ROLE ANSIBLE pour GCP SECRET MANAGER

Récupérer des secrets depuis GCP SECRET MANAGER et les placer dans des fichiers spécifiés

Exigences

• Authentification réussie à votre compte GCP sur le bon projet
• Avoir vos secrets sur GCP Secret Manager
• Activer l'API :

Secret Manager (secretmanager.googleapis.com)

$ gcloud services list --available | grep Secret
secretmanager.googleapis.com
$ gcloud services enable secretmanager.googleapis.com

Variables de rôle

# var "gcp_secrets" doit être défini comme un dictionnaire

gcp_secrets:
  SECRET_NAME_1: # donnez-lui un nom arbitraire, cela peut être le même que le 'name'
    name: SECRET_NAME_1 # son nom exact dans GCP Secret Manager
    file_path: "/CHEMIN/VERS/FICHIER_CIBLE/SECRET_NAME"
    file_owner: UTILISATEUR # peut-être root est votre utilisateur gardien du secret
    file_group: UTILISATEUR # si non spécifié, le défaut est "file_owner"
    file_mode: '0400' # assurez-vous de le garder en sécurité
  SECRET_NAME_2:
    name: SECRET_NAME_2
    file_path: "/CHEMIN/VERS/FICHIER_CIBLE/SECRET_NAME"
    file_owner: UTILISATEUR
    file_mode: '0644'
  SECRET_NAME_N:
    name: SECRET_NAME_N
    file_path: "/CHEMIN/VERS/FICHIER_CIBLE/SECRET_NAME"
    file_owner: UTILISATEUR
    file_mode: '0600'

Dépendances

Aucune.

Exemple de Playbook

- hosts: serveurs-web
  vars:
    gcp_secrets:
      database:
        name: MYSQL_PASSWORD
        file_path: "/srv/mysql_pwd"
        file_owner: root
        file_group: root
        file_mode: '0400'
      nexus:
        name: NEXUS_PASSWORD
        file_path: "/srv/nexus_pwd"
        file_owner: root
        file_mode: '0400'
  roles:
    - gcp_secret_manager

Ce qu'il faut améliorer

• Gérer les secrets : ajouter, modifier, supprimer
• Modifier les propriétés du secret (version, réplication, emplacement, étiquettes, iam)

Licence

Apache

Informations sur l'auteur

Créé par Niaina Lens
Septembre 2022