community.hashi_vault.vault_token_create 模块 – 创建 HashiCorp Vault 令牌

注意

此模块是 community.hashi_vault 集合 (版本 6.2.0) 的一部分。

如果您使用的是 ansible 包,则可能已安装此集合。它不包含在 ansible-core 中。要检查是否已安装它,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install community.hashi_vault。要使用此模块,您需要满足其他要求,有关详细信息,请参阅 要求

要在 playbook 中使用它,请指定:community.hashi_vault.vault_token_create

community.hashi_vault 2.3.0 中的新增功能

摘要

  • 在 HashiCorp Vault 中创建一个令牌,返回响应,包括令牌。

要求

在执行此模块的主机上需要以下要求。

参数

参数

注释

auth_method

字符串

要使用的身份验证方法。

none 身份验证方法是在集合版本 1.2.0 中添加的。

cert 身份验证方法是在集合版本 1.4.0 中添加的。

aws_iam_login 在集合版本 2.1.0 中重命名为 aws_iam,并在 3.0.0 中移除。

azure 身份验证方法是在集合版本 3.2.0 中添加的。

选项

  • "token" ← (默认)

  • "userpass"

  • "ldap"

  • "approle"

  • "aws_iam"

  • "azure"

  • "jwt"

  • "cert"

  • "none"

aws_access_key

别名:aws_access_key_id

字符串

要使用的 AWS 访问密钥。

aws_iam_server_id

字符串

在 community.hashi_vault 0.2.0 中添加

如果指定,则将值设置为用于 X-Vault-AWS-IAM-Server-ID 标头,作为 GetCallerIdentity 请求的一部分。

aws_profile

别名:boto_profile

字符串

AWS 配置文件

aws_secret_key

别名:aws_secret_access_key

字符串

与访问密钥对应的 AWS 密钥。

aws_security_token

字符串

如果使用临时访问密钥和密钥,则为 AWS 安全令牌。

azure_client_id

字符串

在 community.hashi_vault 3.2.0 中添加

Azure AD 服务主体或托管身份的客户端 ID(也称为应用程序 ID)。应该是 UUID。

如果未指定,将使用系统分配的托管身份。

azure_client_secret

字符串

在 community.hashi_vault 3.2.0 中添加

Azure AD 服务主体的客户端密钥。

azure_resource

字符串

在 community.hashi_vault 3.2.0 中添加

在 Azure Active Directory 中注册的应用程序的资源 URL。通常不应该更改默认值。

默认值: "https://management.azure.com/"

