brianshumate.vault

Descripción general Versiones Perspectivas

Vault

Este rol de Ansible realiza una instalación básica de Vault, incluyendo la estructura del sistema de archivos y un ejemplo de configuración.

También puede configurar un servidor de desarrollo o evaluación mínimo, o un clúster respaldado por un Consul en alta disponibilidad, en un entorno basado en Vagrant y VirtualBox. Consulte README_VAGRANT.md y el Vagrantfile asociado para obtener más detalles sobre la configuración del modo desarrollador.

Instalación

Brian Shumates transfirió este rol a @ansible-community/hashicorp-tools. Este rol reside en GitHub pendiente de solucionar la integración con Ansible Galaxy. Para instalar este rol, cree un archivo roles/requirements.yml en la carpeta de su proyecto Ansible con el siguiente contenido:

- src: https://github.com/ansible-community/ansible-vault.git
  name: ansible-community.ansible-vault
  scm: git
  version: master

Puede usar una etiqueta de git en el atributo de versión. También puede respetar su nombre legado name: brianshumate.ansible-vault.

Requisitos

Este rol requiere Archlinux, AmazonLinux, FreeBSD, Debian o una distribución Linux basada en RHEL. Puede funcionar con otras versiones de software, pero funciona con el siguiente software y versiones específicas:

Ansible: 2.8.4
Vault: 1.4.0 y superior
AlmaLinux:
- 8
- 9
AmazonLinux:
- 2
- 2022
ArchLinux
CentOS:
- 7
- 8 stream
- 9 stream
Debian:
- 9 (stretch)
- 10 (buster)
- 11 (bullseye)
FreeBSD:
- 11
RockyLinux:
- 8
- 9
Ubuntu:
- 18.04 (Bionic Beaver)
- 20.04 (Focal Fossa)
- 22.04 (Jammy Jellyfish)

Lo sentimos, no hay soporte planeado en este momento para Windows.

Advertencia

Por defecto, este rol puede reiniciar el servicio vault cuando se ejecuta (cuando hay un cambio de configuración, o se instalan/actualizan paquetes del sistema operativo).

Cuando no hay una configuración de auto-desellado en su clúster, el reinicio puede llevar a que todas las instancias de Vault sean selladas y su clúster se caiga.

Para evitar esta situación, el reinicio del servicio por el playbook puede deshabilitarse usando la variable de rol vault_service_restart.

Establecer vault_service_restart en false desactivará el reinicio del servicio vault por el playbook. Puede que tenga que reiniciar el servicio manualmente para cargar cualquier nueva configuración desplegada.

Variables del Rol

El rol define variables en defaults/main.yml:

`vault_listener_localhost_enable`

Establezca esto en verdadero si activa la escucha de Vault en localhost.
Valor predeterminado: false

`vault_privileged_install`

Establezca esto en verdadero si ve errores de permisos cuando se descargan y descomprimen archivos de vault localmente. Este problema puede surgir si el rol ha sido descargado por un usuario (como root), y la instalación se realiza con un usuario diferente.
Valor predeterminado: false

`vault_version`

Versión a instalar
- Puede ser sustituido con la variable de entorno VAULT_VERSION
- Incluirá "+prem" si vault_enterprise_premium=True
- Incluirá ".hsm" si vault_enterprise_premium_hsm=True
Valor predeterminado: 1.5.5

`vault_enterprise`

Establece esto en verdadero al instalar Vault Enterprise; esto no es actualmente posible como un método de instalación "solo remoto"
- Puede ser sustituido con la variable de entorno VAULT_ENTERPRISE
Valor predeterminado: false

`vault_pkg`

Nombre del archivo del paquete
Valor predeterminado: "vault_{{ vault_version }}_linux_amd64.zip"

`vault_enterprise_pkg`

Nombre del archivo del paquete
Valor predeterminado: "vault-enterprise_{{ vault_version }}_{{ vault_os }}_{{ vault_architecture }}.zip"

`vault_zip_url`

URL de descarga del paquete
Valor predeterminado: "https://releases.hashicorp.com/vault/{{ vault_version }}/vault_{{ vault_version }}_linux_amd64.zip"
Sustituya esta variable si tiene su archivo zip alojado internamente
Funciona también para instalaciones enterprise

`vault_checksum_file_url`

URL de sumas SHA
Sustituya esta variable si su archivo sha está alojado internamente
Valor predeterminado: "https://releases.hashicorp.com/vault/{{ vault_version }}/vault_{{ vault_version}}_SHA256SUMS"

`vault_install_hashi_repo`

Establezca esto en true al instalar Vault a través del repositorio de HashiCorp Linux. Cuando se establezca, también puede definir vault_repository_key_url y vault_repository_url para anular la URL predeterminada de la clave GPG para el repositorio y la URL predeterminada del repositorio utilizado.
Valor predeterminado: false

`vault_rhsm_repo_id`

Nombre del repositorio rhsm
Establezca esto en el nombre de su repositorio rhsm al instalar Vault a través de un repositorio RHSM (RedHat Satellite/Foreman/etc.). Cuando se establezca, debe asegurarse de que vault_install_hashi_repo esté configurado en true para habilitar la instalación del repositorio. Y opcionalmente también el nombre de la suscripción rhsm con vault_rhsm_subscription_name.
Valor predeterminado: null

`vault_rhsm_subscription_name`

Nombre de la suscripción rhsm
Establezca el nombre de la suscripción rhsm para adjuntar la suscripción rhsm a través del administrador de suscripciones. Cuando se establezca, debe asegurarse de que vault_install_hashi_repo esté configurado en true para habilitar la instalación del repositorio. Y también que vault_rhsm_repo_id esté configurado.
Valor predeterminado: null

`vault_install_remotely`

Establezca esto en true descargará el binario de Vault desde cada destino en lugar de localhost
Valor predeterminado: false

`vault_shasums`

Nombre del archivo de sumas SHA (incluido como conveniencia, no para modificación)
Valor predeterminado: "vault_{{ vault_version }}_SHA256SUMS"

`vault_enterprise_shasums`

Nombre del archivo de sumas SHA (incluido como conveniencia, no para modificación)
Intentará descargar desde vault_checksum_file_url si no está presente en los archivos/
Valor predeterminado: "vault-enterprise_{{ vault_version }}_SHA256SUMS"

