amazon.aws.kms_key 模块 – 执行各种 KMS 密钥管理任务

注意

此模块是 amazon.aws 集合(版本 9.0.0)的一部分。

如果您正在使用 ansible 包,您可能已经安装了这个集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install amazon.aws。您需要进一步的要求才能使用此模块,请参阅 要求 以了解详细信息。

要在 playbook 中使用它,请指定:amazon.aws.kms_key

amazon.aws 5.0.0 中的新增功能

概要

  • 管理角色/用户对 KMS 密钥的访问权限。

  • 不适用于加密/解密。

  • 在 5.0.0 版本之前,此模块名为 community.aws.aws_kms。用法没有改变。

  • 此模块最初在 1.0.0 版本中添加到 community.aws 中。

别名:aws_kms

要求

在执行此模块的主机上需要满足以下要求。

  • python >= 3.6

  • boto3 >= 1.28.0

  • botocore >= 1.31.0

参数

参数

注释

access_key

别名:aws_access_key_id, aws_access_key, ec2_access_key

字符串

AWS 访问密钥 ID。

有关访问令牌的更多信息,请参阅 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys

也可以按优先级递减的顺序使用 AWS_ACCESS_KEY_IDAWS_ACCESS_KEYEC2_ACCESS_KEY 环境变量。

aws_access_keyprofile 选项是互斥的。

为了与 AWS botocore SDK 保持一致,aws_access_key_id 别名在 5.1.0 版本中添加。

ec2_access_key 别名已弃用,将在 2024-12-01 之后的版本中删除。

EC2_ACCESS_KEY 环境变量的支持已弃用,将在 2024-12-01 之后的版本中删除。

alias

别名:key_alias

字符串

密钥的别名。

为了安全起见,即使 KMS 不要求密钥具有别名,此模块也希望所有新密钥都给出别名,以使其更易于管理。没有别名的现有密钥可以通过 key_id 引用。使用 amazon.aws.kms_key_info 查找密钥 ID。

请注意,传递 key_idalias 只会导致添加新的别名,别名永远不会被重命名。

alias/ 前缀是可选的。

如果未给出 key_id,则为必需。

aws_ca_bundle

路径

用于验证 SSL 证书的 CA 捆绑包的位置。

也可以使用 AWS_CA_BUNDLE 环境变量。

aws_config

字典

用于修改 botocore 配置的字典。

参数可以在 AWS 文档中找到 https://botocore.amazonaws.com/v1/documentation/api/latest/reference/config.html#botocore.config.Config

debug_botocore_endpoint_logs

布尔值

使用 botocore.endpoint 记录器来解析任务期间进行的唯一(而不是总计)"resource:action" API 调用,将该集合输出到任务结果中的 resource_actions 键。使用 aws_resource_action 回调输出到 playbook 期间制作的总列表。

也可以使用 ANSIBLE_DEBUG_BOTOCORE_LOGS 环境变量。

选择

  • false ← (默认)

  • true

description

字符串

CMK 的描述。

使用有助于您确定 CMK 是否适合某个任务的描述。

enable_key_rotation

布尔值

是否应每年自动轮换密钥。

选择

  • false

  • true

enabled

布尔值

密钥是否已启用。

选择

  • false

  • true ← (默认)

endpoint_url

别名: ec2_url, aws_endpoint_url, s3_url

字符串

连接的 URL,用于替代默认的 AWS 端点。虽然它可以用于连接其他 AWS 兼容服务,但 amazon.aws 和 community.aws 集合仅针对 AWS 进行了测试。

也可以使用 AWS_URLEC2_URL 环境变量,优先级递减。

ec2_urls3_url 别名已弃用,将在 2024-12-01 之后的版本中删除。

EC2_URL 环境变量的支持已弃用,将在 2024-12-01 之后的版本中删除。

grants

列表 / 元素=字典

要应用于密钥的授权列表。每个项目必须包含 grants.grantee_principal。每个项目可以选择包含 grants.retiring_principal, grants.operations, grants.constraints, grants.name

grants.grantee_principalgrants.retiring_principal 必须是 ARN。

有关子选项的完整文档,请参阅 boto3 文档

https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/kms.html#KMS.Client.create_grant

默认值: []

constraints

字典

Constraints 是一个包含 encryption_context_subsetencryption_context_equals 的字典,两者之一或两者都是指定加密上下文匹配的字典。请参阅 https://docs.aws.amazon.com/kms/latest/APIReference/API_GrantConstraints.htmlhttps://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/kms.html#KMS.Client.create_grant

grantee_principal

字符串 / 必填

被授予权限的主体的完整 ARN。

name

字符串

授权的友好名称。

使用此值可防止在重试此请求时意外创建重复的授权。

operations

列表 / 元素=字符串

被授权者可以使用 CMK 执行的操作列表。

选择

  • "Decrypt"

