community.hashi_vault.vault_kv2_get 查询 – 从 HashiCorp Vault 的 KV 版本 2 密钥存储中获取密钥

注意

此查询插件是 community.hashi_vault 集合 (版本 6.2.0) 的一部分。

如果您使用的是 ansible 包，则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装，请运行 ansible-galaxy collection list。

要安装它，请使用：ansible-galaxy collection install community.hashi_vault。您需要其他要求才能使用此查询插件，有关详细信息，请参阅要求。

要在 playbook 中使用它，请指定：community.hashi_vault.vault_kv2_get。

community.hashi_vault 2.5.0 中的新增功能

要求 

以下要求是在执行此查询的本地控制器节点上需要的。

hvac (Python 库)
有关详细要求，请参阅集合要求页面。

术语 

参数	注释
术语字符串 / 必需	要读取的 Vault KV 路径。这些路径相对于 engine_mount_point，因此不应包含挂载路径。

这描述了查询的关键字参数。这些是在以下示例中的值 key1=value1、key2=value2 等：lookup('community.hashi_vault.vault_kv2_get', key1=value1, key2=value2, ...) 和 query('community.hashi_vault.vault_kv2_get', key1=value1, key2=value2, ...)

参数	注释
auth_method 字符串	要使用的身份验证方法。 `none` 身份验证方法是在集合版本 `1.2.0` 中添加的。 `cert` 身份验证方法是在集合版本 `1.4.0` 中添加的。 `aws_iam_login` 在集合版本 `2.1.0` 中重命名为 `aws_iam`，并在 `3.0.0` 中移除。 `azure` 身份验证方法是在集合版本 `3.2.0` 中添加的。选项 `"token"` ← (默认) `"userpass"` `"ldap"` `"approle"` `"aws_iam"` `"azure"` `"jwt"` `"cert"` `"none"` 配置 INI 条目 [hashi_vault_collection] auth_method = token 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_AUTH_METHOD` 在 community.hashi_vault 0.2.0 中添加变量：ansible_hashi_vault_auth_method 在 community.hashi_vault 1.2.0 中添加
aws_access_key 别名：aws_access_key_id 字符串	要使用的 AWS 访问密钥。配置环境变量：`EC2_ACCESS_KEY` 环境变量：`AWS_ACCESS_KEY` 环境变量：`AWS_ACCESS_KEY_ID`
aws_iam_server_id 字符串在 community.hashi_vault 0.2.0 中添加	如果指定，则将值设置为用于 `X-Vault-AWS-IAM-Server-ID` 标头，作为 `GetCallerIdentity` 请求的一部分。配置 INI 条目 [hashi_vault_collection] aws_iam_server_id = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_AWS_IAM_SERVER_ID`
aws_profile 别名：boto_profile 字符串	AWS 配置文件配置环境变量：`AWS_DEFAULT_PROFILE` 环境变量：`AWS_PROFILE`
aws_secret_key 别名：aws_secret_access_key 字符串	与访问密钥相对应的 AWS 密钥。配置环境变量：`EC2_SECRET_KEY` 环境变量：`AWS_SECRET_KEY` 环境变量：`AWS_SECRET_ACCESS_KEY`
aws_security_token 字符串	如果使用临时访问密钥和密钥，则为AWS安全令牌。配置环境变量：`EC2_SECURITY_TOKEN` 环境变量：`AWS_SESSION_TOKEN` 环境变量：`AWS_SECURITY_TOKEN`
azure_client_id 字符串在community.hashi_vault 3.2.0中添加	Azure AD服务主体或托管身份的客户端ID（也称为应用程序ID）。应为UUID。如果未指定，将使用系统分配的托管身份。配置 INI 条目 [hashi_vault_collection] azure_client_id = VALUE 环境变量：`ANSIBLE_HASHI_VAULT_AZURE_CLIENT_ID` 变量：ansible_hashi_vault_azure_client_id