`vault_bin_path`

Ruta de instalación del binario
Valor predeterminado: /usr/local/bin

`vault_config_path`

Ruta del archivo de configuración
Valor predeterminado: /etc/vault.d

`vault_use_config_path`

Utiliza "{{ vault_config_path }}" para configurar vault en lugar de "{{ vault_main_config }}"
Valor predeterminado: false

`vault_plugin_path`

Ruta desde donde se pueden cargar plugins
Valor predeterminado: /usr/local/lib/vault/plugins

`vault_plugins_enable`

Lista de plugins para habilitar (consulte bajo tasks/plugins para ver los plugins compatibles).
Por ejemplo: vault_plugins_enable: [ 'acme', 'example' ]
Valor predeterminado: []

`vault_plugins_src_dir_remote`

Directorio donde se colocan archivos temporales zip/instalación de plugins.
Cuando la instalación se procesa de manera remota.
Valor predeterminado: /usr/local/src/vault/plugins

`vault_plugins_src_dir_local`

Directorio donde se colocan archivos temporales zip/instalación de plugins.
Cuando la instalación se procesa localmente.
Valor predeterminado: {{ role_path }}/files/plugins

`vault_plugins_src_dir_cleanup`

Si se debe limpiar el directorio temporal de archivos zip/instalación de plugins después de la instalación del plugin.
Advertencia: Cuando los plugins no proporcionan un número de versión, esto podría hacer que los plugins se descarguen cada vez, rompiendo así la idempotencia.
Valor predeterminado: false

`vault_data_path`

Ruta de datos
Valor predeterminado: /var/vault

`vault_log_path`

Ruta de registro
Valor predeterminado: /var/log/vault

`vault_run_path`

Ubicación del archivo PID
Valor predeterminado: /var/run/vault

`vault_harden_file_perms`

Si este rol debería prohibir que Vault escriba en la configuración y la ruta del plugin. Esto debe habilitarse para seguir Producción Asegurada.
Valor predeterminado: false

`vault_manage_user`

¿Debería este rol gestionar el usuario de vault?
Valor predeterminado: true

`vault_user`

Nombre de usuario del sistema operativo
Valor predeterminado: vault

`vault_group`

Nombre del grupo del sistema operativo
Valor predeterminado: bin

`vault_groups`

Grupos adicionales del sistema operativo como en el módulo de usuario de ansible
Valor predeterminado: null

`vault_manage_group`

¿Debería este rol gestionar el grupo de vault?
Valor predeterminado: false

`vault_cluster_name`

Etiqueta de nombre del clúster
Valor predeterminado: dc1

`vault_datacenter`

Etiqueta de centro de datos
Valor predeterminado: dc1

`vault_ui`

Habilitar la interfaz web de vault
Valor predeterminado: true

`vault_service_restart`

¿Debería el playbook reiniciar el servicio de Vault cuando sea necesario?
Valor predeterminado: true

`vault_service_reload`

¿Debería el playbook recargar el servicio de Vault cuando cambie la configuración principal?
Valor predeterminado: false

`vault_start_pause_seconds`

Algunas instalaciones pueden necesitar tiempo entre el primer inicio de Vault y el primer reinicio. Establecer esto en un valor >0 agregará un tiempo de pausa después del primer inicio de Vault.
Valor predeterminado: 0

Variables para el Listener TCP

`vault_tcp_listeners`

Una lista de listeners TCP. Cada listener puede definir cualquiera de las variables específicas del listener descritas en más detalle a continuación.
Valor predeterminado:

vault_tcp_listeners:
  - vault_address: '{{ vault_address }}'
    vault_port: '{{ vault_port }}'
    vault_cluster_address: '{{ vault_cluster_address }}'
    # vault_proxy_protocol_behavior: '{{ vault_proxy_protocol_behavior }}'
    # vault_proxy_protocol_authorized_addrs: '{{ vault_proxy_protocol_authorized_addrs }}'
    vault_tls_disable: '{{ vault_tls_disable }}'
    vault_tls_certs_path: '{{ vault_tls_certs_path }}'
    vault_tls_private_path: '{{ vault_tls_private_path }}'
    vault_tls_cert_file: '{{ vault_tls_cert_file }}'
    vault_tls_key_file: '{{ vault_tls_key_file }}'
    vault_tls_ca_file: '{{ vault_tls_ca_file }}'
    vault_tls_min_version: '{{ vault_tls_min_version }}'
    vault_tls_cipher_suites: '{{ vault_tls_cipher_suites }}'
    vault_tls_require_and_verify_client_cert: '{{ vault_tls_require_and_verify_client_cert }}'
    vault_tls_disable_client_certs: '{{ vault_tls_disable_client_certs }}'
    # vault_x_forwarded_for_authorized_addrs: '{{ vault_x_forwarded_for_authorized_addrs }}'
    # vault_x_forwarded_for_hop_skips: '{{ vault_x_forwarded_for_hop_skips }}'
    # vault_x_forwarded_for_reject_not_authorized: '{{ vault_x_forwarded_for_reject_not_authorized }}'
    # vault_x_forwarded_for_reject_not_present: '{{ vault_x_forwarded_for_reject_not_present }}'

Variables del Backend de Almacenamiento

`vault_backend`

Qué backend de almacenamiento se debe seleccionar, las opciones son: raft, consul, etcd, file, s3 y dynamodb
Valor predeterminado: raft

`vault_backend_tls_src_files`

Directorio de origen especificado por el usuario para archivos TLS para la comunicación de almacenamiento
{{ vault_tls_src_files }}

`vault_backend_tls_certs_path`

Ruta al directorio que contiene archivos de certificados tls para el backend
{{ vault_tls_certs_path }}

`vault_backend_tls_private_path`

Ruta al directorio que contiene archivos de claves tls para el backend
{{ vault_tls_private_path }}

`vault_backend_tls_cert_file`

Especifica la ruta al certificado para la comunicación del backend (si es compatible).
{{ vault_tls_cert_file }}

`vault_backend_tls_key_file`

Especifica la ruta a la clave privada para la comunicación del backend (si es compatible).
{{ vault_tls_key_file }}

`vault_backend_tls_ca_file`

Certificado CA utilizado para la comunicación del backend (si es compatible). Esto predeterminado al paquete del sistema si no se especifica.
{{ vault_tls_ca_file }}

Backend de Almacenamiento Raft

`vault_raft_leader_tls_servername`

Nombre de servidor TLS a usar al conectarse con HTTPS
Valor predeterminado: none

`vault_raft_group_name`

Nombre del grupo de inventario de servidores que albergan el backend de raft
Valor predeterminado: vault_raft_servers

