如何使用存储的 Ansible Vault 密码

Question

我试图弄清楚 Ansible-Vault 密码在生产环境中的使用方式。 我看过无数关于如何使用“Ansible-Vault”的视频和教程，它们的结论都是一样的：

1. 使用ansible-vault encrypt使用敏感变量加密您的文件

2. 将您的保管库密码存储在文本文件中，并在运行 playbook 时使用： ànsible-playbook --vault-password-file passwordFile myPlaybook.yml

我似乎不明白的问题是：

1. 以明文形式存储的保管库密码存在安全问题

2. 如何将密码文件集成到脚本中（如果需要）。如果我加密密码文件，它会产生需要解决的新问题。'

这可能是我的无知，但对我来说这一切似乎更像是一个麻烦......

谢谢。

Answer 1

在 Ansible-Engine 中，密码将不惜一切代价公开。在 Ansible-Engine 或 Ansible OpenSource 版本中还没有处理这种情况的机制。 Ansible Tower 对此有解决方案，它将加密保管库密码并将其存储在主节点中。

如果您使用任何 DevOps 管道 - 从 Jenkins 创建环境变量以获取密码文件路径或实际值。

如果您在 AWS 或任何云平台上 - 使用任何加密机制来加密值。

Answer 2

只是为这个问题添加一个注释：

我同意 Ansible-vault 密码必须在某个时候公开。对此的解决方案可能是：pass (The Standard Unix Password Manager)。每个密码都保存在 GPG 加密文件中，同样可以在 Linux 管理员等内部共享。