Plugin de Búsqueda de Ansible [OBSOLETO]

La funcionalidad de búsqueda aquí encapsulada ahora es parte del núcleo de Ansible. Este plugin ya no es necesario.

Este plugin de Ansible proporciona la capacidad de buscar valores de Conjur en los playbooks. Es compatible con Conjur v4 y v5.

Según la identidad del host que controla Ansible, se pueden recuperar secretos de manera segura utilizando este plugin. Este enfoque proporciona una alternativa simple al Ansible Vault, pero se recomienda el uso de este plugin solo como parte de una migración suave a Conjur en playbooks existentes de Ansible, y se deben hacer esfuerzos para migrar a Summon tan pronto como sea prácticamente posible.

Nota: Para Conjur v5, este plugin está incluido con Ansible >= 2.5.0.0. El soporte para v4 estará disponible pronto.

Para asignar la identidad del sistema a los nodos controlados por Ansible, consulta el Rol de Ansible para Conjur.

Lectura Requerida

• Para aprender más sobre Conjur, inténtalo aquí
• Para aprender más sobre cómo se puede integrar Conjur con Ansible, visita la Documentación de Integración
• Para aprender más sobre Summon, la herramienta que te permite ejecutar aplicaciones con secretos recuperados de Conjur, visita la Página de Summon
• Para aprender más sobre otras maneras de integrarte con Conjur, visita nuestras páginas sobre la CLI, API y Integraciones

Instalación

Instala el rol de Conjur usando la siguiente sintaxis:

$ ansible-galaxy install cyberark.conjur-lookup-plugin

Pruebas

Para ejecutar las pruebas:

$ cd tests
$ ./test.sh

Requisitos

• Un servicio de Conjur en funcionamiento que sea accesible desde el host controlador de Ansible.
• Una identidad de Conjur en el host controlador de Ansible (para lograr esto, se recomienda usar el CLI para iniciar sesión, o ejecutar el rol de Ansible en el host como una acción única antes de ejecutar tus playbooks).
• Ansible >= 2.3.0.0

Uso

Usando variables de entorno:

export CONJUR_ACCOUNT="orgaccount"
#export CONJUR_VERSION="4"
export CONJUR_APPLIANCE_URL="https://conjur-appliance"
export CONJUR_CERT_FILE="/ruta/a/conjur_certficate_file"
export CONJUR_AUTHN_LOGIN="host/identidad_del_host"
export CONJUR_AUTHN_API_KEY="clave API del host"

Nota: Por defecto, el plugin de búsqueda utiliza la API de Conjur 5 para recuperar secretos. Si usas Conjur v4, establece la variable de entorno CONJUR_VERSION a 4. Puedes proporcionarla descomentando la línea correspondiente arriba.

Playbook:

- hosts: servers
  roles:
    - role: cyberark.conjur-lookup-plugin
  tasks:
    - name: Recuperar secreto con identidad maestra
      vars:
        super_secret_key: {{ lookup('retrieve_conjur_variable', 'path/to/secret') }}
      shell: echo "¡Yay! {{super_secret_key}} fue recuperado con Conjur"

Recomendaciones

• Agrega no_log: true a cada play que use datos sensibles, de lo contrario, esos datos pueden ser impresos en los logs.
• Establece los archivos de Ansible con permisos mínimos. Ansible utiliza los permisos del usuario que lo ejecuta.

Licencia

Apache 2