管理 Vault 密码
如果您制定了管理 Vault 密码的策略,则管理加密内容会更容易。Vault 密码可以是您选择的任何字符串。没有创建 Vault 密码的特殊命令。但是,您需要跟踪您的 Vault 密码。每次使用 Ansible Vault 加密变量或文件时,都必须提供密码。当您在命令或 playbook 中使用加密的变量或文件时,必须提供与加密时相同的密码。要制定管理 Vault 密码的策略,请从以下两个问题开始
您是想使用相同的密码加密所有内容,还是根据不同的需求使用不同的密码?
您想在哪里存储密码?
选择使用单个密码还是多个密码
如果您有一个小型团队或很少的敏感值,您可以使用单个密码来加密使用 Ansible Vault 加密的所有内容。按照以下说明,将 Vault 密码安全地存储在文件或秘密管理器中。
如果您有一个大型团队或许多敏感值,您可以使用多个密码。例如,您可以为不同的用户或不同的访问级别使用不同的密码。根据您的需求,您可能希望为每个加密文件、每个目录或每个环境使用不同的密码。您可能有一个 playbook 包含两个 vars 文件,一个用于开发环境,另一个用于生产环境,并使用两个不同的密码加密。运行 playbook 时,您可以使用 Vault ID 选择目标环境的正确 Vault 密码。
使用 Vault ID 管理多个密码
如果您使用多个 Vault 密码,则可以使用 Vault ID 将一个密码与另一个密码区分开来。您可以通过三种方式使用 Vault ID
在创建加密内容时,将其与
--vault-id
一起传递给 ansible-vault 命令将其包含在您存储该 Vault ID 密码的任何位置(请参阅 存储和访问 Vault 密码)
在运行使用使用该 Vault ID 加密的内容的 playbook 时,将其与
--vault-id
一起传递给 ansible-playbook 命令
当您将 Vault ID 作为选项传递给 ansible-vault 命令时,您会在加密内容中添加一个标签(提示或昵称)。此标签记录了您用来加密它的密码。加密的变量或文件在标题中以纯文本形式包含 Vault ID 标签。Vault ID 是加密内容之前的最后一个元素。例如
my_encrypted_var: !vault | $ANSIBLE_VAULT;1.2;AES256;dev 30613233633461343837653833666333643061636561303338373661313838333565653635353162 3263363434623733343538653462613064333634333464660a663633623939393439316636633863 61636237636537333938306331383339353265363239643939666639386530626330633337633833 6664656334373166630a363736393262666465663432613932613036303963343263623137386239 6330
除了标签外,您还必须提供相关密码的来源。来源可以是提示、文件或脚本,具体取决于您如何存储 Vault 密码。模式如下所示
--vault-id label@source
如果您的 playbook 使用多个加密变量或文件,这些变量或文件使用不同的密码加密,则在运行该 playbook 时必须传递 Vault ID。您可以单独使用 --vault-id
,也可以与 --vault-password-file
或 --ask-vault-pass
一起使用。模式与创建加密内容时相同:包含标签和匹配密码的来源。
请参阅以下有关使用 Vault ID 加密内容以及使用使用 Vault ID 加密的内容的示例。--vault-id
选项适用于与 Vault 交互的任何 Ansible 命令,包括 ansible-vault、ansible-playbook 等。
Vault ID 的限制
Ansible 不会强制每次使用特定 Vault ID 标签时都使用相同的密码。您可以使用相同的 Vault ID 标签但不同的密码来加密不同的变量或文件。这通常发生在您在提示符处键入密码并犯错时。您可以有意使用相同的 Vault ID 标签但不同的密码。例如,您可以将每个标签用作密码类别的参考,而不是单个密码。在这种情况下,您必须始终知道在上下文中使用哪个特定的密码或文件。但是,您更有可能错误地使用相同的 Vault ID 标签和不同的密码加密两个文件。如果您意外地使用相同的标签但不同的密码加密了两个文件,您可以 重新加密 一个文件来解决此问题。
强制执行 Vault ID 匹配
默认情况下,Vault ID 标签只是一个提示,提醒您使用哪个密码来加密变量或文件。Ansible 不会检查加密内容标题中的 Vault ID 是否与您在使用内容时提供的 Vault ID 匹配。Ansible 会解密您的命令或 playbook 调用的所有文件和变量,这些文件和变量使用您提供的密码加密。要检查加密内容并仅在其中包含的 Vault ID 与您使用 --vault-id
提供的 Vault ID 匹配时才对其进行解密,请设置配置选项 DEFAULT_VAULT_ID_MATCH。设置 DEFAULT_VAULT_ID_MATCH 后,每个密码仅用于解密使用相同标签加密的数据。这既高效又可预测,并且可以减少使用不同的密码加密不同的值时出现的错误。
注意
即使启用了 DEFAULT_VAULT_ID_MATCH 设置,Ansible 也不会强制每次使用特定 Vault ID 标签时都使用相同的密码。
存储和访问 Vault 密码
您可以记住 Vault 密码,或者手动从任何来源复制 Vault 密码并将其粘贴到命令行提示符中,但大多数用户会安全地存储它们,并在需要时从 Ansible 内部访问它们。您有两个选项可以在 Ansible 内部存储 Vault 密码:在文件或第三方工具(例如系统密钥环或秘密管理器)中。如果将密码存储在第三方工具中,则需要 Vault 密码客户端脚本来从 Ansible 内部检索它们。
在文件中存储密码
要在文件中存储 Vault 密码,请在文件中将密码作为字符串输入到一行中。确保文件的权限正确。不要将密码文件添加到源代码管理中。
在运行使用存储在文件中的 Vault 密码的 playbook 时,请在 --vault-password-file
标志中指定该文件。例如
ansible-playbook --extra-vars @secrets.enc --vault-password-file secrets.pass
使用 Vault 密码客户端脚本在第三方工具中存储密码
您可以将 Vault 密码存储在系统密钥环、数据库或秘密管理器中,并使用 Vault 密码客户端脚本来从 Ansible 内部检索它们。将密码作为字符串输入到一行中。如果您的密码有 Vault ID,请以适合您的密码存储工具的方式存储它。
要创建 Vault 密码客户端脚本
创建一个以
-client
或-client.EXTENSION
结尾的文件名结尾的文件使文件可执行
- 在脚本本身中
将密码打印到标准输出
接受一个
--vault-id
选项如果脚本提示输入数据(例如,数据库密码),则将提示显示到 TTY。
当您运行使用存储在第三方工具中的 Vault 密码的 playbook 时,请在 --vault-id
标志中指定脚本作为源。例如
ansible-playbook --vault-id dev@contrib-scripts/vault/vault-keyring-client.py
Ansible 使用 --vault-id
选项执行客户端脚本,以便脚本知道您指定了哪个 Vault ID 标签。例如,从密钥管理器加载密码的脚本可以使用 Vault ID 标签来选择“dev”或“prod”密码。上面的示例命令导致以下客户端脚本执行
contrib-scripts/vault/vault-keyring-client.py --vault-id dev
有关从系统密钥环加载密码的客户端脚本示例,请参阅 vault-keyring-client 脚本。