以避免泄露情况。您可能需要修改更多设置以确保安全，尤其是在使用插件时，因此请查阅 Emacs 文档。

1. 不要将数据复制到系统剪贴板。

(setq x-select-enable-clipboard nil)

2. 禁用备份文件的创建。

(setq make-backup-files nil)

3. 禁用自动保存文件。

(setq auto-save-default nil)