  • "Encrypt"

  • "GenerateDataKey"

  • "GenerateDataKeyWithoutPlaintext"

  • "ReEncryptFrom"

  • "ReEncryptTo"

  • "CreateGrant"

  • "RetireGrant"

  • "DescribeKey"

  • "Verify"

  • "Sign"

retiring_principal

字符串

允许撤销/使授权失效的主体的完整 ARN。

key_id

别名: key_arn

字符串

密钥的密钥 ID 或 ARN。

必须指定 aliaskey_id 中的一个。

key_spec

别名: customer_master_key_spec

字符串

在 community.aws 2.1.0 中添加

指定要创建的 KMS 密钥类型。

密钥创建后,规范不可更改。

选择

  • "SYMMETRIC_DEFAULT" ← (默认)

  • "RSA_2048"

  • "RSA_3072"

  • "RSA_4096"

  • "ECC_NIST_P256"

  • "ECC_NIST_P384"

  • "ECC_NIST_P521"

  • "ECC_SECG_P256K1"

key_usage

字符串

在 community.aws 2.1.0 中添加

确定可以使用 KMS 密钥执行的加密操作。

密钥创建后,用途不可更改。

选择

  • "ENCRYPT_DECRYPT" ← (默认)

  • "SIGN_VERIFY"

multi_region

布尔值

在 amazon.aws 5.5.0 中添加

是否创建多区域主密钥。

选择

  • false ← (默认)

  • true

pending_window

别名: deletion_delay

整数

在 community.aws 1.4.0 中添加

请求删除 CMK 到实际删除之间的天数。

仅在 state=absent 且 CMK 尚未删除时使用。

有效值介于 730 之间(包含)。

另请参阅:https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html#KMS-ScheduleKeyDeletion-request-PendingWindowInDays

policy

json

应用于 KMS 密钥的策略。

请参阅 https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html

profile

别名: aws_profile

字符串

用于身份验证的已命名 AWS 配置文件。

有关已命名配置文件的更多信息,请参阅 AWS 文档 https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-profiles.html

也可以使用 AWS_PROFILE 环境变量。

profile 选项与 aws_access_keyaws_secret_keysecurity_token 选项互斥。

purge_grants

布尔值

grants 参数是否应导致删除列表中不存在的授权。

选择

  • false ← (默认)

  • true

purge_tags

布尔值

如果 purge_tags=true 且设置了 tags,则将从资源中清除现有标签,以完全匹配 tags 参数定义的标签。

如果未设置 tags 参数,则不会修改标签,即使 purge_tags=True

aws: 开头的标签键由 Amazon 保留,无法修改。因此,它们将被忽略以用于 purge_tags 参数。有关更多信息,请参阅 Amazon 文档 https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html#tag-conventions

选择

  • false

  • true ← (默认)

region

别名: aws_region, ec2_region

字符串

要使用的 AWS 区域。

对于 IAM、Route53 和 CloudFront 等全局服务,将忽略 region

也可以使用 AWS_REGIONEC2_REGION 环境变量。

有关更多信息,请参阅 Amazon AWS 文档 http://docs.aws.amazon.com/general/latest/gr/rande.html#ec2_region

ec2_region 别名已弃用,将在 2024-12-01 之后的版本中删除

EC2_REGION 环境变量的支持已弃用,将在 2024-12-01 之后的版本中删除。

secret_key

别名: aws_secret_access_key, aws_secret_key, ec2_secret_key

字符串

AWS secret access key。

有关访问令牌的更多信息,请参阅 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys

也可以按优先级递减的顺序使用 AWS_SECRET_ACCESS_KEYAWS_SECRET_KEYEC2_SECRET_KEY 环境变量。

secret_keyprofile 选项互斥。

aws_secret_access_key 别名在 5.1.0 版本中添加,以与 AWS botocore SDK 保持一致。

ec2_secret_key 别名已弃用,将在 2024-12-01 之后的版本中删除。

EC2_SECRET_KEY 环境变量的支持已弃用,并将在 2024-12-01 之后的版本中删除。

session_token

别名:aws_session_token, security_token, aws_security_token, access_token

字符串

用于临时凭证的 AWS STS 会话令牌。

有关访问令牌的更多信息,请参阅 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys

也可以使用 AWS_SESSION_TOKENAWS_SECURITY_TOKENEC2_SECURITY_TOKEN 环境变量,优先级依次降低。

security_tokenprofile 选项是互斥的。

别名 aws_session_tokensession_token 在 3.2.0 版本中添加,参数在 6.0.0 版本中从 security_token 重命名为 session_token

security_tokenaws_security_tokenaccess_token 别名已弃用,并将在 2024-12-01 之后的版本中删除。

EC2_SECRET_KEYAWS_SECURITY_TOKEN 环境变量的支持已弃用,并将在 2024-12-01 之后的版本中删除。

state

字符串

密钥应该是存在还是不存在。

请注意,将现有密钥设置为 absent 仅安排密钥进行删除。

如果传递一个已安排删除的密钥,并使用 state=present,则将取消密钥删除。

选择

  • "present" ← (默认)

