Ansible Lookup Plugin [VERALTET]

Die hier enthaltene Lookup-Funktionalität ist jetzt Teil des Ansible-Kerns. Dieses Plugin wird nicht mehr benötigt.

Dieses Ansible-Plugin ermöglicht es, Conjur-Werte in Playbooks abzurufen. Es unterstützt Conjur v4 und v5.

Basierend auf der Identität des Ansible-Steuerhosts können Geheimnisse sicher mit diesem Plugin abgerufen werden. Dies bietet eine einfache Alternative zum Ansible Vault, aber die Nutzung dieses Plugins wird nur als Teil einer sanften Migration zu Conjur in bestehenden Ansible-Playbooks empfohlen, und es sollte versucht werden, so schnell wie möglich zu Summon zu migrieren.

Hinweis: Für Conjur v5 ist dieses Plugin bei Ansible >= 2.5.0.0 enthalten. Die Unterstützung für v4 wird bald verfügbar sein.

Um die Maschinenidentität den von Ansible gesteuerten Knoten zuzuweisen, siehe die Conjur Ansible Rolle.

Erforderliches Lesen

• Um mehr über Conjur zu erfahren, probiere es hier aus.
• Um mehr darüber zu erfahren, wie Conjur mit Ansible integriert werden kann, besuche die Integrationsdokumentation.
• Um mehr über Summon zu erfahren, das Tool, das es dir ermöglicht, Anwendungen mit Geheimnissen aus Conjur auszuführen, besuche die Summon-Webseite.
• Um mehr über andere Möglichkeiten der Integration mit Conjur zu erfahren, besuche unsere Seiten zu CLI, API und Integrationen.

Installation

Installiere die Conjur-Rolle mit folgender Syntax:

$ ansible-galaxy install cyberark.conjur-lookup-plugin

Testen

Um die Tests auszuführen:

$ cd tests
$ ./test.sh

Anforderungen

• Ein laufender Conjur-Dienst, der vom Ansible-Steuerhost aus zugänglich ist.
• Eine Conjur-Identität auf dem Ansible-Steuerhost (es wird empfohlen, CLI zum Einloggen zu verwenden oder die Ansible-Rolle einmalig vor dem Ausführen deiner Playbooks auf dem Host auszuführen).
• Ansible >= 2.3.0.0

Verwendung

Umgebungsvariablen verwenden:

export CONJUR_ACCOUNT="orgaccount"
#export CONJUR_VERSION="4"
export CONJUR_APPLIANCE_URL="https://conjur-appliance"
export CONJUR_CERT_FILE="/path/to/conjur_certficate_file"
export CONJUR_AUTHN_LOGIN="host/host_identität"
export CONJUR_AUTHN_API_KEY="host API Schlüssel"

Hinweis: Standardmäßig verwendet das Lookup-Plugin die Conjur 5 API, um Geheimnisse abzurufen. Wenn du Conjur v4 verwendest, setze die Umgebungsvariable CONJUR_VERSION auf 4. Du kannst es tun, indem du die relevante Zeile oben entkommentierst.

Playbook:

- hosts: servers
  roles:
    - role: cyberark.conjur-lookup-plugin
  tasks:
    - name: Geheimnis mit Master-Identität abrufen
      vars:
        super_secret_key: {{ lookup('retrieve_conjur_variable', 'path/to/secret') }}
      shell: echo "Hurra! {{super_secret_key}} wurde gerade mit Conjur abgerufen."

Empfehlungen

• Füge no_log: true zu jedem Play hinzu, das sensible Daten verwendet, andernfalls können diese Daten in den Logs ausgegeben werden.
• Setze die Ansible-Dateien auf minimale Berechtigungen. Ansible verwendet die Berechtigungen des Benutzers, der es ausführt.

Lizenz

Apache 2