Coffre-fort

Ce rôle Ansible effectue une installation de base de Coffre-fort, y compris la structure du système de fichiers et un exemple de configuration.

Il peut également démarrer un serveur de développement ou d'évaluation minimal ou un cluster HA basé sur Consul dans un environnement basé sur Vagrant et VirtualBox. Consultez README_VAGRANT.md et le fichier Vagrantfile associé pour plus de détails sur la configuration en mode développeur.

Installation

Brian Shumate a transféré ce rôle à @ansible-community/hashicorp-tools. Ce rôle est hébergé sur GitHub en attente de correction de l'intégration avec Ansible Galaxy. Pour installer ce rôle, créez un fichier roles/requirements.yml dans le dossier de votre projet Ansible avec le contenu suivant :

- src: https://github.com/ansible-community/ansible-vault.git
  name: ansible-community.ansible-vault
  scm: git
  version: master

Vous pouvez utiliser un tag git dans l'attribut version. Vous pouvez également conserver son ancien nom name: brianshumate.ansible-vault.

Exigences

Ce rôle nécessite Archlinux, AmazonLinux, FreeBSD, Debian ou une distribution Linux basée sur RHEL. Il pourrait fonctionner avec d'autres versions logicielles, mais fonctionne avec les versions logicielles spécifiques suivantes :

• Ansible : 2.8.4
• Coffre-fort : 1.4.0 et supérieur
• AlmaLinux
  • 8
  • 9
• AmazonLinux
  • 2
  • 2022
• ArchLinux
• CentOS
  • 7
  • 8 stream
  • 9 stream
• Debian
  • 9 (stretch)
  • 10 (buster)
  • 11 (bullseye)
• FreeBSD
  • 11
• RockyLinux
  • 8
  • 9
• Ubuntu
  • 18.04 (Bionic Beaver)
  • 20.04 (Focal Fossa)
  • 22.04 (Jammy Jellyfish)

Désolé, il n'y a pas de support prévu pour Windows pour le moment.

Avertissement

Par défaut, ce rôle peut redémarrer le service vault lorsqu'il est joué (lorsqu'il y a un changement de configuration, que des paquets d'OS sont installés/mis à jour)

Lorsque qu'il n'y a pas de configuration d'auto-remontée sur votre cluster, le redémarrage peut entraîner une situation où toutes les instances de Vault seront scellées et votre cluster sera indisponible.

Pour éviter cette situation, le redémarrage du service par le playbook peut être désactivé en utilisant la variable de rôle vault_service_restart.

Mettre cette variable vault_service_restart à false désactivera le redémarrage du service vault par le playbook. Vous devrez peut-être redémarrer le service manuellement pour charger toute nouvelle configuration déployée.

Variables de Rôle

Le rôle définit des variables dans defaults/main.yml :

vault_listener_localhost_enable

• Mettez ceci à vrai si vous activez l'écoute de Vault sur localhost.
• Valeur par défaut : false

vault_privileged_install

• Mettez ceci à vrai si vous voyez des erreurs de permission lorsque les fichiers de Vault sont téléchargés et décompressés localement. Ce problème peut survenir si le rôle a été téléchargé par un utilisateur (comme root), et l'installation est faite avec un autre utilisateur.
• Valeur par défaut : false

vault_version

• Version à installer

  • Peut être remplacé par la variable d'environnement VAULT_VERSION
  • Inclura "+prem" si vault_enterprise_premium=True
  • Inclura ".hsm" si vault_enterprise_premium_hsm=True

• Valeur par défaut : 1.5.5

vault_enterprise

• Mettez ceci à vrai lors de l'installation de Vault Enterprise ; cela n'est pas actuellement possible en tant que méthode d'installation "uniquement à distance"
  • Peut être remplacé par la variable d'environnement VAULT_ENTERPRISE
• Valeur par défaut : false

vault_pkg

• nom du fichier de paquet
• Valeur par défaut : "vault_{{ vault_version }}_linux_amd64.zip"

vault_enterprise_pkg

• nom du fichier de paquet pour l'entreprise
• Valeur par défaut : "vault-enterprise_{{ vault_version }}_{{ vault_os }}_{{ vault_architecture }}.zip"

vault_zip_url

• URL de téléchargement de paquet
• Valeur par défaut : "https://releases.hashicorp.com/vault/{{ vault_version }}/vault_{{ vault_version }}_linux_amd64.zip"
• Remplacez cette variable si vous avez votre coffre à fichiers en interne.
• Fonctionne aussi pour les installations de l'entreprise.

vault_checksum_file_url

• URL de résumés SHA
• Remplacez cette variable si votre fichier sha est hébergé en interne.
• Valeur par défaut : "https://releases.hashicorp.com/vault/{{ vault_version }}/vault_{{ vault_version}}_SHA256SUMS"

vault_install_hashi_repo

• Mettez ceci à true lors de l'installation de Vault via le dépôt Linux de HashiCorp. Lorsqu'il est défini, vous pouvez également définir vault_repository_key_url et vault_repository_url pour remplacer l'URL par défaut de la clé GPG pour le dépôt et l'URL par défaut du dépôt utilisé.
• Valeur par défaut : false

vault_rhsm_repo_id

• Nom du dépôt rhsm
• Mettez ceci au nom de votre dépôt rhsm lors de l'installation de Vault via un dépôt RHSM (RedHat Satellite/Foreman/etc.). Lorsqu'il est défini, vous devez vous assurer que vault_install_hashi_repo est défini sur true pour activer l'installation à partir du dépôt. Et éventuellement aussi le nom d'abonnement rhsm avec vault_rhsm_subscription_name.
• Valeur par défaut : null

vault_rhsm_subscription_name

• Nom de l'abonnement rhsm
• Mettez le nom de l'abonnement rhsm pour attacher l'abonnement rhsm via subscription-manager. Lorsqu'il est défini, vous devez vous assurer que vault_install_hashi_repo est défini sur true pour activer l'installation à partir du dépôt. Et aussi que vault_rhsm_repo_id est défini.
• Valeur par défaut : null

vault_install_remotely

• Mettre ceci à true téléchargera le binaire de Vault depuis chaque cible au lieu de localhost
• Valeur par défaut : false

vault_shasums

• Nom du fichier de résumés SHA (inclus pour commodité, non modifiable)
• Valeur par défaut : "vault_{{ vault_version }}_SHA256SUMS"

vault_enterprise_shasums

• Nom du fichier de résumés SHA pour l'entreprise (inclus pour commodité, non modifiable)
• Tentera de télécharger depuis vault_checksum_file_url s'il n'est pas présent dans les fichiers/
• Valeur par défaut : "vault-enterprise_{{ vault_version }}_SHA256SUMS"