azure_client_secret 字符串在community.hashi_vault 3.2.0中添加	Azure AD服务主体的客户端密钥。配置环境变量：`ANSIBLE_HASHI_VAULT_AZURE_CLIENT_SECRET` 变量：ansible_hashi_vault_azure_client_secret
azure_resource 字符串在community.hashi_vault 3.2.0中添加	在Azure Active Directory中注册的应用程序的资源URL。通常不应该更改默认值。默认值：`"https://management.azure.com/"` 配置 INI 条目 [hashi_vault_collection] azure_resource = https://management.azure.com/ 环境变量：`ANSIBLE_HASHI_VAULT_AZURE_RESOURCE` 变量：ansible_hashi_vault_azure_resource
azure_tenant_id 字符串在community.hashi_vault 3.2.0中添加	服务主体的Azure Active Directory租户ID（也称为目录ID）。应为UUID。使用服务主体向Vault进行身份验证时需要，例如，当同时指定azure_client_id和azure_client_secret时需要。使用托管身份向Vault进行身份验证时可选。配置 INI 条目 [hashi_vault_collection] azure_tenant_id = VALUE 环境变量：`ANSIBLE_HASHI_VAULT_AZURE_TENANT_ID` 变量：ansible_hashi_vault_azure_tenant_id
ca_cert 别名：cacert 字符串	用于身份验证的证书路径。如果没有通过其他任何方式指定，则将使用`VAULT_CACERT`环境变量。配置 INI 条目 [hashi_vault_collection] ca_cert = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_CA_CERT` 在 community.hashi_vault 1.2.0 中添加变量：ansible_hashi_vault_ca_cert 在 community.hashi_vault 1.2.0 中添加
cert_auth_private_key 路径在 community.hashi_vault 1.4.0 中添加	对于`cert`身份验证，用于身份验证的私钥文件的路径，采用PEM格式。配置 INI 条目 [hashi_vault_collection] cert_auth_private_key = VALUE 环境变量：`ANSIBLE_HASHI_VAULT_CERT_AUTH_PRIVATE_KEY` 变量：ansible_hashi_vault_cert_auth_private_key 在community.hashi_vault 6.2.0中添加
cert_auth_public_key 路径在 community.hashi_vault 1.4.0 中添加	对于`cert`身份验证，用于身份验证的证书文件的路径，采用PEM格式。配置 INI 条目 [hashi_vault_collection] cert_auth_public_key = VALUE 环境变量：`ANSIBLE_HASHI_VAULT_CERT_AUTH_PUBLIC_KEY` 变量：ansible_hashi_vault_cert_auth_public_key 在community.hashi_vault 6.2.0中添加
engine_mount_point 字符串	秘密后端挂载的路径。默认值：`"secret"` 配置变量：ansible_hashi_vault_engine_mount_point
jwt 字符串	用于JWT身份验证到Vault的JSON Web令牌（JWT）。配置环境变量：`ANSIBLE_HASHI_VAULT_JWT`
mount_point 字符串	Vault挂载点。如果未指定，则使用给定身份验证方法的默认挂载点。不适用于令牌身份验证。配置 INI 条目 [hashi_vault_collection] mount_point = VALUE 在community.hashi_vault 1.5.0中添加环境变量：`ANSIBLE_HASHI_VAULT_MOUNT_POINT` 在community.hashi_vault 1.5.0中添加变量：ansible_hashi_vault_mount_point 在community.hashi_vault 1.5.0中添加
