Comment utiliser les mots de passe stockés dans Ansible Vault ?

Question

J'essaie de comprendre comment les mots de passe Ansible-Vault auraient été utilisés dans un environnement de production. J'ai regardé d'innombrables vidéos et tutoriels sur la façon d'utiliser "Ansible-Vault", ils ont tous conclu à la même chose :

1. Cryptez votre fichier avec des variables sensibles en utilisant ansible-vault encrypt

2. Stockez votre mot de passe de chambre forte dans un fichier texte et utilisez-le lors de l'exécution du livre de jeu : ànsible-playbook --vault-password-file passwordFile myPlaybook.yml

Le problème que je ne semble pas comprendre est le suivant :

1. Le mot de passe de la chambre forte est stocké en clair, ce qui pose un problème de sécurité.

2. Comment intégrer le fichier de mots de passe dans un script (si cela est nécessaire). Si je crypte le fichier de mots de passe, cela crée de nouveaux problèmes qui doivent être résolus.''

C'est probablement mon ignorance, mais pour moi, tout cela ressemble plus à des tracas...

Merci.

Answer 1

Dans Ansible-Engine le mot de passe sera exposé à tout prix. Il n'y a pas encore de mécanisme pour gérer ce scénario dans Ansible-Engine ou Ansible OpenSource Version. Ansible Tower a une solution en place pour cela, qui va crypter et stocker le mot de passe de la chambre forte dans les nœuds maîtres.

Si vous utilisez un pipeline DevOps, créez des variables d'environnement à partir de Jenkins pour le chemin du fichier du mot de passe ou la valeur réelle.

Si vous êtes sur AWS ou toute autre plateforme en nuage, utilisez n'importe quel mécanisme de cryptage pour chiffrer la valeur.

Answer 2

Juste pour ajouter un note à cette question :

Je suis d'accord que le mot de passe Ansible-vault doit être exposé à un moment donné. Une solution à cela pourrait être : pass ( Le gestionnaire de mots de passe standard d'Unix ). Chaque mot de passe se trouve dans un fichier crypté par GPG, qui peut être partagé en interne entre les administrateurs de Linux, etc.