azure_tenant_id

字符串

在 community.hashi_vault 3.2.0 中添加

服务主体的 Azure Active Directory 租户 ID(也称为目录 ID)。应该是 UUID。

使用服务主体对 Vault 进行身份验证时需要,例如,当同时指定 *azure_client_id* 和 *azure_client_secret* 时需要。

使用托管身份对 Vault 进行身份验证时可选。

ca_cert

别名:cacert

字符串

用于身份验证的证书路径。

如果未通过其他任何方式指定,则将使用VAULT_CACERT环境变量。

cert_auth_private_key

路径

在community.hashi_vault 1.4.0中添加

对于cert身份验证,用于身份验证的私钥文件路径,PEM格式。

cert_auth_public_key

路径

在community.hashi_vault 1.4.0中添加

对于cert身份验证,用于身份验证的证书文件路径,PEM格式。

display_name

字符串

令牌的显示名称。

entity_alias

字符串

在令牌创建期间关联的实体别名名称。

仅与role_name选项结合使用,并且使用的实体别名必须列在allowed_entity_aliases中。

如果已指定此项,则不会从父级继承实体。

explicit_max_ttl

字符串

如果设置,则令牌将设置明确的最大TTL。

此最大令牌TTL之后无法更改,并且与普通令牌不同,系统/挂载点最大TTL值的更新在续期时不会生效。

令牌永远无法续期或在发行时设置的值之后使用。

id

字符串

客户端令牌的ID。只能由根令牌指定。

提供的ID不能包含.字符。

否则,令牌ID是一个随机生成的值。

jwt

字符串

用于JWT身份验证到Vault的JSON Web令牌(JWT)。

meta

字典

字符串到字符串值元数据的字典。这将传递到审计设备。

mount_point

字符串

Vault挂载点。

如果未指定,则使用给定身份验证方法的默认挂载点。

不适用于令牌身份验证。

namespace

字符串

Vault中秘密所在的命名空间。此选项需要HVAC 0.7.0+和Vault 0.11+。

或者,这可以通过在身份验证挂载点和/或秘密路径前加上命名空间来实现(例如mynamespace/secret/mysecret)。

如果设置了环境变量VAULT_NAMESPACE,则其值将在所有指定namespace的方法中最后使用。

no_default_policy

布尔值

如果为true,则此令牌的策略集中将不包含默认策略。

如果将此令牌与该集合一起使用,请设置token_validate=false

选项

  • false

  • true

no_parent

布尔值

此选项仅在由rootsudo调用者使用且orphan=false时有效。

true时,创建的令牌将没有父级。

选项

  • false

  • true

num_uses

整数

给定令牌的最大使用次数。这可以用来创建一个一次性令牌或有限使用令牌。

0的值对使用次数没有限制。

orphan

布尔值

true时,使用/create-orphan API端点,这需要sudo(但不需要root)来创建孤儿。

对于hvac>=1.0.0,需要集合版本>=3.3.0

选项

  • false ← (默认)

  • true

password

字符串

身份验证密码。

period

字符串

如果指定,则令牌将是周期性的。

它将没有最大TTL(除非也设置了explicit_max_ttl),但每次续期都将使用给定的周期。

需要根令牌或具有sudo能力的令牌。

policies

列表 / 元素=字符串

令牌的策略列表。这必须是属于发出请求的令牌的策略的子集,除非是根令牌。

如果未指定,则默认为调用令牌的所有策略。

proxies

任意

在community.hashi_vault 1.1.0中添加

用于访问Vault服务的代理的URL。

它可以是字符串或字典。

如果是字典,请提供方案(例如httphttps)作为键,并将URL作为值。

如果是字符串,则提供一个URL,该URL将用作httphttps方案的代理。

可以解释为字典的字符串将转换为字典(参见示例)。

您可以为HTTP和HTTPS资源指定不同的代理。

如果未指定,则使用Requests库的环境变量

region

字符串

要创建连接的AWS区域。

renewable

布尔值

设置为false以禁用令牌在其初始TTL之后续期的能力。

将值设置为true将允许令牌续期,直到系统/挂载点的最大TTL。

选项

  • false

  • true

retries

任意

在community.hashi_vault 1.3.0中添加

允许根据urllib3库中的Retry类重试错误。

此集合定义了重试与Vault连接的推荐默认值。

此选项可以指定为正数(整数)或字典。

如果未指定此选项或数字为0,则禁用重试。

一个数字设置重试的总次数,并使用集合默认值进行其他设置。

字典值直接用于初始化Retry类,因此它可以用于完全自定义重试。

有关重试的详细信息,请参见集合用户指南。

retry_action

字符串

在community.hashi_vault 1.3.0中添加

控制是否以及如何显示retries的消息。

如果未重试请求,则此选项无效。

选项

  • "忽略"

  • "警告" ← (默认)

role_id

字符串

Vault角色ID或名称。用于approleaws_iamazurecert身份验证方法。

对于cert身份验证,如果没有提供role_id,则默认行为是尝试所有证书角色并返回任何一个匹配的角色。

对于azure身份验证,需要role_id

role_name

字符串

令牌角色的名称。如果使用,则将针对指定的角色名称创建令牌,这可能会覆盖在此调用期间设置的选项。

secret_id

字符串

用于Vault AppRole身份验证的秘密ID。

timeout

整数

在community.hashi_vault 1.3.0中添加

设置连接超时(以秒为单位)。

如果未设置,则使用hvac库的默认值。

token

字符串

Vault令牌。令牌可以通过列出的[env]变量,也可以通过VAULT_TOKEN环境变量明确指定。

如果没有通过env明确提供令牌,则插件将检查令牌文件,由token_pathtoken_file确定。

令牌加载顺序(先找到先赢)是token param -> ansible var -> ANSIBLE_HASHI_VAULT_TOKEN -> VAULT_TOKEN -> token file

token_file

字符串

如果未指定令牌,将尝试从token_path中的此文件读取令牌。

默认: ".vault-token"

token_path

字符串

如果未指定令牌,将尝试从此路径读取token_file

token_validate

布尔值

在 community.hashi_vault 0.2.0 中添加

对于令牌身份验证,将执行lookup-self操作以确定令牌的有效性后再使用它。

如果您的令牌没有lookup-self功能,请禁用它。

选项

  • false ← (默认)

