Ansible ルックアッププラグイン [非推奨]

ここに掲載されたルックアップ機能は、現在 Ansible のコア部分に組み込まれています。このプラグインはもはや必要ありません。

この Ansible プラグインは、プレイブック内で Conjur の値をルックアップする機能を提供します。Conjur v4 と v5 をサポートしています。

Ansible の制御ホストのアイデンティティに基づいて、秘密情報を安全に取得できます。このアプローチは Ansible Vault の簡単な代替手段を提供しますが、このプラグインの使用は、既存の Ansible プレイブックで Conjur への移行の一環としてのみ推奨されており、実用的な限り早急に Summon への移行を行う努力が必要です。

注意: Conjur v5 では、このプラグインは Ansible >= 2.5.0.0 に含まれています。v4 のサポートは近日中に提供されます。

Ansible によって制御されるノードにマシンアイデンティティを割り当てる方法については、Conjur Ansible Role を参照してください。

必要な情報

• Conjur についてもっと知りたい方は、試してみてください
• Conjur が Ansible とどのように統合できるか知りたい方は、統合ドキュメントをご覧ください。
• Conjur から取得した秘密を使用してアプリケーションを実行できるツールである Summon についてもっと知りたい方は、Summon のウェブページを訪れてください。
• Conjur とのその他の統合方法については、CLI、API、および 統合のページをご覧ください。

インストール

以下の構文を使って Conjur ロールをインストールします:

$ ansible-galaxy install cyberark.conjur-lookup-plugin

テスト

テストを実行するには:

$ cd tests
$ ./test.sh

要件

• Ansible 制御ホストからアクセス可能な Conjur サービスが稼働していること。
• Ansible 制御ホストに Conjur アイデンティティがあること（これを実現するために、CLI でログインすることを推奨します、またはプレイブックを実行する前に Ansible ロールを一度実行します）。
• Ansible >= 2.3.0.0

使用方法

環境変数を使用して設定します:

export CONJUR_ACCOUNT="orgaccount"
#export CONJUR_VERSION="4"
export CONJUR_APPLIANCE_URL="https://conjur-appliance"
export CONJUR_CERT_FILE="/path/to/conjur_certficate_file"
export CONJUR_AUTHN_LOGIN="host/host_indentity"
export CONJUR_AUTHN_API_KEY="host API Key"

注意: デフォルトでは、ルックアッププラグインは Conjur 5 API を使用して秘密を取得します。Conjur v4 を使用する場合は、環境変数 CONJUR_VERSION を 4 に設定してください。上記の関連行のコメントを外すことで設定できます。

プレイブックの例:

- hosts: servers
  roles:
    - role: cyberark.conjur-lookup-plugin
  tasks:
    - name: マスターアイデンティティで秘密を取得する
      vars:
        super_secret_key: {{ lookup('retrieve_conjur_variable', 'path/to/secret') }}
      shell: echo "やった！{{super_secret_key}} が Conjur で取得されました"

推奨事項

• 機密データを使用する各プレイに no_log: true を追加してください。そうしないと、そのデータがログに出力される可能性があります。
• Ansible のファイルに最低限のアクセス権を設定してください。Ansible は、実行するユーザーの権限を使用します。

ライセンス

Apache 2