community.hashi_vault.vault_login lookup – 对 HashiCorp Vault 执行登录操作
注意
此 lookup 插件是 community.hashi_vault 集合 (版本 6.2.0) 的一部分。
如果您使用的是 ansible 包,则可能已经安装了此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list。
要安装它,请使用:ansible-galaxy collection install community.hashi_vault。您需要其他要求才能使用此 lookup 插件,有关详细信息,请参阅 要求。
要在 playbook 中使用它,请指定:community.hashi_vault.vault_login。
community.hashi_vault 2.2.0 中的新增功能
概要
对 HashiCorp Vault 中的给定路径执行登录操作,返回登录响应,包括令牌。
要求
以下要求是在执行此 lookup 的本地控制器节点上需要的。
术语
参数 |
注释 |
|---|---|
此参数未使用,任何提供的术语都将被忽略。 |
关键字参数
此部分描述了 lookup 的关键字参数。这些是在以下示例中的值 key1=value1、key2=value2 等:lookup('community.hashi_vault.vault_login', key1=value1, key2=value2, ...) 和 query('community.hashi_vault.vault_login', key1=value1, key2=value2, ...)
参数 |
注释 |
|---|---|
要使用的身份验证方法。
选项
配置
|
|
如果指定,则将值设置为用于 配置
|
|
如果使用临时访问密钥和秘密密钥,则为AWS安全令牌。 配置
|
|
Azure AD服务主体或托管身份的客户端ID(也称为应用程序ID)。应为UUID。 如果未指定,将使用系统分配的托管身份。 配置
|
|
Azure AD服务主体的客户端密钥。 配置
|
|
在Azure Active Directory中注册的应用程序的资源URL。通常不应该更改默认值。 默认值: 配置
|
|
服务主体的Azure Active Directory租户ID(也称为目录ID)。应为UUID。 当使用服务主体对Vault进行身份验证时需要,例如,当同时指定了azure_client_id和azure_client_secret时需要。 当使用托管身份对Vault进行身份验证时,则为可选。 配置
|
|
用于身份验证的证书路径。 如果未通过任何其他方式指定,则将使用 配置
|
|
对于 配置
|
|
对于 配置
|
|
Vault挂载点。 如果未指定,则使用给定身份验证方法的默认挂载点。 不适用于令牌身份验证。 配置
|
|
秘密所在的Vault命名空间。此选项需要HVAC 0.7.0+和Vault 0.11+。 或者,可以通过在身份验证挂载点和/或秘密路径前添加命名空间来实现(例如 如果设置了环境变量 配置
|
|
身份验证密码。 配置
|
|
用于访问Vault服务的代理的URL。 它可以是字符串或字典。 如果是字典,请提供方案(例如 如果是字符串,请提供一个URL,该URL将用作 可以解释为字典的字符串将转换为字典(参见示例)。 您可以为HTTP和HTTPS资源指定不同的代理。 如果未指定,则使用Requests库中的环境变量。 配置
|
|
允许根据urllib3库中的Retry类重试错误。 此集合定义了重试与Vault连接的推荐默认值。 此选项可以指定为正数(整数)或字典。 如果未指定此选项或数字为 数字设置总重试次数,并使用集合默认值进行其他设置。 字典值直接用于初始化 有关重试的详细信息,请参见集合用户指南。 配置
|
|
控制是否以及如何显示retries的消息。 如果未重试请求,则此项无效。 选项
配置
|
|
Vault角色ID或名称。用于 对于 对于 配置
|
|
用于Vault AppRole身份验证的密钥ID。 配置
|
|
设置连接超时(秒)。 如果未设置,则使用 配置
|
|
Vault令牌。令牌可以通过列出的[env]变量显式指定,也可以通过 如果未显式或通过env提供令牌,则插件将检查令牌文件,该文件由token_path和token_file确定。 令牌加载顺序(先到先得)为 配置
|
|
如果没有指定令牌,将尝试从token_path中的此文件中读取令牌。 默认值: 配置
|
|
如果没有指定令牌,将尝试从此路径读取token_file。 配置
|
|
对于令牌身份验证,将在使用令牌之前执行 如果您的令牌不具备 选项
配置
|
|
Vault 服务的 URL。 如果未通过任何其他方式指定,则将使用 如果 配置
|
|
身份验证用户名。 配置
|
|
控制 SSL 证书的验证和确认,大多数情况下,只有在使用自签名证书时才需要关闭。 如果设置了 如果既未设置validate_certs也未设置 选项
配置
|
备注
注意
当同时使用关键字参数和位置参数时,必须先列出位置参数,然后再列出关键字参数:
lookup('community.hashi_vault.vault_login', term1, term2, key1=value1, key2=value2)和query('community.hashi_vault.vault_login', term1, term2, key1=value1, key2=value2)此查找不使用 term 字符串,并且在循环中无法正常工作。只会返回单个响应。
登录是一个写入操作(创建持久保存到存储的令牌),因此此模块始终报告
changed=True,除非与token身份验证一起使用,因为在这种情况下不会创建新的令牌。但是,出于 Ansible playbook 的目的,如果您对目标系统进行幂等性检查,则设置changed_when=false可能更有用。none身份验证方法对该插件无效,因为没有响应可以返回。使用
token身份验证时,不会执行实际的登录操作。相反,给定令牌的附加信息将以类似于登录响应的结构返回。token身份验证方法只有在 *token_validate=True* 时才会返回完整信息。如果令牌不具备lookup-self功能,则会失败。如果 *token_validate=False*,则只有令牌值本身将以结构形式返回。
另请参阅
另请参阅
- community.hashi_vault.vault_login
对 HashiCorp Vault 执行登录操作。
- community.hashi_vault.vault_login_token 过滤器
community.hashi_vault.vault_login_token过滤器插件的官方文档。
示例
- name: Set a fact with a lookup result
set_fact:
login_data: "{{ lookup('community.hashi_vault.vault_login', url='https://vault', auth_method='userpass', username=user, password=pwd) }}"
- name: Retrieve an approle role ID (token via filter)
community.hashi_vault.vault_read:
url: https://vault:8201
auth_method: token
token: '{{ login_data | community.hashi_vault.vault_login_token }}'
path: auth/approle/role/role-name/role-id
register: approle_id
- name: Retrieve an approle role ID (token via direct dict access)
community.hashi_vault.vault_read:
url: https://vault:8201
auth_method: token
token: '{{ login_data.auth.client_token }}'
path: auth/approle/role/role-name/role-id
register: approle_id
返回值
键 |
描述 |
|---|---|
使用给定身份验证方法登录的结果。 返回:成功 |
|
登录响应的 返回:成功 |
|
包含登录操作提供的令牌(或 *auth_method=token* 时输入的令牌)。 返回:成功 |
|
登录响应的 返回:成功,如果可用 |