community.hashi_vault.vault_write 模块 – 对 HashiCorp Vault 执行写入操作
注意
此模块是 community.hashi_vault 集合 (版本 6.2.0) 的一部分。
如果您使用的是 ansible 包,则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list。
要安装它,请使用:ansible-galaxy collection install community.hashi_vault。您需要其他要求才能使用此模块,有关详细信息,请参阅 要求。
要在 playbook 中使用它,请指定:community.hashi_vault.vault_write。
community.hashi_vault 2.4.0 中的新增功能
概要
对 HashiCorp Vault 中给定路径执行通用写入操作,并返回任何输出。
要求
执行此模块的主机需要以下要求。
参数
参数 |
注释 |
|---|---|
要使用的身份验证方法。
选项
|
|
要使用的 AWS 访问密钥。 |
|
如果指定,则将值设置为用于 |
|
AWS 配置文件 |
|
与访问密钥对应的 AWS 密钥。 |
|
如果使用临时访问密钥和密钥,则为 AWS 安全令牌。 |
|
Azure AD 服务主体或托管身份的客户端 ID(也称为应用程序 ID)。应该是 UUID。 如果未指定,将使用系统分配的托管身份。 |
|
Azure AD 服务主体的客户端密钥。 |
|
在 Azure Active Directory 中注册的应用程序的资源 URL。通常不应更改默认值。 默认值: |
|
服务主体的 Azure Active Directory 租户 ID(也称为目录 ID)。应该是 UUID。 使用服务主体向 Vault 进行身份验证时需要,例如,当同时指定 azure_client_id 和 azure_client_secret 时需要。 使用托管身份向 Vault 进行身份验证时可选。 |
|
用于身份验证的证书的路径。 如果没有通过任何其他方式指定,则将使用 |
|
对于 |
|
对于 |
|
要序列化为 JSON 然后作为请求正文发送的字典。 如果字典包含名为 默认值: |
|
用于 JWT 身份验证到 Vault 的 JSON Web 令牌 (JWT)。 |
|
Vault 挂载点。 如果未指定,则使用给定身份验证方法的默认挂载点。 不适用于令牌身份验证。 |
|
秘密所在的 Vault 命名空间。此选项需要 HVAC 0.7.0+ 和 Vault 0.11+。 或者,可以通过使用命名空间作为身份验证挂载点和/或秘密路径的前缀来实现此目的(例如 如果设置了环境变量 |
|
身份验证密码。 |
|
要写入的 Vault 路径。 |
|
用于访问 Vault 服务的代理的 URL。 它可以是字符串或字典。 如果是字典,请提供方案(例如 如果是字符串,请提供一个将用作 可以解释为字典的字符串将转换为字典(参见示例)。 您可以为 HTTP 和 HTTPS 资源指定不同的代理。 如果未指定,则使用Requests 库中的环境变量。 |
|
要为其创建连接的 AWS 区域。 |
|
允许根据urllib3 库中的 Retry 类重试错误。 此集合定义了重试与 Vault 建立连接的推荐默认值。 此选项可以指定为正数(整数)或字典。 如果未指定此选项或数字为 数字设置重试的总数,并对其他设置使用集合默认值。 字典值直接用于初始化 有关重试的详细信息,请参阅集合用户指南。 |
|
控制是否以及如何显示retries的消息。 如果未重试请求,则此选项无效。 选项
|
|
Vault 角色 ID 或名称。用于 对于 对于 |
|
用于 Vault AppRole 身份验证的秘密 ID。 |
|
设置连接超时(秒)。 如果未设置,则使用 |
|
Vault 令牌。可以通过列出的[env]变量、 如果没有通过显式方式或环境变量提供令牌,则插件将检查令牌文件,该文件由token_path和token_file确定。 令牌加载顺序(先找到先使用)为 |
|
如果没有指定令牌,将尝试从token_path中的此文件读取令牌。 默认值: |
|
如果没有指定令牌,将尝试从此路径读取token_file。 |
|
对于令牌身份验证,将执行 如果您的令牌没有 选项
|
|
Vault 服务的 URL。 如果没有通过任何其他方式指定,则将使用 如果 |
|
身份验证用户名。 |
|
控制 SSL 证书的验证和确认,大多数情况下,只有在使用自签名证书时才需要关闭。 如果设置了 如果既未设置validate_certs也未设置 选项
|
|
指定具有持续时间的响应包装令牌创建。例如 |
属性
属性 |
支持 |
描述 |
|---|---|---|
动作组: community.hashi_vault.vault |
在 |
|
支持:部分 在检查模式下,将返回空响应,并且不会执行写入操作。 |
可以在 |
备注
注意
vault_write是一个通用模块,用于执行尚未有专用模块的操作。如果存在专用模块,则应使用专用模块。data选项不被视为秘密,可能会被记录。如果data包含敏感值,请使用
no_log关键字。此模块始终报告
changed状态,因为它无法保证幂等性。在已知操作不会更改状态的情况下,使用
changed_when进行控制。
另请参阅
另请参阅
- community.hashi_vault.vault_write 查询
community.hashi_vault.vault_write查询插件的官方文档。- community.hashi_vault.vault_read
对 HashiCorp Vault 执行读取操作。
- community.hashi_vault.vault_read 查询
community.hashi_vault.vault_read查询插件的官方文档。
示例
- name: Write a value to the cubbyhole via the remote host with userpass auth
community.hashi_vault.vault_write:
url: https://vault:8201
path: cubbyhole/mysecret
data:
key1: val1
key2: val2
auth_method: userpass
username: user
password: '{{ passwd }}'
register: result
- name: Display the result of the write (this can be empty)
ansible.builtin.debug:
msg: "{{ result.data }}"
- name: Write secret to Vault using key value V2 engine
community.hashi_vault.vault_write:
path: secret/data/mysecret
data:
data:
key1: val1
key2: val2
- name: Retrieve an approle role ID from Vault via the remote host
community.hashi_vault.vault_read:
url: https://vault:8201
path: auth/approle/role/role-name/role-id
register: approle_id
- name: Generate a secret-id for the given approle
community.hashi_vault.vault_write:
url: https://vault:8201
path: auth/approle/role/role-name/secret-id
register: secret_id
- name: Display the role ID and secret ID
ansible.builtin.debug:
msg:
- "role-id: {{ approle_id.data.data.role_id }}"
- "secret-id: {{ secret_id.data.data.secret_id }}"
返回值
常见的返回值已在此处记录,以下是此模块特有的字段
键 |
描述 |
|---|---|
对给定路径进行写入操作的原始结果。 返回:成功 |