namespace 字符串	秘密所在的Vault命名空间。此选项需要HVAC 0.7.0+和Vault 0.11+。或者，可以通过使用命名空间作为前缀添加身份验证挂载点和/或秘密路径来实现（例如`mynamespace/secret/mysecret`）。如果设置了环境变量`VAULT_NAMESPACE`，则其值将在所有指定namespace的方法中最后使用。配置 INI 条目 [hashi_vault_collection] namespace = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_NAMESPACE` 在 community.hashi_vault 0.2.0 中添加变量：ansible_hashi_vault_namespace 在 community.hashi_vault 1.2.0 中添加
password 字符串	身份验证密码。配置环境变量：`ANSIBLE_HASHI_VAULT_PASSWORD` 在 community.hashi_vault 1.2.0 中添加变量：ansible_hashi_vault_password 在 community.hashi_vault 1.2.0 中添加
proxies 任意在community.hashi_vault 1.1.0中添加	用于访问Vault服务的代理的URL。它可以是字符串或字典。如果是字典，请提供方案（例如`http`或`https`）作为键，并提供URL作为值。如果是字符串，请提供单个URL，该URL将用作`http`和`https`方案的代理。可以解释为字典的字符串将被转换为字典（参见示例）。您可以为HTTP和HTTPS资源指定不同的代理。如果未指定，则使用Requests库中的环境变量。配置 INI 条目 [hashi_vault_collection] proxies = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_PROXIES` 变量：ansible_hashi_vault_proxies 在 community.hashi_vault 1.2.0 中添加
region 字符串	要为此创建连接的AWS区域。配置环境变量：`EC2_REGION` 环境变量：`AWS_REGION`
retries 任意在community.hashi_vault 1.3.0中添加	允许根据urllib3库中的Retry类重试错误。此集合定义了重试与Vault连接的推荐默认值。此选项可以指定为正数（整数）或字典。如果未指定此选项或数字为`0`，则禁用重试。数字设置重试的总数，并对其他设置使用集合默认值。字典值直接用于初始化`Retry`类，因此它可以用于完全自定义重试。有关重试的详细信息，请参阅集合用户指南。配置 INI 条目 [hashi_vault_collection] retries = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_RETRIES` 变量：ansible_hashi_vault_retries
retry_action 字符串在community.hashi_vault 1.3.0中添加	控制是否以及如何显示retries的消息。如果没有重试请求，则此选项无效。选项 `"忽略"` `"warn"` ← (默认) 配置 INI 条目 [hashi_vault_collection] retry_action = warn 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_RETRY_ACTION` 变量：ansible_hashi_vault_retry_action
role_id 字符串	Vault角色ID或名称。用于`approle`、`aws_iam`、`azure`和`cert`身份验证方法。对于`cert`身份验证，如果未提供role_id，则默认行为是尝试所有证书角色并返回任何一个匹配的角色。对于`azure`身份验证，需要role_id。配置 INI 条目 [hashi_vault_collection] role_id = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_ROLE_ID` 在 community.hashi_vault 0.2.0 中添加变量：ansible_hashi_vault_role_id 在 community.hashi_vault 1.2.0 中添加
secret_id 字符串	用于Vault AppRole身份验证的密钥ID。配置环境变量：`ANSIBLE_HASHI_VAULT_SECRET_ID` 在 community.hashi_vault 0.2.0 中添加变量：ansible_hashi_vault_secret_id 在 community.hashi_vault 1.2.0 中添加