`vault_raft_cluster_members`

Miembros del clúster de raft
Valor predeterminado: hosts en el grupo vault_raft_group_name
Puede usarse para anular el comportamiento de seleccionar dinámicamente todos los hosts en el vault_raft_group_name

Ejemplo:

vault_raft_cluster_members:
  - peer: vault-host-1
    api_addr: https://vault-host-1:8200
  - peer: vault-host-2
    api_addr: https://vault-host-2:8200
  - peer: vault-host-3
    api_addr: https://vault-host-2:8200

Establecer los vault_raft_cluster_members de manera estática le permite ejecutar el rol en un único host (en lugar de en todo el grupo de hosts)

`vault_raft_data_path`

Ruta de datos para Raft
Valor predeterminado: vault_data_path

`vault_raft_node_id`

ID del nodo para Raft
Valor predeterminado: inventory_hostname_short

`vault_raft_performance_multiplier`

Multiplicador de rendimiento para Raft
Valor predeterminado: none

`vault_raft_trailing_logs`

Conteo de entradas de logs dejadas en el almacén de logs después de las instantáneas
Valor predeterminado: none

`vault_raft_snapshot_threshold`

Mínimo de entradas de commit de Raft entre instantáneas
Valor predeterminado: none

`vault_raft_max_entry_size`

Número máximo de bytes para una entrada de Raft
Valor predeterminado: none

`vault_raft_autopilot_reconcile_interval`

Intervalo después del cual el piloto automático recogerá cualquier cambio de estado
Valor predeterminado: none

`vault_raft_cloud_auto_join`

Define cualquier metadato de auto-unión en la nube. Si se proporciona, Vault intentará descubrir automáticamente pares además de lo que se puede proporcionar a través de leader_api_addr
Valor predeterminado: none

`vault_raft_cloud_auto_join_exclusive`

Si se establece en true, se eliminarán todas las ocurrencias de leader_api_addr de la configuración.
Mantener esto en false permitirá que auto_join y leader_api_addr coexistan
Valor predeterminado: false

`vault_raft_cloud_auto_join_scheme`

Esquema URI que se utilizará para auto_join
Valor predeterminado: none (https es el valor predeterminado establecido por Vault si no se especifica)

`vault_raft_cloud_auto_join_port`

Puerto que se utilizará para auto_join
Valor predeterminado: none (8200 es el valor predeterminado establecido por Vault si no se especifica)

Backend de Almacenamiento Consul

`vault_backend_consul`

Nombre del archivo de plantilla de backend consul
Valor predeterminado: backend_consul.j2

`vault_consul`

valor de host:puerto para conectarse al backend HA de Consul
Valor predeterminado: 127.0.0.1:8500

`vault_consul_scheme`

Esquema para el backend de Consul
Valores soportados: http, https
Valor predeterminado: http

`vault_consul_path`

Nombre de la ruta raíz del K/V de Consul de Vault
Valor predeterminado: vault

`vault_consul_service`

Nombre del servicio de Vault para registrar en Consul
Valor predeterminado: vault

`vault_consul_token`

Token ACL para acceder a Consul
Valor predeterminado: none

Backend de Almacenamiento etcd

`vault_etcd`

Dirección del almacenamiento etcd
Valor predeterminado: 127.0.0.1:2379

`vault_etcd_api`

Versión de API
Valor predeterminado: v3

`vault_etcd_path`

Ruta para almacenamiento de Vault
Valor predeterminado: /vault/

`vault_etcd_discovery_srv`

Servidor de descubrimiento
Valor predeterminado: none

`vault_etcd_discovery_srv_name`

Nombre del servidor de descubrimiento
Valor predeterminado: none

`vault_etcd_ha_enabled`

Usar almacenamiento para el modo de alta disponibilidad
Valor predeterminado: false

`vault_etcd_sync`

Usar etcdsync
Valor predeterminado: true

`vault_etcd_username`

Nombre de usuario
Valor predeterminado: none

`vault_etcd_password`

Contraseña
Valor predeterminado: none

`vault_etcd_request_timeout`

Tiempo de espera de la solicitud
Valor predeterminado: "5s"

`vault_etcd_lock_timeout`

Tiempo de espera de bloqueo
Valor predeterminado: "15s"

Backend de Almacenamiento de Archivos

`vault_backend_file`

Nombre del archivo de plantilla de backend de archivos
Valor predeterminado: backend_file.j2

Backend de Almacenamiento Raft Integrado

`vault_backend_raft`

Nombre de la plantilla de almacenamiento integrado de backend raft
Valor predeterminado: vault_backend_raft.j2

`vault_raft_node_id`

Identificador para el nodo en el clúster Raft integrado
Valor predeterminado: "raft_node_1"

`vault_raft_retry_join`

Se conocen los detalles de todos los nodos de antemano
Valor predeterminado: "[]"

`leader_api_addr`

Dirección de un posible nodo líder.
Valor predeterminado: ""

`leader_ca_cert_file`

Ruta del archivo CA del posible nodo líder.
Valor predeterminado: ""

`leader_client_cert_file`

Ruta del archivo de certificado de cliente para el nodo seguidor para establecer autenticación de cliente con el posible nodo líder.
Valor predeterminado: ""

`leader_client_key_file`

Ruta del archivo de clave del cliente para el nodo seguidor para establecer autenticación de cliente con el posible nodo líder.
Valor predeterminado: ""

`leader_ca_cert`

Certificado CA del posible nodo líder.
Valor predeterminado: ""

`leader_client_cert`

Certificado de cliente para el nodo seguidor para establecer autenticación de cliente con el posible nodo líder.
Valor predeterminado: ""

`leader_client_key`

Clave de cliente para el nodo seguidor para establecer autenticación de cliente con el posible nodo líder.
Valor predeterminado: ""

Backend de Almacenamiento DynamoDB

Para documentación adicional sobre las varias opciones disponibles, consulte la documentación de Vault sobre el backend de almacenamiento DynamoDB.

`vault_dynamodb`

Especifica un punto final alternativo de DynamoDB.
Valor predeterminado: none
- Puede ser anulado con la variable de entorno AWS_DYNAMODB_ENDPOINT.

`vault_dynamodb_table`

Nombre de la tabla DynamoDB utilizada para almacenar datos de Vault.
- Si la tabla no existe ya, se creará durante la inicialización.
Valor predeterminado: "vault-dynamodb-backend"
- Puede ser anulado con la variable de entorno AWS_DYNAMODB_TABLE.