  • "absent"

tags

别名:resource_tags

字典

表示要应用于资源的标签的字典。

如果未设置 tags 参数,则不会修改标签。

validate_certs

布尔值

设置为 false 时,与 AWS API 通信时将不验证 SSL 证书。

强烈建议不要设置 validate_certs=false,作为替代方案,请考虑设置 aws_ca_bundle

选择

  • false

  • true ← (默认)

注释

注意

  • 众所周知,KMS 密钥的更新在 AWS 上完全反映所需的时间量存在不一致。当连续运行重复任务或在使用 amazon.aws.kms_key_info 模块在修改密钥后不久获取密钥元数据时,这可能会导致问题。因此,建议使用此模块 (amazon.aws.kms_key) 返回的数据来获取密钥的元数据。

  • policies 返回密钥已在 amazon.aws 8.0.0 版本中删除。

  • 注意: 对于模块,环境变量和配置文件是从 Ansible “主机” 上下文而不是“控制器” 上下文中读取的。因此,可能需要将文件显式复制到“主机”。对于查找和连接插件,环境变量和配置文件是从 Ansible “控制器” 上下文而不是“主机” 上下文中读取的。

  • Ansible 使用的 AWS SDK (boto3) 也可能从其在 Ansible “主机” 上下文中的配置文件(通常是 ~/.aws/credentials)中读取凭证和其他设置(例如区域)的默认值。有关更多信息,请参见 https://boto3.amazonaws.com/v1/documentation/api/latest/guide/credentials.html

示例

# Create a new KMS key
- amazon.aws.kms_key:
    alias: mykey
    tags:
      Name: myKey
      Purpose: protect_stuff

# Create a new multi-region KMS key
- amazon.aws.kms_key:
    alias: mykey
    multi_region: true
    tags:
      Name: myKey
      Purpose: protect_stuff

# Update previous key with more tags
- amazon.aws.kms_key:
    alias: mykey
    tags:
      Name: myKey
      Purpose: protect_stuff
      Owner: security_team

# Update a known key with grants allowing an instance with the billing-prod IAM profile
# to decrypt data encrypted with the environment: production, application: billing
# encryption context
- amazon.aws.kms_key:
    key_id: abcd1234-abcd-1234-5678-ef1234567890
    grants:
      - name: billing_prod
        grantee_principal: arn:aws:iam::123456789012:role/billing_prod
        constraints:
          encryption_context_equals:
            environment: production
            application: billing
        operations:
          - Decrypt
          - RetireGrant

- name: Update IAM policy on an existing KMS key
  amazon.aws.kms_key:
    alias: my-kms-key
    policy: '{"Version": "2012-10-17", "Id": "my-kms-key-permissions", "Statement": [ { <SOME STATEMENT> } ]}'
    state: present

- name: Example using lookup for policy json
  amazon.aws.kms_key:
    alias: my-kms-key
    policy: "{{ lookup('template', 'kms_iam_policy_template.json.j2') }}"
    state: present

返回值

常见返回值记录在此处 这里,以下是此模块特有的字段

Key

描述

aliases

列表 / 元素=字符串

与密钥关联的别名列表。

返回: 总是

示例: ["aws/acm", "aws/ebs"]

aws_account_id

字符串

密钥所属的 AWS 账户 ID。

返回: 总是

示例: "1234567890123"

changes_needed

字典

将要更改/已更改的授权类型。

返回: 总是

示例: {"role": "add", "role grant": "add"}

creation_date

字符串

密钥的创建日期和时间。

返回: 总是

示例: "2017-04-18T15:12:08.551000+10:00"

customer_master_key_spec

字符串

指定要创建的 KMS 密钥类型。

返回: 总是

示例: "SYMMETRIC_DEFAULT"

deletion_date

字符串

在 community.aws 3.3.0 中添加

KMS 删除此 KMS 密钥后的日期和时间。

返回:key_state 为 PendingDeletion 时

示例: "2017-04-18T15:12:08.551000+10:00"

description

字符串

密钥的描述。

返回: 总是

示例: "我的 用于保护重要内容的密钥"

enable_key_rotation

布尔值

是否启用自动年度密钥轮换。如果无法确定密钥轮换状态,则返回 None。

返回: 总是

示例: false

enabled

布尔值

密钥是否已启用。如果 key_stateEnabled,则为 True。

返回: 总是

示例: false

encryption_algorithms

列表 / 元素=字符串

KMS 密钥支持的加密算法。

返回: 总是

示例: ["SYMMETRIC_DEFAULT"]

grants

列表 / 元素=字典

与密钥关联的授权列表。

返回: 总是

constraints

字典

授权允许的加密上下文约束。有关更多详细信息,请参见 https://docs.aws.amazon.com/kms/latest/APIReference/API_GrantConstraints.html

