community.sops.decrypt 过滤器 – 解密 SOPS 加密的数据

注意

此过滤器插件是 community.sops 集合（版本 2.0.0）的一部分。

如果您正在使用 ansible 包，您可能已经安装了此集合。它不包含在 ansible-core 中。要检查是否已安装，请运行 ansible-galaxy collection list。

要安装它，请使用：ansible-galaxy collection install community.sops。您需要其他要求才能使用此过滤器插件，请参阅 要求 了解详情。

要在 playbook 中使用它，请指定：community.sops.decrypt。

community.sops 1.1.0 中的新功能

概要

• 解密 SOPS 加密的数据。

• 允许解密由任意来源提供的数据。

• 请注意，由于 Ansible 惰性求值表达式，最好使用 ansible.builtin.set_fact 将求值结果存储在 fact 中，以避免每次使用表达式时都重新计算该值。

要求

以下要求需要在执行此过滤器的本地控制器节点上满足。

• 二进制可执行文件 sops（https://github.com/getsops/sops）必须存在于 PATH 中，或者配置为 sops_binary。

输入

这描述了过滤器的输入，即 | community.sops.decrypt 之前的值。

参数	注释
输入 字符串 / 必需	要解密的数据。

关键字参数

这描述了过滤器的关键字参数。这些是以下示例中的值 key1=value1、key2=value2 等：input | community.sops.decrypt(key1=value1, key2=value2, ...)

参数	注释
age_key 字符串 在 community.sops 1.4.0 中添加	一个或多个可用于解密加密文件的 age 私钥。 在调用 SOPS 时，将设置为 SOPS_AGE_KEY 环境变量。 需要 SOPS 3.7.1+。
age_keyfile 路径 在 community.sops 1.4.0 中添加	包含 SOPS 可用于解密加密文件的 age 私钥的文件。 在调用 SOPS 时，将设置为 SOPS_AGE_KEY_FILE 环境变量。 默认情况下，SOPS 会在您的用户配置目录中查找 sops/age/keys.txt。 需要 SOPS 3.7.0+。
aws_access_key_id 字符串 在 community.sops 1.0.0 中添加	用于向 AWS 发出请求的 AWS 访问密钥 ID。 为 SOPS 调用设置环境变量 AWS_ACCESS_KEY_ID。
aws_profile 字符串 在 community.sops 1.0.0 中添加	用于向 AWS 发出请求的 AWS 配置文件。 这对应于 SOPS --aws-profile 选项。
aws_secret_access_key 字符串 在 community.sops 1.0.0 中添加	用于向 AWS 发出请求的 AWS 秘密访问密钥。 为 SOPS 调用设置环境变量 AWS_SECRET_ACCESS_KEY。
aws_session_token 字符串 在 community.sops 1.0.0 中添加	用于向 AWS 发出请求的 AWS 会话令牌。 为 SOPS 调用设置环境变量 AWS_SESSION_TOKEN。
config_path 路径 在 community.sops 1.0.0 中添加	SOPS 配置文件的路径。 如果未设置，SOPS 将从加密或解密的文件开始递归搜索配置文件。 这对应于 SOPS --config 选项。
decode_output 布尔值	是否将输出解码为字节。 当 output_type=binary，且已知该文件不包含 UTF-8 编码文本时，最好将其设置为 false，以防止使用 UTF-8 解码来损坏数据。 选项 false true ← (默认)
enable_local_keyservice 布尔值 在 community.sops 1.0.0 中添加	告诉 SOPS 使用本地密钥服务。 这对应于 SOPS 的 --enable-local-keyservice 选项。 选项 false ← (默认) true
input_type 字符串	告诉 SOPS 如何解释加密数据。 由于我们没有文件名，因此没有自动检测。默认情况下，SOPS 被告知将输入视为 YAML。如果这是错误的，请将此选项设置为正确的值。 自从 community.sops 1.9.0 版本起，可以使用值 ini。 选项 "binary" "json" "yaml" ← (默认) "dotenv" "ini"
keyservice 列表 / 元素=字符串 在 community.sops 1.0.0 中添加	指定要使用的除本地服务之外的密钥服务。 密钥服务必须以 protocol://address 的形式指定，例如 tcp://myserver.com:5000。 这对应于 SOPS 的 --keyservice 选项。
output_type 字符串	告诉 SOPS 如何解释解密后的文件。 请注意，输出始终是文本或字节，具体取决于 decode_output 的值。 要解析生成的 JSON 或 YAML，请使用相应的过滤器，例如 ansible.builtin.from_json 和 ansible.builtin.from_yaml。 自从 community.sops 1.9.0 版本起，可以使用值 ini。 选项 "binary" "json" "yaml" ← (默认) "dotenv" "ini"
rstrip 布尔值	是否删除尾随的换行符和空格。 选项 false true ← (默认)
sops_binary 路径 在 community.sops 1.0.0 中添加	SOPS 二进制文件的路径。 默认情况下使用 sops。

另请参阅

另请参阅

community.sops.sops 查找插件

读取 SOPS 加密文件的内容。

community.sops.sops 变量插件

加载 SOPS 加密的变量文件。

community.sops.load_vars

从文件中动态加载 SOPS 加密的变量。

示例

- name: Decrypt file fetched from URL
  hosts: localhost
  gather_facts: false
  tasks:
    - name: Fetch file from URL
      ansible.builtin.uri:
        url: https://raw.githubusercontent.com/getsops/sops/master/functional-tests/res/comments.enc.yaml
        return_content: true
      register: encrypted_content

    - name: Show encrypted data
      debug:
        msg: "{{ encrypted_content.content | ansible.builtin.from_yaml }}"

    - name: Decrypt data and decode decrypted YAML
      set_fact:
        decrypted_data: "{{ encrypted_content.content | community.sops.decrypt | ansible.builtin.from_yaml }}"

    - name: Show decrypted data
      debug:
        msg: "{{ decrypted_data }}"

返回值

键	描述
返回值 字符串	解密后的数据，以文本形式（decode_output=true，默认）或二进制字符串形式（decode_output=false）。 返回： 成功

作者

• Felix Fontein (@felixfontein)

提示

每个条目类型的配置条目都具有从低到高的优先级顺序。 例如，列表中位置较低的变量将覆盖位置较高的变量。

集合链接

• 问题跟踪器
• 存储库（源代码）
• 寻求帮助 (SOPS)
• 提交错误报告
• 请求功能
• 通信