`vault_dynamodb_ha_enabled`

Si se habilita alta disponibilidad para este backend de almacenamiento.
Valor predeterminado: "false"
- Puede ser anulado con la variable de entorno DYNAMODB_HA_ENABLED.
  - El prefijo AWS_ faltante no es un error tipográfico, esta variable particular no tiene prefijo en la documentación y el código fuente de Vault.

`vault_dynamodb_max_parallel`

Máximo número de solicitudes concurrentes.
Valor predeterminado: "128"

`vault_dynamodb_region`

La región de AWS.
Valor predeterminado: us-east-1
- Puede ser anulado con la variable de entorno AWS_DEFAULT_REGION.

`vault_dynamodb_read_capacity`

Número de lecturas por segundo a aprovisionar para la tabla.
Solo se usa durante la creación de la tabla, no tiene efecto si la tabla ya existe.
Valor predeterminado: 5
- Puede ser anulado con la variable de entorno AWS_DYNAMODB_READ_CAPACITY.

`vault_dynamodb_write_capacity`

Número de escrituras por segundo a aprovisionar para la tabla.
Solo se usa durante la creación de la tabla, no tiene efecto si la tabla ya existe.
Valor predeterminado: 5
- Puede ser anulado con la variable de entorno AWS_DYNAMODB_WRITE_CAPACITY.

`vault_dynamodb_access_key`

Clave de acceso de AWS para usar para autenticación.
Valor predeterminado: none
- Puede ser anulado con la variable de entorno AWS_ACCESS_KEY_ID
Dejar tanto esto como vault_dynamodb_secret_key en blanco hará que Vault intente obtener las credenciales del servicio de metadatos de AWS.

`vault_dynamodb_secret_key`

Clave secreta de AWS utilizada para la autenticación.
Valor predeterminado: none
- Puede ser anulado con la variable de entorno AWS_SECRET_ACCESS_KEY
Dejar tanto esto como vault_dynamodb_access_key en blanco hará que Vault intente obtener las credenciales del servicio de metadatos de AWS.

`vault_dynamodb_session_token`

Token de sesión de AWS.
Valor predeterminado: none
- Puede ser anulado con la variable de entorno AWS_SESSION_TOKEN

Backend de Almacenamiento Google Cloud Storage

`vault_gcs_bucket`

Especifica el nombre del bucket a usar para almacenamiento.
Valor predeterminado: none

`vault_gcs_ha_enabled`

Especifica si el modo de alta disponibilidad está habilitado.
Valor predeterminado: "false"

`vault_gcs_chunk_size`

Especifica el tamaño máximo (en kilobytes) a enviar en una única solicitud. Si se establece en 0, intentará enviar el objeto completo de una vez, pero no volverá a intentar fallas.
Valor predeterminado: "8192"

`vault_gcs_max_parallel`

Especifica el número máximo de operaciones paralelas que se pueden realizar.
Valor predeterminado: "128"

`vault_gcs_copy_sa`

Copiar el archivo de credenciales SA de GCP desde el nodo de control de Ansible al servidor Vault. Cuando no es true y no se especifica ningún valor para vault_gcs_credentials_src_file, se utilizan las credenciales de la cuenta de servicio de instancia predeterminada.
Valor predeterminado: "false"

`vault_gcs_credentials_src_file`

Ruta a las credenciales SA de GCP en el nodo de control de Ansible.
Valor predeterminado: none

`vault_gcs_credentials_dst_file`

Ruta a las credenciales SA de GCP en el servidor Vault.
Valor predeterminado: {{ vault_home }}/{{ vault_gcs_credentials_src_file | basename }}"

Registro de Servicios Consul

Para información adicional sobre las diferentes opciones, consulte la documentación de Vault para el registro de servicios de Consul. Tenga en cuenta que esto solo está disponible a partir de la versión 1.4 de Vault.

`vault_service_registration_consul_enable`

Habilitar el registro de servicios de Consul
Valor predeterminado: false

`vault_service_registration_consul_template`

Nombre de plantilla para el registro de servicios de Consul
Valor predeterminado: service_registration_consul.hcl.j2

`vault_service_registration_consul_address`

valor de host:puerto para conectarse al registro de servicios de Consul
Valor predeterminado: 127.0.0.1:8500

`vault_service_registration_check_timeout`

Especifica el intervalo de verificación utilizado para enviar información de verificación de salud de vuelta a Consul.
Valor predeterminado: 5s

`vault_service_registration_disable_registration`

Especifica si Vault debe registrarse consigo mismo en Consul.
Valor predeterminado: false

`vault_service_registration_consul_scheme`

Esquema para el registro de servicios de Consul
Valores soportados: http, https
Valor predeterminado: http

`vault_service_registration_consul_service`

Nombre del servicio de Vault para registrar en Consul
Valor predeterminado: vault

`vault_service_registration_consul_service_tags`

Especifica una lista de etiquetas separadas por comas para adjuntar a la registración del servicio en Consul.
Valor predeterminado: ""

`vault_service_registration_consul_service_address`

Especifica una dirección específica del servicio que se establecerá en la registración del servicio en Consul.
Valor predeterminado: nil

`vault_service_registration_consul_token`

Token ACL para registrarse con el registro de servicios de Consul
Valor predeterminado: none

`vault_service_registration_consul_tls_certs_path`

ruta al certificado tls
valor predeterminado {{ vault_tls_certs_path }}

`vault_service_registration_consul_tls_private_path`

ruta a la clave tls
valor predeterminado {{ vault_tls_private_path }}

`vault_service_registration_consul_tls_ca_file`

Nombre del archivo del certificado CA
Valor predeterminado: {{ vault_tls_ca_file }}

`vault_service_registration_consul_tls_cert_file`

Certificado del servidor
Valor predeterminado: {{ vault_tls_cert_file }}

`vault_service_registration_consul_tls_key_file`

Clave del servidor
Valor predeterminado: {{ vault_tls_key_file }}

`vault_service_registration_consul_tls_min_version`

Versión TLS mínima aceptable
Valor predeterminado: {{ vault_tls_min_version }}

`vault_service_registration_consul_tls_skip_verify`

Desactivar la verificación de certificados TLS. Usar esta opción se desaconseja enérgicamente.
Valor predeterminado: false

Registro de Servicios Kubernetes

Para información adicional sobre las diferentes opciones, consulte la documentación de Vault para el registro de servicios de Kubernetes. Tenga en cuenta que esto solo está disponible a partir de la versión 1.4 de Vault.