vault_bin_path

• Chemin d'installation binaire
• Valeur par défaut : /usr/local/bin

vault_config_path

• Chemin du fichier de configuration
• Valeur par défaut : /etc/vault.d

vault_use_config_path

• Utilisez "{{ vault_config_path }}" pour configurer Vault au lieu de "{{ vault_main_config }}"
• valeur par défaut : false

vault_plugin_path

• Chemin à partir duquel les plugins peuvent être chargés
• Valeur par défaut : /usr/local/lib/vault/plugins

vault_plugins_enable

• Liste des plugins à activer (voir sous tasks/plugins pour voir les plugins pris en charge.)
• Par exemple : vault_plugins_enable: [ 'acme', 'example' ]
• Valeur par défaut : []

vault_plugins_src_dir_remote

• Répertoire où les fichiers zip/installations temporaires de plugins sont placés. Lorsque l'installation est effectuée à distance.
• Valeur par défaut : /usr/local/src/vault/plugins

vault_plugins_src_dir_local

• Répertoire où les fichiers zip/installations temporaires de plugins sont placés. Lorsque l'installation est effectuée localement.
• Valeur par défaut : {{ role_path }}/files/plugins

vault_plugins_src_dir_cleanup

• Doit-on nettoyer le répertoire des fichiers zip/installations temporaires de plugins après l'installation ? Avertissement : lorsque les plugins ne fournissent pas de numéro de version, cela pourrait entraîner le téléchargement des plugins à chaque fois et ainsi casser l'idempotence.
• Valeur par défaut : false

vault_data_path

• Chemin vers les données
• Valeur par défaut : /var/vault

vault_log_path

• Chemin vers les journaux
• Valeur par défaut : /var/log/vault

vault_run_path

• Emplacement du fichier PID
• Valeur par défaut : /var/run/vault

vault_harden_file_perms

• Ce rôle doit-il interdire à Vault d'écrire dans le chemin de configuration et dans le chemin des plugins ? Cela doit être activé pour respecter la durcissement en production.
• Valeur par défaut : false

vault_manage_user

• Ce rôle doit-il gérer l'utilisateur Vault ?
• Valeur par défaut : true

vault_user

• Nom de l'utilisateur du système
• Valeur par défaut : vault

vault_group

• Nom du groupe du système
• Valeur par défaut : bin

vault_groups

• Groupes supplémentaires du système comme dans le module utilisateur d'Ansible
• Valeur par défaut : null

vault_manage_group

• Ce rôle doit-il gérer le groupe Vault ?
• Valeur par défaut : false

vault_cluster_name

• Nom du label du cluster
• Valeur par défaut : dc1

vault_datacenter

• Nom du label du datacenter
• Valeur par défaut : dc1

vault_ui

• Activer l'interface web de Vault
• Valeur par défaut : true

vault_service_restart

• Le playbook doit-il redémarrer le service Vault si nécessaire
• Valeur par défaut : true

vault_service_reload

• Le playbook doit-il recharger le service Vault lorsque la configuration principale change.
• Valeur par défaut : false

vault_start_pause_seconds

• Certaines installations peuvent avoir besoin d'un certain temps entre le premier démarrage de Vault et le premier redémarrage. Mettre cette valeur à >0 ajoutera un temps d'attente après le premier démarrage de Vault.
• Valeur par défaut : 0

Variables d'écoute TCP

vault_tcp_listeners

• Une liste d'écouteurs TCP. Chaque écouteur peut définir n'importe quelle des variables spécifiques de l'écouteur décrites plus en détail ci-dessous.
• Valeur par défaut :

vault_tcp_listeners:
  - vault_address: '{{ vault_address }}'
    vault_port: '{{ vault_port }}'
    vault_cluster_address: '{{ vault_cluster_address }}'
    # vault_proxy_protocol_behavior: '{{ vault_proxy_protocol_behavior }}'
    # vault_proxy_protocol_authorized_addrs: '{{ vault_proxy_protocol_authorized_addrs }}'
    vault_tls_disable: '{{ vault_tls_disable }}'
    vault_tls_certs_path: '{{ vault_tls_certs_path }}'
    vault_tls_private_path: '{{ vault_tls_private_path }}'
    vault_tls_cert_file: '{{ vault_tls_cert_file }}'
    vault_tls_key_file: '{{ vault_tls_key_file }}'
    vault_tls_ca_file: '{{ vault_tls_ca_file }}'
    vault_tls_min_version: '{{ vault_tls_min_version }}'
    vault_tls_cipher_suites: '{{ vault_tls_cipher_suites }}'
    vault_tls_require_and_verify_client_cert: '{{ vault_tls_require_and_verify_client_cert }}'
    vault_tls_disable_client_certs: '{{ vault_tls_disable_client_certs }}'
    # vault_x_forwarded_for_authorized_addrs: '{{ vault_x_forwarded_for_authorized_addrs }}'
    # vault_x_forwarded_for_hop_skips: '{{ vault_x_forwarded_for_hop_skips }}'
    # vault_x_forwarded_for_reject_not_authorized: '{{ vault_x_forwarded_for_reject_not_authorized }}'
    # vault_x_forwarded_for_reject_not_present: '{{ vault_x_forwarded_for_reject_not_present }}'

Variables de Backend de stockage

vault_backend

• Quel backend de stockage doit être sélectionné, les choix sont : raft, consul, etcd, file, s3, et dynamodb.
• Valeur par défaut : raft

vault_backend_tls_src_files

• Répertoire source spécifié par l'utilisateur pour les fichiers TLS pour la communication de stockage.
• {{ vault_tls_src_files }}

vault_backend_tls_certs_path

• Chemin vers le répertoire contenant les fichiers de certificats tls du backend.
• {{ vault_tls_certs_path }}

vault_backend_tls_private_path

• Chemin vers le répertoire contenant les fichiers de clé tls du backend.
• {{ vault_tls_private_path }}

vault_backend_tls_cert_file

• Spécifie le chemin vers le certificat pour la communication avec le backend (si pris en charge).
• {{ vault_tls_cert_file }}

vault_backend_tls_key_file

• Spécifie le chemin vers la clé privée pour la communication avec le backend (si pris en charge).
• {{ vault_tls_key_file }}

vault_backend_tls_ca_file

• Certificat CA utilisé pour la communication avec le backend (si pris en charge). Ceci est par défaut le bundle système s'il n'est pas spécifié.
• {{ vault_tls_ca_file }}

Backend de stockage Raft

vault_raft_leader_tls_servername

• Nom du serveur TLS à utiliser lors de la connexion via HTTPS.
• Valeur par défaut : aucun.

vault_raft_group_name

• Nom du groupe d'inventaire des serveurs hébergeant le backend raft.
• Valeur par défaut : vault_raft_servers

vault_raft_cluster_members

• Membres du cluster Raft.
• Valeur par défaut : hôtes dans le groupe vault_raft_group_name
• Peut être utilisé pour remplacer le comportement de sélection dynamique de tous les hôtes dans vault_raft_group_name.
• Exemple :

  vault_raft_cluster_members:
    - peer: vault-host-1
      api_addr: https://vault-host-1:8200
    - peer: vault-host-2
      api_addr: https://vault-host-2:8200
    - peer: vault-host-3
      api_addr: https://vault-host-2:8200
  