timeout 整数在community.hashi_vault 1.3.0中添加	设置以秒为单位的连接超时。如果未设置，则使用`hvac`库的默认值。配置 INI 条目 [hashi_vault_collection] timeout = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_TIMEOUT` 变量：ansible_hashi_vault_timeout
token 字符串	Vault令牌。令牌可以显式指定，通过列出的[env]变量指定，也可以通过`VAULT_TOKEN`环境变量指定。如果没有通过显式或环境变量提供令牌，则插件将检查令牌文件，该文件由token_path和token_file确定。令牌加载顺序（先找到先匹配）为`token param -> ansible var -> ANSIBLE_HASHI_VAULT_TOKEN -> VAULT_TOKEN -> token file`。配置环境变量：`ANSIBLE_HASHI_VAULT_TOKEN` 在 community.hashi_vault 0.2.0 中添加变量：ansible_hashi_vault_token 在 community.hashi_vault 1.2.0 中添加
token_file 字符串	如果没有指定令牌，将尝试从token_path中的此文件中读取令牌。默认值： `".vault-token"` 配置 INI 条目 [hashi_vault_collection] token_file = .vault-token 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_TOKEN_FILE` 在 community.hashi_vault 0.2.0 中添加变量：ansible_hashi_vault_token_file 在 community.hashi_vault 1.2.0 中添加
token_path 字符串	如果没有指定令牌，将尝试从此路径读取token_file。配置 INI 条目 [hashi_vault_collection] token_path = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_TOKEN_PATH` 在 community.hashi_vault 0.2.0 中添加变量：ansible_hashi_vault_token_path 在 community.hashi_vault 1.2.0 中添加
token_validate 布尔值在 community.hashi_vault 0.2.0 中添加	对于令牌身份验证，将在使用令牌之前执行`lookup-self`操作以确定令牌的有效性。如果您的令牌没有`lookup-self`功能，请禁用此选项。选项 `false` ← (默认值) `true` 配置 INI 条目 [hashi_vault_collection] token_validate = false 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_TOKEN_VALIDATE` 变量：ansible_hashi_vault_token_validate 在 community.hashi_vault 1.2.0 中添加
url 字符串	Vault服务的URL。如果没有通过其他任何方式指定，则将使用`VAULT_ADDR`环境变量的值。如果`VAULT_ADDR`也未定义，则将引发错误。配置 INI 条目 [hashi_vault_collection] url = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_ADDR` 在 community.hashi_vault 0.2.0 中添加变量：ansible_hashi_vault_url 在 community.hashi_vault 1.2.0 中添加变量：ansible_hashi_vault_addr 在 community.hashi_vault 1.2.0 中添加
username 字符串	身份验证用户名。配置环境变量：`ANSIBLE_HASHI_VAULT_USERNAME` 在 community.hashi_vault 1.2.0 中添加变量：ansible_hashi_vault_username 在 community.hashi_vault 1.2.0 中添加
validate_certs 布尔值	控制SSL证书的验证，大多数情况下只有在使用自签名证书时才需要关闭。如果设置了`VAULT_SKIP_VERIFY`且未显式提供validate_certs，则将使用`VAULT_SKIP_VERIFY`的反值填充。如果既未设置validate_certs也未设置`VAULT_SKIP_VERIFY`，则默认为`true`。选项 `false` `true` 配置变量：ansible_hashi_vault_validate_certs 在 community.hashi_vault 1.2.0 中添加
version 整数	指定要返回的版本。如果未设置，则返回最新版本。