`vault_service_registration_kubernetes_consul_enable`

Habilitar el registro de servicios de Kubernetes
Valor predeterminado: false

`vault_service_registration_kubernetes_template`

Nombre de plantilla para el registro de servicios de Kubernetes
Valor predeterminado: service_registration_kubernetes.hcl.j2

`vault_service_registration_kubernetes_namespace`

Espacio de nombres de Kubernetes a registrar
Valor predeterminado: vault

`vault_service_registration_pod_name`

Nombre del pod de Kubernetes a registrar
Valor predeterminado: vault

`vault_log_level`

Nivel de registro
- Valores soportados: trace, debug, info, warn, err
Valor predeterminado: info
Requiere la versión de Vault 0.11.1 o superior

`vault_iface`

Interfaz de red
- Puede ser anulado con la variable de entorno VAULT_IFACE
Valor predeterminado: eth1

`vault_address`

Dirección de la interfaz de red principal a utilizar
Valor predeterminado: "{{ hostvars[inventory_hostname]['ansible_'+vault_iface]['ipv4']['address'] }}"

`vault_port`

Número de puerto TCP en el que escuchar
Valor predeterminado: 8200

`vault_max_lease_ttl`

Configura la duración máxima posible del arrendamiento para tokens y secretos.
Valor predeterminado: 768h (32 días)

`vault_default_lease_ttl`

Configura la duración del arrendamiento predeterminado para tokens y secretos.
Valor predeterminado: 768h (32 días)

`vault_main_config`

Nombre del archivo de configuración principal (ruta completa)
Valor predeterminado: "{{ vault_config_path }}/vault_main.hcl"

`vault_main_configuration_template`

Archivo de plantilla de configuración principal de Vault
Valor predeterminado: vault_main_configuration.hcl.j2

`vault_custom_configuration`

Configuración personalizada de Vault
Valor predeterminado: none

`vault_http_proxy`

Dirección a utilizar como proxy para solicitudes HTTP y HTTPS, a menos que se anule por vault_https_proxy o vault_no_proxy
Valor predeterminado: ""

`vault_https_proxy`

Dirección a utilizar como proxy para solicitudes HTTPS, a menos que se anule por vault_no_proxy
Valor predeterminado: ""

`vault_no_proxy`

Valores separados por comas que especifican hosts que deben excluirse del proxy. Sigue las convenciones de golang
Valor predeterminado: ""

`vault_cluster_address`

Dirección a la que vincularse para solicitudes de servidor a servidor del clúster
Valor predeterminado: "{{ hostvars[inventory_hostname]['ansible_'+vault_iface]['ipv4']['address'] }}:{{ (vault_port | int) + 1}}"

`vault_cluster_addr`

Dirección que se anunciará a otros servidores de Vault en el clúster para el reenvío de solicitudes
Valor predeterminado: "{{ vault_protocol }}://{{ vault_cluster_address }}"

`vault_api_addr`

Dirección de redirección del cliente de HA
Valor predeterminado: "{{ vault_protocol }}://{{ vault_redirect_address or hostvars[inventory_hostname]['ansible_'+vault_iface]['ipv4']['address'] }}:{{ vault_port }}"
- vault_redirect_address se mantiene por compatibilidad hacia atrás pero está en desuso.

`vault_disable_api_health_check`

bandera para deshabilitar la verificación de salud en la dirección API de vault
Valor predeterminado: false

`vault_cluster_disable`

Deshabilitar clustering HA
Valor predeterminado: false

`validate_certs_during_api_reachable_check`

Desactivar la Validación de Certificados para la verificación de capacidad de respuesta API
Valor predeterminado: true

`vault_proxy_protocol_behavior`

Puede ser uno de use_always, allow_authorized o deny_unauthorized
Habilita el protocolo PROXY para el listener.
Si se habilita y se establece en algo diferente de use_always, también debe establecer:
- vault_proxy_protocol_authorized_addrs
- Lista separada por comas de IPs de origen para las cuales se utilizará la información del protocolo PROXY.
Valor predeterminado: ""

`vault_tls_certs_path`

Ruta a certificados TLS
Valor predeterminado /etc/vault/tls

`vault_tls_private_path`

Ruta a claves TLS
Valor predeterminado /etc/vault/tls

`vault_tls_disable`

Deshabilitar TLS
- Puede ser anulado con la variable de entorno VAULT_TLS_DISABLE
Valor predeterminado: 1

`vault_tls_gossip`

Habilitar el Gossip TLS al almacenamiento (si es compatible)
Valor predeterminado: 0

`vault_tls_src_files`

Directorio de origen especificado por el usuario para archivos TLS
- Anule con la variable de entorno VAULT_TLS_SRC_FILES
Valor predeterminado: {{ role_path }}/files

`vault_tls_ca_file`

Nombre del archivo de certificado CA
- Anule con la variable de entorno VAULT_TLS_CA_CRT
Valor predeterminado: ca.crt

`vault_tls_client_ca_file`

Nombre del archivo de certificado CA del cliente
Valor predeterminado: ``

`vault_tls_cert_file`

Certificado del servidor
- Anule con la variable de entorno VAULT_TLS_CERT_FILE
Valor predeterminado: server.crt

`vault_tls_key_file`

Clave del servidor
- Anule con la variable de entorno VAULT_TLS_KEY_FILE
Valor predeterminado: server.key

`vault_tls_min_version`

Versión TLS mínima aceptable
- Puede ser anulado con la variable de entorno VAULT_TLS_MIN_VERSION
Valor predeterminado: tls12

`vault_tls_copy_keys`

Copiar archivos TLS de src a dest
Valor predeterminado: true

`vault_tls_files_remote_src`

Copiar desde una fuente remota si los archivos TLS ya están en el host
Valor predeterminado: false

`vault_x_forwarded_for_authorized_addrs`

Lista separada por comas de CIDRs de IP de origen para los cuales se confiará en un encabezado X-Forwarded-For.
Habilita el soporte X-Forwarded-For.
Si se habilita, también puede establecer cualquiera de los siguientes parámetros:
- vault_x_forwarded_for_hop_skips con un formato de "N" para el número de saltos a omitir
- vault_x_forwarded_for_reject_not_authorized con verdadero/falso
- vault_x_forwarded_for_reject_not_present con verdadero/falso
Valor predeterminado: ""