• Définir statiquement la variable vault_raft_cluster_members permet de faire fonctionner le rôle sur un seul hôte (au lieu de l'ensemble du groupe d'hôtes).

vault_raft_data_path

• Chemin des données pour Raft
• Valeur par défaut : vault_data_path

vault_raft_node_id

• Node_id pour Raft.
• Valeur par défaut : inventory_hostname_short

vault_raft_performance_multiplier

• Multiplicateur de performance pour Raft.
• Valeur par défaut : aucun.

vault_raft_trailing_logs

• Nombre d'entrées dans le journal laissées sur le magasin de journaux après un instantané.
• Valeur par défaut : aucun.

vault_raft_snapshot_threshold

• Minimum d'entrées de validation Raft entre les instantanés.
• Valeur par défaut : aucun.

vault_raft_max_entry_size

• Nombre maximum d'octets pour une entrée Raft.
• Valeur par défaut : aucun.

vault_raft_autopilot_reconcile_interval

• Intervalle après lequel l'autopilote prendra en compte les modifications d'état.
• Valeur par défaut : aucun.

vault_raft_cloud_auto_join

• Définit tous les métadonnées d'auto-rejoint pour le cloud. Si fourni, Vault tentera de découvrir automatiquement les pairs en plus de ce qui peut être fourni via leader_api_addr.
• Valeur par défaut : aucun.

vault_raft_cloud_auto_join_exclusive

• Si défini sur true, toutes les occurrences de leader_api_addr seront supprimées de la configuration. Laisser cela à false permettra à auto_join et à leader_api_addr de coexister.
• Valeur par défaut : false.

vault_raft_cloud_auto_join_scheme

• Schéma URI à utiliser pour auto_join.
• Valeur par défaut : aucun (le https est la valeur par défaut définie par Vault si non spécifiée).

vault_raft_cloud_auto_join_port

• Port à utiliser pour auto_join.
• Valeur par défaut : aucun (le 8200 est la valeur par défaut pour Vault si non spécifiée).

Backend de stockage Consul

vault_backend_consul

• Nom du fichier de modèle backend consul.
• Valeur par défaut : backend_consul.j2

vault_consul

• valeur host:port pour se connecter au backend HA de Consul.
• Valeur par défaut : 127.0.0.1:8500

vault_consul_scheme

• Schéma pour le backend Consul.
• Valeurs prises en charge : http, https.
• Valeur par défaut : http.

vault_consul_path

• Nom du chemin racine K/V de Consul pour Vault.
• Valeur par défaut : vault.

vault_consul_service

• Nom du service Vault à enregistrer dans Consul.
• Valeur par défaut : vault.

vault_consul_token

• Jeton ACL pour accéder à Consul.
• Valeur par défaut : aucun.

Backend de stockage etcd

vault_etcd

• Adresse de stockage etcd.
• Valeur par défaut : 127.0.0.1:2379.

vault_etcd_api

• Version API.
• Valeur par défaut : v3.

vault_etcd_path

• Chemin pour le stockage de Vault.
• Valeur par défaut : /vault/.

vault_etcd_discovery_srv

• Serveur de découverte.
• Valeur par défaut : aucun.

vault_etcd_discovery_srv_name

• Nom du serveur de découverte.
• Valeur par défaut : aucun.

vault_etcd_ha_enabled

• Utiliser le stockage pour le mode de haute disponibilité.
• Valeur par défaut : false.

vault_etcd_sync

• Utiliser etcdsync.
• Valeur par défaut : true.

vault_etcd_username

• Nom d'utilisateur.
• Valeur par défaut : aucun.

vault_etcd_password

• Mot de passe.
• Valeur par défaut : aucun.

vault_etcd_request_timeout

• Délai d'attente de la demande.
• Valeur par défaut : "5s".

vault_etcd_lock_timeout

• Délai d'attente pour le verrou.
• Valeur par défaut : "15s".

Backend de stockage par fichier

vault_backend_file

• Nom du fichier de modèle backend de fichier.
• Valeur par défaut : backend_file.j2.

Backend de stockage intégré Raft

vault_backend_raft

• Nom du fichier modèle de stockage intégré Raft.
• Valeur par défaut : vault_backend_raft.j2.

vault_raft_node_id

• Identifiant pour le nœud dans le cluster de stockage intégré Raft.
• Valeur par défaut : "raft_node_1".

vault_raft_retry_join

• Détails de tous les nœuds connus à l'avance.
• Valeur par défaut : "[]".

leader_api_addr

• Adresse d'un nœud possible leader.
• Valeur par défaut : "".

leader_ca_cert_file

• Chemin vers le certificat CA du nœud leader possible.
• Valeur par défaut : "".

leader_client_cert_file

• Chemin vers le certificat client pour que le nœud suiveur établisse une authentification client avec le nœud possible leader.
• Valeur par défaut : "".

leader_client_key_file

• Chemin vers la clé client pour que le nœud suiveur établisse une authentification client avec le nœud possible leader.
• Valeur par défaut : "".

leader_ca_cert

• Certificat CA du nœud leader possible.
• Valeur par défaut : "".

leader_client_cert

• Certificat client pour que le nœud suiveur établisse une authentification client avec le nœud possible leader.
• Valeur par défaut : "".

leader_client_key

• Clé client pour que le nœud suiveur établisse une authentification client avec le nœud possible leader.
• Valeur par défaut : "".

Backend DynamoDB

Pour la documentation supplémentaire sur les diverses options disponibles, consultez la documentation de Vault concernant le backend de stockage DynamoDB.

vault_dynamodb

• Spécifie un point de terminaison DynamoDB alternatif.
• Valeur par défaut : aucun.
  • Peut être remplacé par la variable d'environnement AWS_DYNAMODB_ENDPOINT.

vault_dynamodb_table

• Nom de la table DynamoDB utilisée pour stocker les données Vault.
  • Si la table n'existe pas déjà, elle sera créée lors de l'initialisation.
• Valeur par défaut : "vault-dynamodb-backend"
  • Peut être remplacé par la variable d'environnement AWS_DYNAMODB_TABLE.

vault_dynamodb_ha_enabled

• Indique si la haute disponibilité est activée pour ce backend de stockage.
• Valeur par défaut : "false"
  • Peut être remplacé par la variable d'environnement DYNAMODB_HA_ENABLED.
    • Le préfixe AWS_ manquant n'est pas une erreur, cette variable particulière n'est pas préfixée dans la documentation et le code source de Vault.

vault_dynamodb_max_parallel

• Nombre maximum de requêtes simultanées.
• Valeur par défaut : "128".

