Как использовать Vault для шифрования данных в Ansible (ansible-vault)

 

Ansible Vault — это функция, которая позволяет пользователям шифровать значения и структуры данных в проектах Ansible. Это обеспечивает возможность защиты любых конфиденциальных данных, необходимых для успешного запуска Ansible и конфигурации системы. Однаком хранимые или вызываемые данные не должны быть общедоступной, например, если в них содержаться пароли и/или закрытые ключи. Ansible автоматически расшифровывает содержимое зашифрованного хранилища во время выполнения.

Vault — это механизм, позволяющий прозрачно вводить зашифрованный контент в роли Ansible. Утилита под названием ansible-vault защищает конфиденциальные данные, зашифровывая их на диске.

Vault использует алгоритм AES256 для обеспечения симметричного шифрования с использованием пользовательского пароля. Это означает, что один и тот же пароль используется для шифрования и расшифровки контента, что полезно с точки зрения удобства использования. Ansible способен идентифицировать и дешифровать любые файлы, хранящиеся в хранилищах, которые он находит при выполнении playbook или задачи (tasks).

 

Создание нового зашифрованного файла

Будет предложено ввести пароль:

После этого в открывшемся редакторе вы сможете ввести данные, введем текст

Сохраним файл и теперь выведем его, посмотрим что получилось:

Файл зашифрован.

Шифрование существующего файла

Если необходимо зашифровать уже существующий файл с неким контентом.

Смоделируем данную ситуацию, предварительно создав файл:

Выполним шифрование, в процессе нам будет предложено ввести пароль и после подтверждения ответ об успешном завершение процесса шифрования:

Просмотр и редакрирование содержимого зашифрованного файла

Для просмотра содержимого зашифрованного файла, выполним команду и введем пароль:

Аналогичным образом выполняеться и редактирование зашифрованного файла:

Ручная расшифровка файла

Изменение пароля

Можно изменить пароль к зашифрованному файлу:

Вам будет предложено ввести старый пароль, затем новый.

Автоматическая расшифровка при выполнение playbook или tasks

Создадим файл с нашим паролем

Обязательно добавим файл в .gitignore

в файле конфигурации добавим:

 

 

оригинал тут https://www.digitalocean.com/community/tutorials/how-to-use-vault-to-protect-sensitive-ansible-data-on-ubuntu-16-04

Добавить комментарий

Ваш адрес email не будет опубликован.