`vault_bsdinit_template`

Archivo de plantilla de inicio de BSD
Valor predeterminado: vault_service_bsd_init.j2

`vault_sysvinit_template`

Archivo de plantilla de inicio SysV
Valor predeterminado: vault_sysvinit.j2

`vault_debian_init_template`

Archivo de plantilla de inicio de Debian
Valor predeterminado: vault_service_debian_init.j2

`vault_systemd_template`

Archivo de plantilla del servicio systemd
Valor predeterminado: vault_service_systemd.j2

`vault_systemd_service_name`

Nombre de unidad del servicio systemd
Valor predeterminado: "vault"

`vault_telemetry_enabled`

Habilitar telemetría de Vault
Si se habilita, debe establecer al menos uno de los siguientes parámetros según su proveedor de telemetría:
- vault_statsite_address con un formato de "FQDN:PORT"
- vault_statsd_address con un formato de "FQDN:PORT"
- vault_prometheus_retention_time ej: "30s" o "24h"
Si se habilita, opcionalmente establezca vault_telemetry_disable_hostname para eliminar el prefijo del nombre del host de los datos de telemetría
Valor predeterminado: false

`vault_unauthenticated_metrics_access`

Configurar acceso a métricas no autenticadas
Valor predeterminado: false

`vault_telemetry_usage_gauge_period`

Especifica el intervalo en el que se recopilan datos de uso de alta cardinalidad, como cantidades de token, cantidades de entidades y cantidades de secretos.
Valor predeterminado: definido

Variables de Distribución del SO

El binario vault funciona en la mayoría de las plataformas Linux y no es específico de ninguna distribución. Sin embargo, algunas distribuciones requieren la instalación de paquetes del sistema específicos con diferentes nombres, por lo que este rol se construyó con soporte para distribuciones de Linux populares y define estas variables para tratar las diferencias entre distribuciones:

`vault_pkg`

Nombre del archivo del paquete de Vault
Valor predeterminado: {{ vault_version }}_linux_amd64.zip

`vault_centos_url`

URL de descarga del paquete de Vault
Valor predeterminado: {{ vault_zip_url }}

`vault_centos_os_packages`

Lista de paquetes del sistema operativo a instalar
Valor predeterminado: lista

`vault_pkg`

Nombre del archivo del paquete de Vault
Valor predeterminado: "{{ vault_version }}_linux_amd64.zip"

`vault_debian_url`

URL de descarga del paquete de Vault
Valor predeterminado: "{{ vault_zip_url }}"

`vault_sha256`

Resumen SHA256 de la descarga de Vault
Valor predeterminado: Resumen SHA256

`vault_debian_os_packages`

Lista de paquetes del sistema operativo a instalar
Valor predeterminado: lista

`vault_pkg`

Nombre del archivo del paquete de Vault
Valor predeterminado: "{{ vault_version }}_linux_amd64.zip"

`vault_redhat_url`

URL de descarga del paquete de Vault
Valor predeterminado: "{{ vault_zip_url }}"

`vault_sha256`

Resumen SHA256 del paquete de Vault
Valor predeterminado: Resumen SHA256

`vault_redhat_os_packages`

Lista de paquetes del sistema operativo a instalar
Valor predeterminado: lista

`vault_pkg`

Nombre del archivo del paquete de Vault
Valor predeterminado: "{{ vault_version }}_linux_amd64.zip"

`vault_ubuntu_url`

URL de descarga del paquete de Vault
Valor predeterminado: "{{ vault_zip_url }}"

`vault_sha256`

Resumen SHA256 del paquete de Vault
Valor predeterminado: Resumen SHA256

`vault_enable_log`

Habilitar registro en vault_log_path
Valor predeterminado: false

`vault_enable_logrotate`

Habilitar rotación de logs para sistemas basados en systemd
Valor predeterminado: false

`vault_logrotate_freq`

Determina con qué frecuencia rotar los logs de vault
Valor predeterminado: 7

`vault_logrotate_template`

Archivo de plantilla de rotación de logs
Valor predeterminado: vault_logrotate.j2

`vault_ubuntu_os_packages`

Lista de paquetes del sistema operativo a instalar
Valor predeterminado: lista

Dependencias

NOTA: Lea estas antes de ejecutar el rol para evitar ciertos problemas frecuentes que se resuelven instalando las dependencias correctas.

`gtar`

Ansible requiere GNU tar y este rol realiza algunos usos locales del módulo unarchive, así que asegúrese de que su sistema tenga gtar instalado.

Python netaddr

El rol depende de python-netaddr, así que:

pip install netaddr

en el host de control de Ansible antes de ejecutar el rol.

Ejemplo de Playbook

La instalación básica es posible utilizando el playbook site.yml incluido:

ansible-playbook -i hosts site.yml

También puede pasar variables usando la opción --extra-vars al comando ansible-playbook:

ansible-playbook -i hosts site.yml --extra-vars "vault_datacenter=maui"

Especifique un archivo de plantilla con una definición de backend diferente (consulte templates/backend_consul.j2):

ansible-playbook -i hosts site.yml --extra-vars "vault_backend_file=backend_file.j2"

Necesita asegurarse de que el archivo de plantilla backend_file.j2 esté en el directorio del rol para que esto funcione.

Vagrant y VirtualBox

Consulte examples/README_VAGRANT.md para obtener detalles sobre implementaciones rápidas de Vagrant bajo VirtualBox para pruebas, etc.

Ejemplo de Playbook de VirtualBox

Ejemplo de playbook para una instancia de vault basada en archivos.

- hosts: all
  gather_facts: True
  become: true
  vars:
    vault_backend: file
    vault_cluster_disable: True
    vault_log_level: debug
  roles:
    - vault

Vault Enterprise

El rol puede instalar instancias basadas en Vault Enterprise.

Coloque el archivo zip de Vault Enterprise en {{ role_path }}/files y establezca vault_enterprise: true o use la variable de entorno VAULT_ENTERPRISE="true". Intenta descargar el paquete desde vault_zip_url si no se encuentra el zip en los archivos/.

`vault_enterprise_premium`

Establecer en True si se utiliza un binario premium. Básicamente, solo incluye "+prem" en la variable "vault_version"
Valor predeterminado: False

Vault Enterprise con HSM

El rol puede configurar instancias basadas en HSM. Asegúrese de consultar la página de soporte HSM y tenga en cuenta los cambios de comportamiento después de que se instale el HSM.