  • true

ttl

字符串

令牌的TTL周期,例如1h,其中小时是最大的后缀。

如果未提供,则令牌对默认租约TTL有效,如果使用根策略,则无限期有效。

type

字符串

令牌类型。默认值由role_name指定的规则配置确定。

选项

  • "批处理"

  • "服务"

url

字符串

Vault服务的URL。

如果未通过其他任何方式指定,则将使用VAULT_ADDR环境变量的值。

如果VAULT_ADDR也未定义,则将引发错误。

username

字符串

身份验证用户名。

validate_certs

布尔值

控制SSL证书的验证和验证,大多数情况下,您只希望关闭自签名证书。

如果设置了VAULT_SKIP_VERIFY且未明确提供validate_certs,则将填充VAULT_SKIP_VERIFY的反值。

如果既未设置validate_certs也未设置VAULT_SKIP_VERIFY,则默认为true

选项

  • false

  • true

wrap_ttl

字符串

指定具有持续时间的响应包装令牌创建。例如15s20m25h

属性

属性

支持

描述

action_group

动作组: community.hashi_vault.vault

module_defaults 中使用 group/community.hashi_vault.vault 设置此模块的默认值。

检查模式

支持:部分

在检查模式下,此模块不会创建令牌,而是返回一个带有空令牌的基本结构。但是,如果后续任务需要令牌,这可能没用。

最好使用 `check_mode=false` 来运行此模块,以便获得可用的有效令牌。

可以在 check_mode 下运行,并在不修改目标的情况下返回更改状态预测。

备注

注意

  • 令牌创建是一个写入操作(创建持久化到存储的令牌),因此此模块始终报告 changed=True

  • 但是,对于 Ansible playbook,如果您正在对目标系统进行幂等性检查,则设置 `changed_when=false` 可能更有用。

另请参阅

另请参阅

community.hashi_vault.vault_token_create 查询

community.hashi_vault.vault_token_create 查询插件的官方文档。

community.hashi_vault.vault_login

对 HashiCorp Vault 执行登录操作。

community.hashi_vault.vault_login 查询

community.hashi_vault.vault_login 查询插件的官方文档。

community.hashi_vault.vault_login_token 过滤器

community.hashi_vault.vault_login_token 过滤器插件的官方文档。

示例

- name: Login via userpass and create a child token
  community.hashi_vault.vault_token_create:
    url: https://vault:8201
    auth_method: userpass
    username: user
    password: '{{ passwd }}'
  register: token_data

- name: Retrieve an approle role ID using the child token (token via filter)
  community.hashi_vault.vault_read:
    url: https://vault:8201
    auth_method: token
    token: '{{ token_data | community.hashi_vault.vault_login_token }}'
    path: auth/approle/role/role-name/role-id
  register: approle_id

- name: Retrieve an approle role ID using the child token (token via direct dict access)
  community.hashi_vault.vault_read:
    url: https://vault:8201
    auth_method: token
    token: '{{ token_data.login.auth.client_token }}'
    path: auth/approle/role/role-name/role-id
  register: approle_id

# implicitly uses token auth with a token from the environment
- name: Create an orphaned token with a short TTL
  community.hashi_vault.vault_token_create:
    url: https://vault:8201
    orphan: true
    ttl: 60s
  register: token_data

- name: Display the full response
  ansible.builtin.debug:
    var: token_data.login

返回值

常见的返回值已在 此处 记录,以下是此模块特有的字段

描述

login

字典

令牌创建操作的结果。

返回:成功

示例:{"auth": {"client_token": "s.rlwajI2bblHAWU7uPqZhLru3"}, "data": null}

auth

字典

令牌响应的 auth 成员。

返回:成功

client_token

字符串

包含新创建的令牌。

返回:成功

data

字典

令牌响应的 data 成员。

返回:成功(如果可用)

作者

  • Brian Scholer (@briantist)