vault_dynamodb_region

• La région AWS.
• Valeur par défaut : us-east-1.
  • Peut être remplacé par la variable d'environnement AWS_DEFAULT_REGION.

vault_dynamodb_read_capacity

• Nombre de lectures par seconde à prévoir pour la table.
• Utilisé uniquement lors de la création de la table, n'a aucun effet si la table existe déjà.
• Valeur par défaut : 5
  • Peut être remplacé par la variable d'environnement AWS_DYNAMODB_READ_CAPACITY.

vault_dynamodb_write_capacity

• Nombre d'écritures par seconde à prévoir pour la table.
• Utilisé uniquement lors de la création de la table, n'a aucun effet si la table existe déjà.
• Valeur par défaut : 5
  • Peut être remplacé par la variable d'environnement AWS_DYNAMODB_WRITE_CAPACITY.

vault_dynamodb_access_key

• Clé d'accès AWS à utiliser pour l'authentification.
• Valeur par défaut : aucun
  • Peut être remplacé par la variable d'environnement AWS_ACCESS_KEY_ID.
• Laisser cette variable et vault_dynamodb_secret_key vides entraînera Vault à tenter de récupérer les informations d'identification du service de métadonnées AWS.

vault_dynamodb_secret_key

• Clé secrète AWS utilisée pour l'authentification.
• Valeur par défaut : aucun
  • Peut être remplacé par la variable d'environnement AWS_SECRET_ACCESS_KEY.
• Laisser cette variable et vault_dynamodb_access_key vides entraînera Vault à tenter de récupérer les informations d'identification du service de métadonnées AWS.

vault_dynamodb_session_token

• Jeton de session AWS.
• Valeur par défaut : aucun
  • Peut être remplacé par la variable d'environnement AWS_SESSION_TOKEN.

Backend de stockage Google Cloud

vault_gcs_bucket

• Spécifie le nom du bucket à utiliser pour le stockage.
• Valeur par défaut : aucun.

vault_gcs_ha_enabled

• Indique si le mode haute disponibilité est activé.
• Valeur par défaut : "false".

vault_gcs_chunk_size

• Spécifie la taille maximale (en kilo-octets) à envoyer dans une seule requête. Si réglé sur 0, il tentera d'envoyer l'objet entier en une fois, mais ne réessaiera pas les échecs.
• Valeur par défaut : "8192".

vault_gcs_max_parallel

• Spécifie le nombre maximum d'opérations parallèles à réaliser.
• Valeur par défaut : "128".

vault_gcs_copy_sa

• Copier le fichier d'informations d'identification du service GCP depuis le nœud de contrôle Ansible vers le serveur Vault. Lorsqu'il n'est pas true et qu'aucune valeur n'est spécifiée pour vault_gcs_credentials_src_file, les informations par défaut du compte de service d'instance sont utilisées.
• Valeur par défaut : "false".

vault_gcs_credentials_src_file

• Chemin vers les informations d'identification GCP sur le nœud de contrôle Ansible.
• Valeur par défaut : aucun.

vault_gcs_credentials_dst_file

• Chemin vers les informations d'identification GCP sur le serveur Vault.
• Valeur par défaut : {{ vault_home }}/{{ vault_gcs_credentials_src_file | basename }}".

Enregistrement du service Consul

Pour plus d'informations sur les diverses options, consultez la documentation de Vault pour l'enregistrement du service Consul. Notez que ceci n'est disponible qu'à partir de Vault version 1.4.

vault_service_registration_consul_enable

• Activer l'enregistrement du service Consul.
• Valeur par défaut : false

vault_service_registration_consul_template

• Nom du fichier modèle d'enregistrement du service Consul.
• Valeur par défaut : service_registration_consul.hcl.j2.

vault_service_registration_consul_address

• valeur host:port pour se connecter à l'enregistrement du service Consul.
• Valeur par défaut : 127.0.0.1:8500.

vault_service_registration_check_timeout

• Spécifie l'intervalle de contrôle utilisé pour envoyer des informations de santé à Consul.
• Valeur par défaut : 5s.

vault_service_registration_disable_registration

• Spécifie si Vault doit s'enregistrer avec Consul.
• Valeur par défaut : false.

vault_service_registration_consul_scheme

• Schéma pour l'enregistrement du service Consul.
• Valeurs prises en charge : http, https.
• Valeur par défaut : http.

vault_service_registration_consul_service

• Nom du service Vault à enregistrer dans Consul.
• Valeur par défaut : vault.

vault_service_registration_consul_service_tags

• Spécifie une liste de balises séparées par des virgules à attacher à l'enregistrement du service dans Consul.
• Valeur par défaut : ""

vault_service_registration_consul_service_address

• Spécifie une adresse spécifique au service à définir sur l'enregistrement de service dans Consul.
• Valeur par défaut : nil.

vault_service_registration_consul_token

• Jeton ACL pour s'enregistrer avec l'enregistrement du service Consul.
• Valeur par défaut : aucun.

vault_service_registration_consul_tls_certs_path

• chemin vers le certificat tls.
• valeur par défaut {{ vault_tls_certs_path }}.

vault_service_registration_consul_tls_private_path

• chemin vers la clé tls.
• valeur par défaut {{ vault_tls_private_path }}.

vault_service_registration_consul_tls_ca_file

• Nom du fichier de certificat CA.
• Valeur par défaut : {{ vault_tls_ca_file }}.

vault_service_registration_consul_tls_cert_file

• Certificat du serveur.
• Valeur par défaut : {{ vault_tls_cert_file }}.

vault_service_registration_consul_tls_key_file

• Clé du serveur.
• Valeur par défaut : {{ vault_tls_key_file }}.

vault_service_registration_consul_tls_min_version

• Version TLS minimum acceptable.
• Valeur par défaut : {{ vault_tls_min_version }}.

vault_service_registration_consul_tls_skip_verify

• Désactiver la vérification des certificats TLS. Utiliser cette option est fortement déconseillé.
• Valeur par défaut : false.