备注 

注意

当关键字参数和位置参数一起使用时，位置参数必须列在关键字参数之前：lookup('community.hashi_vault.vault_kv2_get', term1, term2, key1=value1, key2=value2) 和 query('community.hashi_vault.vault_kv2_get', term1, term2, key1=value1, key2=value2)

另请参阅 

另请参阅

community.hashi_vault.vault_kv2_get: 从HashiCorp Vault的KV版本2密钥存储中获取密钥。
community.hashi_vault.vault_kv1_get lookup: community.hashi_vault.vault_kv1_get lookup插件的官方文档。
community.hashi_vault.vault_kv1_get: 从HashiCorp Vault的KV版本1密钥存储中获取密钥。
community.hashi_vault Lookup指南: 关于在community.hashi_vault中使用查找的指南。
KV2 密钥引擎: Vault KV密钥引擎（版本2）的文档。

示例 

- name: Read a kv2 secret with the default mount point
  ansible.builtin.set_fact:
    response: "{{ lookup('community.hashi_vault.vault_kv2_get', 'hello', url='https://vault:8201') }}"
  # equivalent API path in 3.x.x is kv/data/hello
  # equivalent API path in 4.0.0+ is secret/data/hello

- name: Display the results
  ansible.builtin.debug:
    msg:
      - "Secret: {{ response.secret }}"
      - "Data: {{ response.data }} (contains secret data & metadata in kv2)"
      - "Metadata: {{ response.metadata }}"
      - "Full response: {{ response.raw }}"
      - "Value of key 'password' in the secret: {{ response.secret.password }}"

- name: Read version 5 of a kv2 secret with a different mount point
  ansible.builtin.set_fact:
    response: "{{ lookup('community.hashi_vault.vault_kv2_get', 'hello', version=5, engine_mount_point='custom/kv2/mount', url='https://vault:8201') }}"
  # equivalent API path is custom/kv2/mount/data/hello

- name: Assert that the version returned is as expected
  ansible.builtin.assert:
    that:
      - response.metadata.version == 5

- name: Perform multiple kv2 reads with a single Vault login, showing the secrets
  vars:
    paths:
      - hello
      - my-secret/one
      - my-secret/two
  ansible.builtin.debug:
    msg: "{{ lookup('community.hashi_vault.vault_kv2_get', *paths, auth_method='userpass', username=user, password=pwd)['secret'] }}"

- name: Perform multiple kv2 reads with a single Vault login in a loop
  vars:
    paths:
      - hello
      - my-secret/one
      - my-secret/two
  ansible.builtin.debug:
    msg: '{{ item }}'
  loop: "{{ query('community.hashi_vault.vault_kv2_get', *paths, auth_method='userpass', username=user, password=pwd) }}"

- name: Perform multiple kv2 reads with a single Vault login in a loop (via with_), display values only
  vars:
    ansible_hashi_vault_auth_method: userpass
    ansible_hashi_vault_username: '{{ user }}'
    ansible_hashi_vault_password: '{{ pwd }}'
    ansible_hashi_vault_engine_mount_point: special/kv2
  ansible.builtin.debug:
    msg: '{{ item.values() | list }}'
  with_community.hashi_vault.vault_kv2_get:
    - hello
    - my-secret/one
    - my-secret/two

返回值 

Key	描述
返回值列表 / 元素=字典	针对给定路径的读取结果。返回：成功
data 字典	原始结果的`data`字段。也可以通过`raw.data`访问。返回：成功示例： `{"data": {"Key1": "value1", "Key2": "value2"}, "metadata": {"created_time": "2022-04-21T15:56:58.8525402Z", "custom_metadata": null, "deletion_time": "", "destroyed": false, "version": 2}}`
metadata 字典	`data`字段内的`metadata`字段。等同于`raw.data.metadata`。返回：成功示例： `{"created_time": "2022-04-21T15:56:58.8525402Z", "custom_metadata": null, "deletion_time": "", "destroyed": false, "version": 2}`
raw 字典	针对给定路径的读取的原始结果。返回：成功示例： `{"auth": null, "data": {"data": {"Key1": "value1", "Key2": "value2"}, "metadata": {"created_time": "2022-04-21T15:56:58.8525402Z", "custom_metadata": null, "deletion_time": "", "destroyed": false, "version": 2}}, "lease_duration": 0, "lease_id": "", "renewable": false, "request_id": "dc829675-9119-e831-ae74-35fc5d33d200", "warnings": null, "wrap_info": null}`
secret 字典	`data`字段内的`data`字段。等同于`raw.data.data`。返回：成功示例： `{"Key1": "value1", "Key2": "value2"}`

作者

Brian Scholer (@briantist)

提示

每个条目类型的配置项具有从低到高的优先级顺序。例如，列表中优先级较低的变量将覆盖优先级较高的变量。

community.hashi_vault.vault_kv2_get 查询 – 从 HashiCorp Vault 的 KV 版本 2 密钥存储中获取密钥

概要 

要求 

术语 

关键字参数 

备注 

另请参阅 

示例 

返回值 

作者

资源链接