返回: 总是

示例: {"encryption_context_equals": {"aws:lambda:_function_arn": "arn:aws:lambda:ap-southeast-2:123456789012:function:xyz"}}

creation_date

字符串

授权的创建日期。

返回: 总是

示例: "2017-04-18T15:12:08+10:00"

grant_id

字符串

授权的唯一 ID。

返回: 总是

示例: "abcd1234abcd1234abcd1234abcd1234abcd1234abcd1234abcd1234abcd1234"

grantee_principal

字符串

接收授权权限的主体。

返回: 总是

示例: "arn:aws:sts::123456789012:assumed-role/lambda_xyz/xyz"

issuing_account

字符串

颁发授权的 AWS 账户。

返回: 总是

示例: "arn:aws:iam::123456789012:root"

key_id

字符串

应用授权的密钥 ARN。

返回: 总是

示例: "arn:aws:kms:ap-southeast-2:123456789012:key/abcd1234-abcd-1234-5678-ef1234567890"

name

字符串

标识授权的友好名称。

返回: 总是

示例: "xyz"

operations

列表 / 元素=字符串

授权允许的操作列表。

返回: 总是

示例: ["Decrypt", "RetireGrant"]

retiring_principal

字符串

可以撤销授权的主体。

返回: 总是

示例: "arn:aws:sts::123456789012:assumed-role/lambda_xyz/xyz"

had_invalid_entries

布尔值

KMS 条目中是否存在无效 (非 ARN) 条目。这些不算作更改,但如果正在进行任何更改,则会删除。

返回: 总是

key_arn

字符串

密钥的 ARN。

返回: 总是

示例: "arn:aws:kms:ap-southeast-2:123456789012:key/abcd1234-abcd-1234-5678-ef1234567890"

key_id

字符串

密钥的 ID。

返回: 总是

示例: "abcd1234-abcd-1234-5678-ef1234567890"

key_manager

字符串

KMS 密钥的管理器。

返回: 总是

示例: "AWS"

key_policies

列表 / 元素=字典

在 community.aws 3.3.0 中添加

密钥的策略文档列表。即使存在策略,也会在拒绝访问时为空。

返回: 总是

示例: {"Id": "auto-ebs-2", "Statement": [{"Action": ["kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant", "kms:DescribeKey"], "Condition": {"StringEquals": {"kms:CallerAccount": "123456789012", "kms:ViaService": "ec2.ap-southeast-2.amazonaws.com"}}, "Effect": "Allow", "Principal": {"AWS": "*"}, "Resource": "*", "Sid": "允许通过 EBS 访问帐户中所有有权使用 EBS 的主体"}, {"Action": ["kms:Describe*", "kms:Get*", "kms:List*", "kms:RevokeGrant"], "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:root"}, "Resource": "*", "Sid": "允许直接访问密钥元数据到帐户"}], "Version": "2012-10-17"}

key_spec

字符串

指定要创建的 KMS 密钥类型。

返回: 总是

示例: "SYMMETRIC_DEFAULT"

key_state

字符串

密钥的状态。

将为 'Creating''Enabled''Disabled''PendingDeletion''PendingImport''PendingReplicaDeletion''Unavailable''Updating' 之一。

返回: 总是

示例: "PendingDeletion"

key_usage

字符串

您可以对密钥使用的加密操作。

返回: 总是

示例: "ENCRYPT_DECRYPT"

multi_region

布尔值

在 amazon.aws 5.5.0 中添加

指示 CMK 是多区域 True 还是区域 False 密钥。

对于多区域主 CMK 和副本 CMK,此值为 True;对于区域 CMK,此值为 False。

返回: 总是

示例: false

来源

字符串

密钥的密钥材料的来源。当此值为 AWS_KMS 时,AWS KMS 创建了密钥材料。当此值为 EXTERNAL 时,密钥材料是导入的,或者 CMK 缺少密钥材料。

返回: 总是

示例: "AWS_KMS"

标签

字典

应用于密钥的标签字典。当访问被拒绝时,即使有标签也为空。

返回: 总是

示例: {"Name": "myKey", "Purpose": "protecting_stuff"}

作者

  • Ted Timmons (@tedder)

  • Will Thames (@willthames)

  • Mark Chappell (@tremble)