Enregistrement de service Kubernetes

Pour plus d'informations sur les diverses options, consultez la documentation de Vault pour l'enregistrement de service Kubernetes. Notez que ceci n'est disponible qu'à partir de Vault version 1.4.

vault_service_registration_kubernetes_consul_enable

• Activer l'enregistrement de service Kubernetes.
• Valeur par défaut : false.

vault_service_registration_kubernetes_template

• Nom du fichier modèle d'enregistrement de service Kubernetes.
• Valeur par défaut : service_registration_kubernetes.hcl.j2.

vault_service_registration_kubernetes_namespace

• Namespace Kubernetes à enregistrer.
• Valeur par défaut : vault.

vault_service_registration_pod_name

• Nom du pod Kubernetes à enregistrer.
• Valeur par défaut : vault.

vault_log_level

• Niveau de journal
  • Valeurs prises en charge : trace, debug, info, warn, err.
• Valeur par défaut : info.
• Nécessite Vault version 0.11.1 ou supérieure.

vault_iface

• Interface réseau.
  • Peut être remplacé par la variable d'environnement VAULT_IFACE.
• Valeur par défaut : eth1.

vault_address

• Adresse de l'interface réseau principale à utiliser.
• Valeur par défaut : "{{ hostvars[inventory_hostname]['ansible_'+vault_iface]['ipv4']['address'] }}".

vault_port

• Numéro de port TCP sur lequel écouter.
• Valeur par défaut : 8200.

vault_max_lease_ttl

• Configure la durée maximale de location possible pour les jetons et secrets.
• Valeur par défaut : 768h (32 jours).

vault_default_lease_ttl

• Configure la durée de location par défaut pour les jetons et secrets.
• Valeur par défaut : 768h (32 jours).

vault_main_config

• Nom du fichier de configuration principal (chemin complet).
• Valeur par défaut : "{{ vault_config_path }}/vault_main.hcl".

vault_main_configuration_template

• Fichier modèle de configuration principale de Vault.
• Valeur par défaut : vault_main_configuration.hcl.j2.

vault_custom_configuration

• Configuration personnalisée de Vault.
• Valeur par défaut : aucun.

vault_http_proxy

• Adresse à utiliser comme proxy pour les requêtes HTTP et HTTPS, sauf si remplacée par vault_https_proxy ou vault_no_proxy.
• Valeur par défaut : "".

vault_https_proxy

• Adresse à utiliser comme proxy pour les requêtes HTTPS, sauf si remplacée par vault_no_proxy.
• Valeur par défaut : "".

vault_no_proxy

• Valeurs séparées par des virgules qui spécifient les hôtes qui doivent être exclus du proxy. Suit les conventions golang.
• Valeur par défaut : "".

vault_cluster_address

• Adresse à laquelle se lier pour les demandes serveur-à-serveur du cluster.
• Valeur par défaut : "{{ hostvars[inventory_hostname]['ansible_'+vault_iface]['ipv4']['address'] }}:{{ (vault_port | int) + 1 }}".

vault_cluster_addr

• Adresse à annoncer aux autres serveurs Vault dans le cluster pour le transfert de requêtes.
• Valeur par défaut : "{{ vault_protocol }}://{{ vault_cluster_address }}".

vault_api_addr

• Adresse de redirection client HA.
• Valeur par défaut : "{{ vault_protocol }}://{{ vault_redirect_address or hostvars[inventory_hostname]['ansible_'+vault_iface]['ipv4']['address'] }}:{{ vault_port }}".
  • vault_redirect_address est conservé pour des raisons de compatibilité rétroactive mais est obsolète.

vault_disable_api_health_check

• Flag pour désactiver le contrôle de santé sur l'adresse API de vault.
• Valeur par défaut : false.

vault_cluster_disable

• Désactiver le clustering HA.
• Valeur par défaut : false.

validate_certs_during_api_reachable_check

• Désactiver la validation des certificats pour le contrôle de l'accessibilité de l'API.
• Valeur par défaut : true.

vault_proxy_protocol_behavior

• Peut être l'un de use_always, allow_authorized, ou deny_unauthorized.
• Active le protocole PROXY pour l'écouteur.
• Si activé et défini sur autre chose que use_always, vous devez également définir
  • vault_proxy_protocol_authorized_addrs.
  • Liste séparée par des virgules d'adresses IP source pour lesquelles les informations du protocole PROXY seront utilisées.
• Valeur par défaut : "".

vault_tls_certs_path

• Chemin vers les certificats TLS.
• Valeur par défaut : /etc/vault/tls.

vault_tls_private_path

• Chemin vers les clés TLS.
• Valeur par défaut : /etc/vault/tls.

vault_tls_disable

• Désactiver TLS.
  • Peut être remplacé par la variable d'environnement VAULT_TLS_DISABLE.
• Valeur par défaut : 1.

vault_tls_gossip

• Activer le Gossip TLS vers le stockage (si pris en charge).
• Valeur par défaut : 0.

vault_tls_src_files

• Répertoire source spécifié par l'utilisateur pour les fichiers TLS.
  • Remplacer par la variable d'environnement VAULT_TLS_SRC_FILES.
• Valeur par défaut : {{ role_path }}/files.

vault_tls_ca_file

• Nom du fichier de certificat CA.
  • Remplacer par la variable d'environnement VAULT_TLS_CA_CRT.
• Valeur par défaut : ca.crt.

vault_tls_client_ca_file

• Nom du fichier de certificat CA client.
• Valeur par défaut : `.

vault_tls_cert_file

• Certificat serveur.
  • Remplacer par la variable d'environnement VAULT_TLS_CERT_FILE.
• Valeur par défaut : server.crt.

vault_tls_key_file

• Clé serveur.
  • Remplacer par la variable d'environnement VAULT_TLS_KEY_FILE.
• Valeur par défaut : server.key.

vault_tls_min_version

• Version TLS minimum acceptable.
  • Peut être remplacée par la variable d'environnement VAULT_TLS_MIN_VERSION.
• Valeur par défaut : tls12.

vault_tls_cipher_suites

• Liste séparée par des virgules des ciphers pris en charge.
• Valeur par défaut : "".

vault_tls_require_and_verify_client_cert

• Exiger que les clients présentent un certificat client valide.
• Valeur par défaut : false.

vault_tls_disable_client_certs

• Désactiver la demande de certificats clients.
• Valeur par défaut : false.

vault_tls_copy_keys

• Copier les fichiers TLS de la source vers la destination.
• Valeur par défaut : true.

vault_tls_files_remote_src

• Copier depuis une source distante si des fichiers TLS sont déjà sur l'hôte.
• Valeur par défaut : false.

vault_x_forwarded_for_authorized_addrs

• Liste séparée par des virgules d'adresses IP CIDR pour lesquelles un en-tête X-Forwarded-For sera de confiance.
• Active le support X-Forwarded-For..
• Si activé, vous pouvez également définir l'un des paramètres suivants :
  • vault_x_forwarded_for_hop_skips avec un format de "N" pour le nombre de sauts à ignorer.
  • vault_x_forwarded_for_reject_not_authorized avec vrai/faux.
  • vault_x_forwarded_for_reject_not_present avec vrai/faux.
• Valeur par défaut : "".

vault_bsdinit_template

• Fichier modèle d'initialisation BSD.
• Valeur par défaut : vault_service_bsd_init.j2.

vault_sysvinit_template

• Fichier modèle d'initialisation SysV.
• Valeur par défaut : vault_sysvinit.j2.

vault_debian_init_template

• Fichier modèle d'initialisation Debian.
• Valeur par défaut : vault_service_debian_init.j2.

