google.cloud.gcp_kms_crypto_key 模块 – 创建 GCP CryptoKey
注意
此模块是 google.cloud 集合 (版本 1.4.1) 的一部分。
如果您使用的是 ansible 包,则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list。
要安装它,请使用: ansible-galaxy collection install google.cloud。您需要其他要求才能使用此模块,有关详细信息,请参阅 要求。
要在剧本中使用它,请指定: google.cloud.gcp_kms_crypto_key。
注意
由于违反了 Ansible 包含要求,google.cloud 集合将在 Ansible 12 中删除。该集合存在 未解决的完整性测试失败。有关更多信息,请参阅 讨论主题。
概要
`CryptoKey` 代表可用于加密操作的逻辑密钥。
要求
执行此模块的主机需要以下要求。
python >= 2.6
requests >= 2.18.4
google-auth >= 1.3.0
参数
参数 |
注释 |
|---|---|
如果凭据类型为 accesstoken,则为 OAuth2 访问令牌。 |
|
使用的凭据类型。 选项
|
|
指定您在此模块中运行的 Ansible 环境。 除非您知道自己在做什么,否则不应设置此项。 这只会更改任何 API 请求的用户代理字符串。 |
|
此密钥所属的密钥环。 格式:`’projects/{{project}}/locations/{{location}}/keyRings/{{keyRing}}’`。 |
|
带有用户定义的元数据的标签,应用于此资源。 |
|
CryptoKey 的资源名称。 |
|
要使用的 Google Cloud Platform 项目。 |
|
CryptoKey 的不可变用途。有关输入,请参阅 https://cloud.google.com/kms/docs/reference/rest/v1/projects.locations.keyRings.cryptoKeys#CryptoKeyPurpose。 一些有效的选项包括:“ENCRYPT_DECRYPT”、“ASYMMETRIC_SIGN”、“ASYMMETRIC_DECRYPT” 默认值: |
|
每次经过此周期时,都会生成一个新的 CryptoKeyVersion 并将其设置为主要版本。 第一次轮换将在指定周期后进行。轮换周期采用最多包含 9 个小数位的十进制数的格式,后跟字母 `s`(秒)。它必须大于一天(即 86400)。 |
|
要使用的作用域数组 |
|
服务帐户 JSON 文件的内容,可以是字典或表示它的 JSON 字符串。 |
|
如果选择了 machineaccount 并且用户不希望使用默认电子邮件,则为可选的服务帐户电子邮件地址。 |
|
如果选择 serviceaccount 作为类型,则为服务帐户 JSON 文件的路径。 |
|
如果设置为 true,则请求将创建一个没有任何 CryptoKeyVersions 的 CryptoKey。您必须使用 `google_kms_key_ring_import_job` 资源导入 CryptoKeyVersion。 选项
|
|
给定对象是否应存在于 GCP 中 选项
|
|
描述新密钥版本设置的模板。 |
|
基于此模板创建版本时要使用的算法。 有关可能的输入,请参阅 [算法参考] (https://cloud.google.com/kms/docs/reference/rest/v1/CryptoKeyVersionAlgorithm)。 |
|
基于此模板创建版本时要使用的保护级别。 一些有效的选项包括:“SOFTWARE”、“HSM” |
备注
注意
API 参考:https://cloud.google.com/kms/docs/reference/rest/v1/projects.locations.keyRings.cryptoKeys
创建密钥:https://cloud.google.com/kms/docs/creating-keys#create_a_key
对于身份验证,您可以使用
GCP_SERVICE_ACCOUNT_FILE环境变量设置 service_account_file。对于身份验证,您可以使用
GCP_SERVICE_ACCOUNT_CONTENTS环境变量设置 service_account_contents。对于身份验证,您可以使用
GCP_SERVICE_ACCOUNT_EMAIL环境变量设置 service_account_email。对于身份验证,您可以使用
GCP_ACCESS_TOKEN环境变量设置 access_token。对于身份验证,您可以使用
GCP_AUTH_KIND环境变量设置 auth_kind。对于身份验证,您可以使用
GCP_SCOPES环境变量设置 scopes。只有在未设置剧本值时,才会使用环境变量值。
service_account_email 和 service_account_file 选项是互斥的。
示例
- name: create a key ring
google.cloud.gcp_kms_key_ring:
name: key-key-ring
location: us-central1
project: "{{ gcp_project }}"
auth_kind: "{{ gcp_cred_kind }}"
service_account_file: "{{ gcp_cred_file }}"
state: present
register: keyring
- name: create a crypto key
google.cloud.gcp_kms_crypto_key:
name: test_object
key_ring: projects/{{ gcp_project }}/locations/us-central1/keyRings/key-key-ring
project: test_project
auth_kind: serviceaccount
service_account_file: "/tmp/auth.pem"
state: present
返回值
常见的返回值已在此处记录,以下是此模块独有的字段
键 |
描述 |
|---|---|
此资源在服务器上创建的时间。 此时间采用 RFC3339 文本格式。 返回:成功 |
|
此密钥所属的密钥环。 格式:`’projects/{{project}}/locations/{{location}}/keyRings/{{keyRing}}’`。 返回:成功 |
|
带有用户定义的元数据的标签,应用于此资源。 返回:成功 |
|
CryptoKey 的资源名称。 返回:成功 |
|
KMS 将创建此加密密钥新版本的时间。 返回:成功 |
|
CryptoKey 的不可变用途。有关输入,请参阅 https://cloud.google.com/kms/docs/reference/rest/v1/projects.locations.keyRings.cryptoKeys#CryptoKeyPurpose。 返回:成功 |
|
每次经过此周期时,都会生成一个新的 CryptoKeyVersion 并将其设置为主要版本。 第一次轮换将在指定周期后进行。轮换周期采用最多包含 9 个小数位的十进制数的格式,后跟字母 `s`(秒)。它必须大于一天(即 86400)。 返回:成功 |
|
如果设置为 true,则请求将创建一个没有任何 CryptoKeyVersions 的 CryptoKey。您必须使用 `google_kms_key_ring_import_job` 资源导入 CryptoKeyVersion。 返回:成功 |
|
描述新密钥版本设置的模板。 返回:成功 |
|
基于此模板创建版本时要使用的算法。 有关可能的输入,请参阅 [算法参考] (https://cloud.google.com/kms/docs/reference/rest/v1/CryptoKeyVersionAlgorithm)。 返回:成功 |
|
基于此模板创建版本时要使用的保护级别。 返回:成功 |