`vault_enterprise_premium_hsm`

Establecer en True si se utiliza un binario hsm premium. Básicamente, solo incluye ".hsm" en la variable "vault_version"
Valor predeterminado: false

`vault_configure_enterprise_license`

Gestionar el archivo de licencia enterprise con este rol. Establezca en true para utilizar vault_license_path o vault_license_file.
Valor predeterminado: false

`vault_license_path`

Ruta a la licencia enterprise en el host remoto (ruta de destino). license_path en el archivo de configuración principal. Solo se usa si vault_configure_enterprise_license: true.
Valor predeterminado: {{ vault_config_path }}/license.hclic

`vault_license_file`

Ruta a la licencia enterprise en el controlador de Ansible (archivo fuente para cargar). Se omite la carga cuando está vacía o no se define. Solo se usa si vault_configure_enterprise_license: true.
Valor predeterminado: ""

`vault_hsm_app`

Establecer qué aplicación de criptografía usar.
Valor predeterminado: pkcs11

`vault_backend_seal`

NOTA: Este sello se migrará al sello pkcs11 y se hará consistente con otros tipos de sellos con respecto a los cambios de nombre rompientes pronto.

Nombre de plantilla del backend de sellado
Valor predeterminado: vault_backend_seal.j2

`vault_seal_lib`

Establecer en la ruta absoluta de la biblioteca HSM que Vault llamará
Valor predeterminado: /lib64/hsmlibrary.so

`vault_seal_pin`

El PIN para el inicio de sesión. También puede especificarse mediante la variable de entorno VAULT_HSM_PIN. Si se establece a través de la variable de entorno, Vault oscurecerá la variable de entorno después de leerla, y deberá restablecerse si Vault se reinicia.
Valor predeterminado: 12345

`vault_seal_key_label`

La etiqueta de la clave a utilizar. Si la clave no existe y se habilita la generación, esta es la etiqueta que se asignará a la clave generada. También puede especificarse mediante la variable de entorno VAULT_HSM_KEY_LABEL.
Valor predeterminado: ''

`vault_seal_hmac_key_label`

La etiqueta de la clave HMAC a utilizar. Si la clave no existe y se habilita la generación, esta es la etiqueta que se asignará a la clave HMAC generada. También puede especificarse mediante la variable de entorno VAULT_HSM_HMAC_KEY_LABEL.
Valor predeterminado: ''

`vault_seal_generate_key`

Si no se puede encontrar ninguna clave existente con la etiqueta especificada por key_label en el momento de la inicialización de Vault, indica a Vault que genere una clave. Esto es un booleano expresado como una cadena (por ejemplo, "true"). También puede especificarse mediante la variable de entorno VAULT_HSM_GENERATE_KEY. Vault puede no poder generar claves con éxito en todas las circunstancias, como si se requieren extensiones de proveedores patentadas para crear claves de un tipo adecuado.
Valor predeterminado: false

`vault_seal_key_mechanism`

No cambie esto a menos que sepa que lo necesita. Mecanismo de cifrado / descifrado a usar, especificado como una cadena decimal o hexadecimal (precedida por 0x). También puede especificarse mediante la variable de entorno VAULT_HSM_MECHANISM.
Valor predeterminado: ''
Ejemplo para RSA: 0x0009

`vault_seal_token_label`

La etiqueta del token de ranura a utilizar. También puede especificarse mediante la variable de entorno VAULT_HSM_TOKEN_LABEL. Esta etiqueta solo se aplicará cuando vault_softcard_enable sea verdadero.
Valor predeterminado: ''

`vault_softcard_enable`

Habilitar si planea usar una softcard en su HSM.
Valor predeterminado: false

`vault_seal_slot`

El número de ranura a utilizar, especificado como una cadena (por ejemplo, "0"). También puede especificarse mediante la variable de entorno VAULT_HSM_SLOT. Esta etiqueta solo se aplicará cuando vault_softcard_enable sea falso (predeterminado).
Valor predeterminado: 0

`vault_entropy_seal`

Establecer en verdadero para incluir el stanza entropy que habilita aumento de entropía para sellos compatibles. Los tipos de sello compatibles incluyen PKCS11, AWS KMS y Vault Transit.
Valor predeterminado: false

El siguiente stanza se incluirá en el archivo de configuración HCL principal si vault_entropy_seal=true:

entropy "seal" {
  mode = "augmentation"
}

Auto-desellado de Vault GCP Cloud KMS

Esta característica permite a los operadores delegar el proceso de desellado a Google Key Management System Cloud para facilitar las operaciones en caso de falla parcial y ayudar en la creación de clústeres nuevos o efímeros.

Este mecanismo de auto-desellado es de código abierto en Vault 1.0, pero requeriría binarios Enterprise para cualquier versión anterior.

`vault_gkms`

Establecer en verdadero para habilitar el auto-desellado de Google Cloud KMS.
Valor predeterminado: false

`vault_backend_gkms`

Nombre de plantilla de backend de sellado
Valor predeterminado: vault_seal_gcpkms.j2

`vault_gkms_project`

Proyecto GCP donde reside la clave.
Valor predeterminado: ''

`vault_gkms_copy_sa`

Copiar el archivo de credenciales SA de GCP desde el nodo de control de Ansible al servidor Vault. Cuando no sea true y no se especifica ningún valor para vault_gkms_credentials_src_file, se utilizan las credenciales de la cuenta de servicio de instancia predeterminada.
Valor predeterminado: "true"

`vault_gkms_credentials_src_file`

Directorio de origen especificado por el usuario para las credenciales de GCP en el nodo de control de Ansible.
Debe establecerse esto o vault_gkms_credentials_content si se habilita vault_gkms.
Valor predeterminado: ''

`vault_gkms_credentials_content`

Contenido del archivo de credenciales de GCP especificado por el usuario.
Debe establecerse esto o vault_gkms_credentials_src_file si se habilita vault_gkms.
Valor predeterminado: ''

`vault_gkms_credentials`

Ruta a las credenciales de GCP en el servidor Vault.
Valor predeterminado: /home/vault/vault-kms.json

`vault_gkms_region`

Región de GCP donde reside la clave.
Valor predeterminado: global

`vault_gkms_key_ring`

El id del Google Cloud Platform KeyRing al que pertenecerá la clave.
Valor predeterminado: vault

`vault_gkms_crypto_key`

El nombre de la CryptoKey. El nombre de una CryptoKey debe ser único dentro de una ubicación y coincidir con la expresión regular [a-zA-Z0-9_-]{1,63}
Valor predeterminado: vault_key

Auto-desellado de Vault OCI KMS

Esta característica habilita a los operadores a delegar el proceso de desellado a OCI KMS para facilitar las operaciones en caso de falla parcial y ayudar en la creación de nuevos clústeres.