vault_systemd_template

• Fichier modèle de service systemd.
• Valeur par défaut : vault_service_systemd.j2.

vault_systemd_service_name

• Nom de l'unité de service systemd.
• Valeur par défaut : "vault".

vault_telemetry_enabled

• Activer la télémétrie de Vault.
• Si activé, vous devez définir au moins l'un des paramètres suivants en fonction de votre fournisseur de télémétrie :
  • vault_statsite_address avec un format de "FQDN:PORT".
  • vault_statsd_address avec un format de "FQDN:PORT".
  • vault_prometheus_retention_time par exemple : "30s" ou "24h".
• Si activé, définissez éventuellement vault_telemetry_disable_hostname pour supprimer le préfixe de nom d'hôte des données de télémétrie.
• Valeur par défaut : false.

vault_unauthenticated_metrics_access

• Configurer l'accès aux métriques non authentifiées.
• Valeur par défaut : false.

vault_telemetry_usage_gauge_period

• Spécifie l'intervalle auquel les données d'utilisation à haute cardinalité sont collectées, comme les comptes de jetons, les comptes d'entités et les comptes de secrets.
• Valeur par défaut : indéfini.

Variables de distribution OS

Le binaire vault fonctionne sur la plupart des plateformes Linux et n'est pas spécifique à une distribution. Cependant, certaines distributions nécessitent l'installation de paquets spécifiques avec des noms différents. Ce rôle a été conçu avec le support pour les distributions Linux populaires et définit ces variables pour traiter les différences entre distributions :

vault_pkg

• Nom du fichier de paquet Vault.
• Valeur par défaut : {{ vault_version }}_linux_amd64.zip.

vault_centos_url

• URL de téléchargement du paquet Vault.
• Valeur par défaut : {{ vault_zip_url }}.

vault_centos_os_packages

• Liste des paquets d'OS à installer.
• Valeur par défaut : liste.

vault_pkg

• Nom du fichier de paquet Vault.
• Valeur par défaut : "{{ vault_version }}_linux_amd64.zip".

vault_debian_url

• URL de téléchargement du paquet Vault.
• Valeur par défaut : "{{ vault_zip_url }}".

vault_sha256

• Résumé SHA256 du téléchargement de Vault.
• Valeur par défaut : Résumé SHA256.

vault_debian_os_packages

• Liste des paquets d'OS à installer.
• Valeur par défaut : liste.

vault_pkg

• Nom du fichier de paquet Vault.
• Valeur par défaut : "{{ vault_version }}_linux_amd64.zip".

vault_redhat_url

• URL de téléchargement du paquet Vault.
• Valeur par défaut : "{{ vault_zip_url }}".

vault_sha256

• Résumé SHA256 du paquet Vault.
• Valeur par défaut : Résumé SHA256.

vault_redhat_os_packages

• Liste des paquets d'OS à installer.
• Valeur par défaut : liste.

vault_pkg

• Nom du fichier de paquet Vault.
• Valeur par défaut : "{{ vault_version }}_linux_amd64.zip".

vault_ubuntu_url

• URL de téléchargement du paquet Vault.
• Valeur par défaut : "{{ vault_zip_url }}".

vault_sha256

• Résumé SHA256 du paquet Vault.
• Valeur par défaut : Résumé SHA256.

vault_enable_log

• Activer la journalisation vers vault_log_path.
• Valeur par défaut : false.

vault_enable_logrotate

• Activer la rotation des journaux pour les systèmes basés sur systemd.
• Valeur par défaut : false.

vault_logrotate_freq

• Détermine la fréquence de rotation des journaux de Vault.
• Valeur par défaut : 7.

vault_logrotate_template

• Fichier modèle de logrotate.
• Valeur par défaut : vault_logrotate.j2.

vault_ubuntu_os_packages

• Liste des paquets d'OS à installer.
• Valeur par défaut : liste.

Dépendances

REMARQUE : Lisez ceci avant d'exécuter le rôle pour éviter certains problèmes fréquemment rencontrés qui sont résolus en installant les bonnes dépendances.

gtar

Ansible nécessite GNU tar et ce rôle effectue une certaine utilisation locale du module d'extraction, donc assurez-vous que votre système dispose de gtar installé.

Python netaddr

Le rôle dépend de python-netaddr, donc :

pip install netaddr

sur l'hôte de contrôle Ansible avant d'exécuter le rôle.

Exemple de Playbook

Une installation de base est possible en utilisant le playbook site.yml inclus :

ansible-playbook -i hosts site.yml

Vous pouvez également passer des variables en utilisant l'option --extra-vars de la commande ansible-playbook :

ansible-playbook -i hosts site.yml --extra-vars "vault_datacenter=maui"

Spécifiez un fichier modèle avec une définition de backend différente (voir templates/backend_consul.j2) :

ansible-playbook -i hosts site.yml --extra-vars "vault_backend_file=backend_file.j2"

Vous devez vous assurer que le fichier modèle backend_file.j2 se trouve dans le dossier du rôle pour que cela fonctionne.

Vagrant et VirtualBox

Voir examples/README_VAGRANT.md pour des détails sur les déploiements Vagrant rapides sous VirtualBox pour des tests, etc.

Exemple de playbook VirtualBox

Exemple de playbook pour une instance de coffre-fort basée sur fichier.

- hosts: all
  gather_facts: True
  become: true
  vars:
    vault_backend: file
    vault_cluster_disable: True
    vault_log_level: debug
  roles:
    - vault

Vault Enterprise

Le rôle peut installer des instances basées sur Vault Enterprise.

Placez l'archive zip de Vault Enterprise dans {{ role_path }}/files et définissez vault_enterprise: true ou utilisez la variable d'environnement VAULT_ENTERPRISE="true". Tente de télécharger le paquet à partir de vault_zip_url si le zip n'est pas trouvé dans les fichiers/.

vault_enterprise_premium

• Mettez à True si vous utilisez un binaire premium. En gros, cela inclut juste "+prem" dans la variable "vault_version".
• Valeur par défaut : False.

Vault Enterprise avec HSM

Le rôle peut configurer des instances basées sur HSM. Assurez-vous de vous référer à la page de support HSM et notez les changements de comportement après l'installation de HSM.

vault_enterprise_premium_hsm

• Mettez à True si vous utilisez un binaire hsm premium. En gros, cela inclut juste ".hsm" dans la variable "vault_version".
• Valeur par défaut : false.

vault_configure_enterprise_license

• Gérer le fichier de licence d'entreprise avec ce rôle. Mettez ceci à true pour utiliser vault_license_path ou vault_license_file.
• Valeur par défaut : false.

vault_license_path

• Chemin vers la licence d'entreprise sur l'hôte distant (chemin de destination). license_path dans le fichier de configuration principal. Utilisé uniquement si vault_configure_enterprise_license: true.
• Valeur par défaut : {{ vault_config_path }}/license.hclic.

vault_license_file

• Chemin vers la licence d'entreprise sur le contrôleur Ansible (fichier source à télécharger). Le téléchargement est contourné lorsqu'il est vide ou non défini. Utilisé uniquement si vault_configure_enterprise_license: true.
• Valeur par défaut : "".

vault_hsm_app

• Définir quelle application cryptographique utiliser.
• Valeur par défaut : pkcs11.

vault_backend_seal

REMARQUE : Ce sceau sera migré vers le sceau pkcs11 et rendu cohérent avec les autres types de sceaux en ce qui concerne les changements de nom brisant prochainement.

