community.hashi_vault.vault_login 模块 – 执行 HashiCorp Vault 的登录操作
注意
此模块是 community.hashi_vault 集合(版本 6.2.0)的一部分。
如果您正在使用 ansible 包,您可能已经安装了此集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list。
要安装它,请使用:ansible-galaxy collection install community.hashi_vault。您需要进一步的要求才能使用此模块,请参阅 要求 了解详细信息。
要在 playbook 中使用它,请指定:community.hashi_vault.vault_login。
community.hashi_vault 2.2.0 中的新增功能
概要
针对 HashiCorp Vault 中的给定路径执行登录操作,返回登录响应,包括令牌。
要求
执行此模块的主机上需要以下要求。
参数
参数 |
注释 |
|---|---|
要使用的身份验证方法。
选择
|
|
要使用的 AWS 访问密钥。 |
|
如果指定,则设置 |
|
AWS 配置文件 |
|
与访问密钥对应的 AWS 密钥。 |
|
如果使用临时访问密钥和密钥,则为 AWS 安全令牌。 |
|
Azure AD 服务主体或托管标识的客户端 ID(也称为应用程序 ID)。应为 UUID。 如果未指定,将使用系统分配的托管标识。 |
|
Azure AD 服务主体的客户端密钥。 |
|
在 Azure Active Directory 中注册的应用程序的资源 URL。通常不应更改默认值。 默认值: |
|
服务主体的 Azure Active Directory 租户 ID(也称为目录 ID)。应为 UUID。 使用服务主体向 Vault 进行身份验证时是必需的,例如,当同时指定了 *azure_client_id* 和 *azure_client_secret* 时是必需的。 当使用托管标识向 Vault 进行身份验证时是可选的。 |
|
用于身份验证的证书的路径。 如果没有通过任何其他方式指定,则将使用 |
|
对于 |
|
对于 |
|
用于 JWT 向 Vault 进行身份验证的 JSON Web 令牌 (JWT)。 |
|
Vault 挂载点。 如果未指定,则使用给定身份验证方法的默认挂载点。 不适用于令牌身份验证。 |
|
存储机密的 Vault 命名空间。此选项需要 HVAC 0.7.0+ 和 Vault 0.11+。 或者,可以通过使用命名空间前缀身份验证挂载点和/或机密路径来实现此目的(例如 如果设置了环境变量 |
|
认证密码。 |
|
用于访问 Vault 服务的代理 URL。 它可以是字符串或字典。 如果是字典,请将方案(例如 如果是字符串,请提供一个将同时用作 可以解释为字典的字符串将被转换为字典(请参见示例)。 您可以为 HTTP 和 HTTPS 资源指定不同的代理。 如果未指定,则使用Requests 库中的环境变量。 |
|
要创建连接的 AWS 区域。 |
|
允许基于 urllib3 库中的 Retry 类在错误时进行重试。 此集合为重试与 Vault 的连接定义了建议的默认值。 此选项可以指定为正数(整数)或字典。 如果未指定此选项或数字为 数字设置重试总次数,并对其他设置使用集合默认值。 字典值直接用于初始化 有关重试的详细信息,请参阅集合用户指南。 |
|
控制是否以及如何显示有关重试的消息。 如果未重试请求,则此项无效。 选择
|
|
Vault 角色 ID 或名称。用于 对于 对于 |
|
用于 Vault AppRole 身份验证的 Secret ID。 |
|
设置连接超时时间(以秒为单位)。 如果未设置,则使用 |
|
Vault 令牌。令牌可以通过列出的 [env] 变量显式指定,也可以通过 如果没有显式或通过环境变量提供令牌,则插件将检查令牌文件,具体取决于 _token_path_ 和 _token_file_ 的设置。 令牌加载的顺序(先找到的优先)是 |
|
如果未指定令牌,将尝试从 _token_path_ 中的此文件读取令牌。 默认值: |
|
如果未指定令牌,将尝试从此路径读取 _token_file_。 |
|
对于令牌身份验证,将执行 如果您的令牌不具备 选择
|
|
Vault 服务的 URL。 如果未通过任何其他方式指定,则将使用 如果也未定义 |
|
身份验证用户名。 |
|
控制 SSL 证书的验证和有效性,通常只在您使用自签名证书时才需要关闭此项。 如果设置了 如果未设置 _validate_certs_ 或 选择
|
属性
属性 |
支持 |
描述 |
|---|---|---|
操作组: community.hashi_vault.vault |
在 |
|
支持: 部分 在检查模式下,此模块不会执行登录,而是返回一个带有空令牌的基本结构。但是,如果后续任务需要令牌,这可能没什么用。 为了获得可以使用的有效令牌,最好在 |
可以在 |
备注
注意
登录是写入操作(创建一个持久存储的令牌),因此此模块始终报告
changed=True,除非与token身份验证一起使用,因为在这种情况下不会创建新令牌。但是,对于 Ansible playbook 而言,如果您正在针对目标系统执行幂等性检查,则设置changed_when=false可能更有用。none身份验证方法对此模块无效,因为没有响应可以返回。使用
token身份验证时,不会执行实际的登录。相反,给定令牌的附加信息将返回到一个类似于登录响应的结构中。只有当 _token_validate=True_ 时,
token身份验证方法才会返回完整信息。如果令牌不具备lookup-self功能,则会失败。如果 _token_validate=False_,则只会在结构中返回令牌值本身。
另请参阅
另请参阅
- community.hashi_vault.vault_login lookup
community.hashi_vault.vault_login查找插件的官方文档。- community.hashi_vault.vault_login_token filter
community.hashi_vault.vault_login_token过滤器插件的官方文档。
示例
- name: Login and use the resulting token
community.hashi_vault.vault_login:
url: https://vault:8201
auth_method: userpass
username: user
password: '{{ passwd }}'
register: login_data
- name: Retrieve an approle role ID (token via filter)
community.hashi_vault.vault_read:
url: https://vault:8201
auth_method: token
token: '{{ login_data | community.hashi_vault.vault_login_token }}'
path: auth/approle/role/role-name/role-id
register: approle_id
- name: Retrieve an approle role ID (token via direct dict access)
community.hashi_vault.vault_read:
url: https://vault:8201
auth_method: token
token: '{{ login_data.login.auth.client_token }}'
path: auth/approle/role/role-name/role-id
register: approle_id
返回值
常见的返回值记录在此处,以下是此模块独有的字段
键 |
描述 |
|---|---|
针对给定的身份验证方法登录的结果。 返回:成功 |
|
登录响应的 返回:成功 |
|
包含登录操作提供的令牌(或当 _auth_method=token_ 时的输入令牌)。 返回:成功 |
|
登录响应的 返回:成功时可用 |