`vault_ocikms`

Establecer en verdadero para habilitar el auto-desellado de OCI KMS.
Valor predeterminado: false

`vault_ocikms_backend`

Nombre de plantilla de backend de sellado.
Valor predeterminado: vault_seal_ocikms.j2

`vault_ocikms_auth_type_api_key`

Especifica si se utiliza la clave API para autenticar a OCI KMS.
Valor predeterminado: false

`vault_ocikms_key_id`

El ID de clave de OCI KMS a utilizar.
Valor predeterminado: VAULT_OCIKMS_SEAL_KEY_ID

`vault_ocikms_crypto_endpoint`

El punto final criptográfico de OCI KMS (o punto final de plano de datos) que se utilizará para realizar solicitudes de cifrado / descifrado a OCI KMS.
Valor predeterminado: VAULT_OCIKMS_CRYPTO_ENDPOINT

`vault_ocikms_management_endpoint`

El punto final de gestión de OCI KMS (o punto final de plano de control) que se utilizará para realizar solicitudes de gestión de claves a OCI KMS.
Valor predeterminado: VAULT_OCIKMS_MANAGEMENT_ENDPOINT

Auto-desellado de Vault Transit

Esto permite que Vault utilice otra instancia de Vault para el proceso de desellado utilizando su motor de secretos transit.

`vault_transit`

Establecer en verdadero para habilitar el auto-desellado de Vault Transit
Valor predeterminado: false

`vault_transit_backend`

Nombre de plantilla de backend de sellado
Valor predeterminado: vault_seal_transit.j2

`vault_transit_config`:

Archivo de configuración de destino
Valor predeterminado: vault_transit.hcl

`vault_transit_address`:

Dirección de Vault de la instancia utilizada para el auto-desellado
Valor predeterminado: ``, esta variable es obligatoria si vault_transit: true

`vault_transit_token`:

Token utilizado para autenticar la instancia de Vault externa
Valor predeterminado: ``, esta variable es obligatoria si vault_transit: true

`vault_transit_disable_renewal`:

Si desactivar la renovación automática del token
Valor predeterminado: false

`vault_transit_key_name`

Nombre de la clave utilizada para el auto-desellado
Valor predeterminado: autounseal

`vault_transit_mount_path`:

Ruta donde está montado el motor transit
Valor predeterminado: transit/

`vault_transit_namespace`:

Namespace del motor transit montado
Valor predeterminado: ``, omitido por defecto

`vault_transit_tls_ca_cert`:

Certificado CA de la instancia externa de vault
Valor predeterminado: ca_cert.pem, omitido si vault_transit_tls_skip_verify: true

`vault_transit_tls_client_cert`:

Certificado de cliente de la instancia externa de vault
Valor predeterminado: client_cert.pem, omitido si vault_transit_tls_skip_verify: true

`vault_transit_tls_client_key`:

Clave de cliente de la instancia externa de vault
Valor predeterminado: ca_cert.pem, omitido si vault_transit_tls_skip_verify: true

`vault_transit_tls_server_name`

Nombre del servidor TLS de la instancia externa de vault
Valor predeterminado: ``, omitido por defecto

`vault_transit_tls_skip_verify`:

Si desactivar la verificación del certificado TLS
Valor: false, también se puede establecer a través de VAULT_SKIP_VERIFY

Auto-desellado de Vault AWS KMS

Esta característica permite a los operadores delegar el proceso de desellado a AWS KMS para facilitar las operaciones en caso de fallo parcial y ayudar en la creación de nuevos clústeres.

`vault_awskms`

Establecer en verdadero para habilitar el auto-desellado de AWS KMS
Valor predeterminado: false

`vault_awskms_backend`

Nombre de plantilla de backend de sellado
Valor predeterminado: vault_seal_awskms.j2

`vault_awskms_region`

Qué región de AWS KMS usar
Valor predeterminado: us-east-1

`vault_awskms_access_key`

La clave de acceso de AWS que se utilizará para comunicarse con AWS KMS
Valor predeterminado: AWS_ACCESS_KEY_ID

`vault_awskms_secret_key`

La clave secreta de AWS que se utilizará para comunicarse con AWS KMS
Valor predeterminado: AWS_SECRET_ACCESS_KEY

`vault_awskms_key_id`

El ID de clave de KMS que se utilizará para AWS KMS
Valor predeterminado: VAULT_AWSKMS_SEAL_KEY_ID

`vault_awskms_endpoint`

El punto final que se utilizará para KMS
Valor predeterminado: AWS_KMS_ENDPOINT

Auto-desellado de Vault Azure Key Vault

Esta característica permite a los operadores delegar el proceso de desellado a Azure Key Vault para facilitar las operaciones en caso de fallo parcial y ayudar en la creación de nuevos clústeres efímeros.

`vault_azurekeyvault`

Establecer en verdadero para habilitar el auto-desellado de Azure Key Vault
Valor predeterminado: false

`vault_backend_azurekeyvault`

Nombre de plantilla de backend de sellado
Valor predeterminado: vault_seal_azurekeyvault.j2

`vault_azurekeyvault_client_id`

ID de la aplicación relacionada con el nombre del principal del servicio utilizado para conectarse a Azure
Valor predeterminado: EXAMPLE_CLIENT_ID

`vault_azurekeyvault_client_secret`

La clave secreta es la clave adjunta a su aplicación
Valor predeterminado: EXAMPLE_CLIENT_SECRET

`vault_azurekeyvault_tenant_id`

ID de inquilino que es su ID de directorio en Azure
Valor predeterminado: EXAMPLE_TENANT_ID

`vault_azurekeyvault_vault_name`

El nombre del Vault que alberga la clave
Valor predeterminado: vault

`vault_azurekeyvault_key_name`

La clave albergada en el Vault en Azure Key Vault
Valor predeterminado: vault_key

Plugins de Vault

Plugin acme

Instala el plugin vault-acme, también habilita el plugin si está autenticado contra vault (VAULT_ADDR, VAULT_TOKEN env).

`vault_plugin_acme_install`

Establecer esto en remote descargará el plugin acme a cada destino en lugar de copiarlo desde localhost.
Opciones: remote / local
Valor predeterminado: remote