• Nom du fichier modèle de sceau backend.
• Valeur par défaut : vault_backend_seal.j2.

vault_seal_lib

• Défini sur le chemin absolu de la bibliothèque HSM que Vault appellera.
• Valeur par défaut : /lib64/hsmlibrary.so.

vault_seal_pin

• Le PIN pour se connecter. Peut également être spécifié par la variable d'environnement VAULT_HSM_PIN. S'il est défini via la variable d'environnement, Vault obfusquera la variable d'environnement après lecture, et il devra être réinitialisé si Vault est redémarré.
• Valeur par défaut : 12345.

vault_seal_key_label

• L'étiquette de la clé à utiliser. Si la clé n'existe pas et que la génération est activée, c'est l'étiquette qui sera donnée à la clé générée. Peut également être spécifié par la variable d'environnement VAULT_HSM_KEY_LABEL.
• Valeur par défaut : ''.

vault_seal_hmac_key_label

• L'étiquette de la clé HMAC à utiliser. Si la clé n'existe pas et que la génération est activée, c'est l'étiquette qui sera donnée à la clé HMAC générée. Peut également être spécifié par la variable d'environnement VAULT_HSM_HMAC_KEY_LABEL.
• Valeur par défaut : ''.

vault_seal_generate_key

• Si aucune clé existante avec l'étiquette spécifiée par key_label ne peut être trouvée lors de l'initialisation de Vault, cela demande à Vault de générer une clé. Il s'agit d'un booléen exprimé sous forme de chaîne (par exemple "true"). Peut également être spécifié par la variable d'environnement VAULT_HSM_GENERATE_KEY. Vault peut ne pas être capable de générer des clés avec succès dans toutes les circonstances, comme si des extensions de fournisseur propriétaires sont nécessaires pour créer des clés du type approprié.
• Valeur par défaut : false.

vault_seal_key_mechanism

• Ne changez pas cela à moins que vous ne sachiez que vous en avez besoin. Le mécanisme de cryptage/décryptage à utiliser, spécifié sous forme de chaîne décimale ou hexadécimale (précédée de 0x). Peut également être spécifié par la variable d'environnement VAULT_HSM_MECHANISM.
• Valeur par défaut : ''.
• Exemple pour RSA : 0x0009.

vault_seal_token_label

• L'étiquette du jeton de slot à utiliser. Peut également être spécifié par la variable d'environnement VAULT_HSM_TOKEN_LABEL. Cette étiquette ne sera appliquée que lorsque vault_softcard_enable est vraie.
• Valeur par défaut : ''.

vault_softcard_enable

• Activez si vous envisagez d'utiliser une softcard sur votre HSM.
• Valeur par défaut : false.

vault_seal_slot

• Le numéro de slot à utiliser, spécifié sous forme de chaîne (par exemple "0"). Peut également être spécifié par la variable d'environnement VAULT_HSM_SLOT. Cette étiquette ne sera appliquée que lorsque vault_softcard_enable est faux (par défaut).
• Valeur par défaut : 0.

vault_entropy_seal

• Mettez à True pour inclure la section entropy qui active l'augmentation d'entropie pour les sceaux pris en charge. Les types de sceaux pris en charge comprennent PKCS11, AWS KMS et Vault Transit.
• Valeur par défaut : false.

La section suivante sera incluse dans le fichier de configuration principal hcl si vault_entropy_seal=true :

entropy "seal" {
  mode = "augmentation"
}

Auto-unseal de Google Cloud KMS pour Vault

Cette fonctionnalité permet aux opérateurs de déléguer le processus de déverrouillage au Google Key Management System Cloud pour faciliter les opérations en cas de défaillance partielle et pour aider à la création de clusters nouveaux ou éphémères.

Ce mécanisme auto-démontant est Open Source dans Vault 1.0 mais exigerait des binaires Enterprise pour toute version antérieure.

vault_gkms

• Mettez à True pour activer l'auto-démontage de Google Cloud KMS.
• Valeur par défaut : false.

vault_backend_gkms

• Nom du fichier modèle de sceau backend.
• Valeur par défaut : vault_seal_gcpkms.j2.

vault_gkms_project

• Projet GCP où se trouve la clé.
• Valeur par défaut : ''.

vault_gkms_copy_sa

• Copier le fichier d'informations d'identification SA GCP depuis le nœud de contrôle Ansible vers le serveur Vault. Lorsqu'il n'est pas true et qu'aucune valeur n'est spécifiée pour vault_gkms_credentials_src_file, les informations par défaut du compte de service d'instance sont utilisées.
• Valeur par défaut : "true".

vault_gkms_credentials_src_file

• Répertoire source spécifié par l'utilisateur pour l'information d'identification GCP sur le nœud de contrôle Ansible.
• Soit ceci soit vault_gkms_credentials_content doit être défini si vault_gkms est activé.
• Valeur par défaut : ''.

vault_gkms_credentials_content

• Contenu des fichiers d'identification GCP spécifié par l'utilisateur.
• Soit ceci soit vault_gkms_credentials_src_file doit être défini si vault_gkms est activé.
• Valeur par défaut : ''.

vault_gkms_credentials

• Chemin vers l'identification GCP sur le serveur Vault.
• Valeur par défaut : /home/vault/vault-kms.json.

vault_gkms_region

• Région GCP où se trouve la clé.
• Valeur par défaut : globale.

vault_gkms_key_ring

• L'id de la KeyRing de Google Cloud Platform à laquelle la clé doit appartenir.
• Valeur par défaut : vault.

vault_gkms_crypto_key

• Le nom de la clé cryptographique. Le nom d'une clé cryptographique doit être unique dans un emplacement et correspondre à l'expression régulière [a-zA-Z0-9_-]{1,63}.
• Valeur par défaut : vault_key.

