Plugin de recherche Ansible [DÉPRÉCIÉ]

La fonctionnalité de recherche encapsulée ici fait désormais partie du cœur d'Ansible. Ce plugin n'est plus nécessaire.

Ce plugin Ansible permet de rechercher des valeurs Conjur dans les playbooks. Il prend en charge Conjur v4 et v5.

En fonction de l'identité de l'hôte de contrôle Ansible, les secrets peuvent être récupérés en toute sécurité à l'aide de ce plugin. Cette approche offre une alternative simple au coffre-fort Ansible, mais l'utilisation de ce plugin est recommandée uniquement comme partie d'une migration douce vers Conjur dans les playbooks Ansible existants, et des efforts devraient être made pour migrer vers Summon dès que possible.

Note : Pour Conjur v5, ce plugin est inclus avec Ansible >= 2.5.0.0. Le support de v4 sera disponible bientôt.

Pour attribuer une identité machine aux nœuds contrôlés par Ansible, consultez le Rôle Ansible Conjur.

Lecture recommandée

• Pour en savoir plus sur Conjur, essayez-le ici
• Pour en savoir plus sur l'intégration de Conjur avec Ansible, visitez la Documentation sur l'intégration
• Pour en savoir plus sur Summon, l'outil qui vous permet d'exécuter des applications avec des secrets récupérés de Conjur, visitez la page Web de Summon
• Pour en savoir plus sur d'autres façons de vous intégrer avec Conjur, visitez nos pages sur le CLI, l'API, et les Intégrations

Installation

Installez le rôle Conjur en utilisant la syntaxe suivante :

$ ansible-galaxy install cyberark.conjur-lookup-plugin

Tests

Pour exécuter les tests :

$ cd tests
$ ./test.sh

Exigences

• Un service Conjur en cours d'exécution et accessible depuis l'hôte de contrôle Ansible.
• Une identité Conjur sur l'hôte de contrôle Ansible (pour cela, il est recommandé d'utiliser le CLI pour se connecter, ou d'exécuter le Rôle Ansible sur l'hôte comme action unique avant d'exécuter vos playbooks).
• Ansible >= 2.3.0.0

Utilisation

En utilisant des variables d'environnement :

export CONJUR_ACCOUNT="orgaccount"
#export CONJUR_VERSION="4"
export CONJUR_APPLIANCE_URL="https://conjur-appliance"
export CONJUR_CERT_FILE="/path/to/conjur_certficate_file"
export CONJUR_AUTHN_LOGIN="host/host_indentity"
export CONJUR_AUTHN_API_KEY="host API Key"

Note : Par défaut, le plugin de recherche utilise l'API Conjur 5 pour récupérer les secrets. Si vous utilisez Conjur v4, définissez la variable d'environnement CONJUR_VERSION sur 4. Vous pouvez le faire en décommentant la ligne correspondante ci-dessus.

Playbook :

- hosts: servers
  roles:
    - role: cyberark.conjur-lookup-plugin
  tasks:
    - name: Récupérer le secret avec l'identité maître
      vars:
        super_secret_key: {{ lookup('retrieve_conjur_variable', 'path/to/secret') }}
      shell: echo "Youpi ! {{super_secret_key}} vient d'être récupéré avec Conjur"

Recommandations

• Ajoutez no_log: true à chaque play qui utilise des données sensibles, sinon ces données peuvent être imprimées dans les journaux.
• Réglez les fichiers Ansible sur des permissions minimales. Ansible utilise les permissions de l'utilisateur qui l'exécute.

Licence

Apache 2