Auto-unseal de OCI KMS pour Vault

Cette fonctionnalité permet aux opérateurs de déléguer le processus de déverrouillage à OCI KMS afin de faciliter les opérations en cas de défaillance partielle et d'aider à la création de clusters nouveaux ou éphémères.

vault_ocikms

• Mettez à true pour activer l’auto-démontage OCI KMS.
• Valeur par défaut : false.

vault_ocikms_backend

• Nom du fichier modèle de sceau backend.
• Valeur par défaut : vault_seal_ocikms.j2.

vault_ocikms_auth_type_api_key

• Spécifie si l'API key est utilisée pour s'authentifier au service OCI KMS.
• Valeur par défaut : false.

vault_ocikms_key_id

• L'identifiant de clé OCI KMS à utiliser.
• Valeur par défaut : VAULT_OCIKMS_SEAL_KEY_ID.

vault_ocikms_crypto_endpoint

• Le point de terminaison cryptographique OCI KMS (ou point de terminaison de la plane de données) à utiliser pour faire des requêtes de cryptage/décryptage OCI KMS.
• Valeur par défaut : VAULT_OCIKMS_CRYPTO_ENDPOINT.

vault_ocikms_management_endpoint

• Le point de terminaison de gestion OCI KMS (ou point de terminaison de la plane de contrôle) à utiliser pour faire des requêtes de gestion de clés OCI KMS.
• Valeur par défaut : VAULT_OCIKMS_MANAGEMENT_ENDPOINT.

Auto-unseal de Vault Transit

Cela permet à Vault d'utiliser une autre instance de Vault pour le processus de déverrouillage à l'aide de son moteur secret de transit.

vault_transit

• Mettez à vrai pour activer l'auto-démontage Transit de Vault.
• Valeur par défaut : false.

vault_transit_backend

• Nom du fichier modèle de sceau backend.
• Valeur par défaut : vault_seal_transit.j2.

vault_transit_config:

• Fichier de configuration de destination.
• Valeur par défaut : vault_transit.hcl.

vault_transit_address:

• Adresse de Vault de l'instance utilisée pour l'auto-démontage.
• Valeur par défaut : ``, cette variable est obligatoire si vault_transit: true.

vault_transit_token:

• Jeton utilisé pour s'authentifier à l'instance de vault externe.
• Valeur par défaut : ``, cette variable est obligatoire si vault_transit: true.

vault_transit_disable_renewal:

• Désactiver l'actualisation automatique du jeton.
• Valeur par défaut : false.

vault_transit_key_name

• Nom de la clé utilisée pour l'auto-démontage.
• Valeur par défaut : autounseal.

vault_transit_mount_path:

• Chemin où le moteur transit est monté.
• Valeur par défaut : transit/.

vault_transit_namespace:

• Namespace du moteur transit monté.
• Valeur par défaut : ``, omis par défaut.

vault_transit_tls_ca_cert:

• Certificat CA de l'instance de vault externe.
• Valeur par défaut : ca_cert.pem, omis si vault_transit_tls_skip_verify: true.

vault_transit_tls_client_cert:

• Certificat client de l'instance de vault externe.
• Valeur par défaut : client_cert.pem, omis si vault_transit_tls_skip_verify: true.

vault_transit_tls_client_key:

• Clé client de l'instance de vault externe.
• Valeur par défaut : ca_cert.pem, omis si vault_transit_tls_skip_verify: true.

vault_transit_tls_server_name

• Nom du serveur TLS de l'instance de vault externe.
• Valeur par défaut : ``, omis par défaut.

vault_transit_tls_skip_verify:

• Désactiver la vérification du certificat TLS.
• Valeur : false, peut également être défini via VAULT_SKIP_VERIFY.

Auto-unseal de Vault AWS KMS

Cette fonctionnalité permet aux opérateurs de déléguer le processus de déverrouillage à AWS KMS pour faciliter les opérations en cas de défaillance partielle et aider à la création de nouveaux ou éphémères clusters.

vault_awskms

• Mettez à vrai pour activer l’auto-démontage AWS KMS.
• Valeur par défaut : false.

vault_awskms_backend

• Nom du fichier modèle de sceau backend.
• Valeur par défaut : vault_seal_awskms.j2.

vault_awskms_region

• Quelle région AWS KMS utiliser.
• Valeur par défaut : us-east-1.

vault_awskms_access_key

• La clé d'accès AWS à utiliser pour parler à AWS KMS.
• Valeur par défaut : AWS_ACCESS_KEY_ID.

vault_awskms_secret_key

• L'ID de clé secrète AWS à utiliser pour communiquer avec AWS KMS.
• Valeur par défaut : AWS_SECRET_ACCESS_KEY.

vault_awskms_key_id

• L'ID de clé KMS à utiliser pour AWS KMS.
• Valeur par défaut : VAULT_AWSKMS_SEAL_KEY_ID.

vault_awskms_endpoint

• Le point de terminaison à utiliser pour KMS.
• Valeur par défaut : AWS_KMS_ENDPOINT.

Auto-unseal de Vault Azure Key Vault

Cette fonctionnalité permet aux opérateurs de déléguer le processus de déverrouillage au Azure Key Vault pour faciliter les opérations en cas de défaillance partielle et aider à la création de clusters nouveaux ou éphémères.

vault_azurekeyvault

• Mettez à vrai pour activer l’auto-démontage Azure Key Vault.
• Valeur par défaut : false.

vault_backend_azurekeyvault

• Nom du fichier modèle de sceau backend.
• Valeur par défaut : vault_seal_azurekeyvault.j2.

vault_azurekeyvault_client_id

• ID d'application lié au nom du principal de service pour l'application utilisée pour se connecter à Azure.
• Valeur par défaut : EXAMPLE_CLIENT_ID.

vault_azurekeyvault_client_secret

• Le secret du client est la clé secrète attachée à votre application.
• Valeur par défaut : EXAMPLE_CLIENT_SECRET.

vault_azurekeyvault_tenant_id

• L'ID de l'unité de votre annuaire dans Azure.
• Valeur par défaut : EXAMPLE_TENANT_ID.

vault_azurekeyvault_vault_name

• Le nom du coffre qui héberge la clé.
• Valeur par défaut : vault.

vault_azurekeyvault_key_name

• La clé hébergée dans le coffre dans Azure Key Vault.
• Valeur par défaut : vault_key.

Plugins de Vault

Plugin acme

Installe le plugin vault-acme, active également le plugin s'il est authentifié contre Vault (VAULT_ADDR, VAULT_TOKEN env).

vault_plugin_acme_install

• En définissant ceci sur remote, le plugin acme sera téléchargé sur chaque cible au lieu d'être copié depuis localhost.
• Choix : remote / local.
• Valeur par défaut : remote.

vault_plugin_acme_sidecar_install

• Doit-on installer le sidecar acme de Vault pour les défis HTTP-01/TLS_ALPN_01 en plus de DNS-01 ?
• Valeur par défaut : false.

vault_plugin_acme_version

• Version du plugin acme à installer, peut être définie sur latest pour obtenir la dernière version disponible.
• Valeur par défaut : latest.

Licence

BSD-2-Clause

Informations sur l'auteur

Brian Shumate

Contributeurs

Un grand merci aux personnes mentionnées dans CONTRIBUTORS.md pour leur contribution à ce projet.