Wtyczka Lookup Ansible [ZANIKŁA]

Funkcjonalność lookup zawarta tutaj jest już częścią podstawowego Ansible. Ta wtyczka nie jest już potrzebna.

Ta wtyczka Ansible umożliwia wyszukiwanie wartości Conjur w playbookach. Obsługuje wersje Conjur v4 i v5.

Na podstawie tożsamości hosta kontrolującego Ansible można bezpiecznie uzyskać dostęp do sekretów za pomocą tej wtyczki. To podejście jest prostą alternatywą dla Ansible Vault, ale korzystanie z tej wtyczki zaleca się tylko jako część łagodnej migracji do Conjur w istniejących playbookach Ansible, a działania powinny być podjęte, aby jak najszybciej przejść na Summon.

Uwaga: Dla Conjur v5 ta wtyczka jest wbudowana w Ansible >= 2.5.0.0. Obsługa v4 będzie dostępna wkrótce.

Aby przypisać tożsamość maszyny do węzłów kontrolowanych przez Ansible, zobacz Rola Ansible Conjur.

Wymagana lektura

• Aby dowiedzieć się więcej o Conjur, spróbuj tutaj
• Aby dowiedzieć się więcej o tym, jak można zintegrować Conjur z Ansible, odwiedź Dokumentację Integracji
• Aby dowiedzieć się więcej o Summon, narzędziu, które pozwala uruchamiać aplikacje z sekretami pobranymi z Conjur, odwiedź Stronę internetową Summon
• Aby dowiedzieć się więcej o innych sposobach integracji z Conjur, odwiedź nasze strony dotyczące CLI, API, i Integracji

Instalacja

Zainstaluj rolę Conjur za pomocą następującej składni:

$ ansible-galaxy install cyberark.conjur-lookup-plugin

Testowanie

Aby uruchomić testy:

$ cd tests
$ ./test.sh

Wymagania

• Działająca usługa Conjur, która jest dostępna z hosta kontrolującego Ansible.
• Tożsamość Conjur na hoście kontrolującym Ansible (w tym celu zaleca się użycie CLI do logowania lub uruchomienie Roli Ansible na hoście jako jednorazowa akcja przed uruchomieniem playbooków).
• Ansible >= 2.3.0.0

Użycie

Używając zmiennych środowiskowych:

export CONJUR_ACCOUNT="orgaccount"
#export CONJUR_VERSION="4"
export CONJUR_APPLIANCE_URL="https://conjur-appliance"
export CONJUR_CERT_FILE="/path/to/conjur_certficate_file"
export CONJUR_AUTHN_LOGIN="host/host_indentity"
export CONJUR_AUTHN_API_KEY="host API Key"

Uwaga: Domyślnie wtyczka lookup używa API Conjur 5 do pobierania sekretów. Jeśli używasz Conjur v4, ustaw zmienną środowiskową CONJUR_VERSION na 4. Możesz to zrobić, odkomentowując odpowiednią linię powyżej.

Playbook:

- hosts: servers
  roles:
    - role: cyberark.conjur-lookup-plugin
  tasks:
    - name: Pobierz sekret z tożsamością główną
      vars:
        super_secret_key: {{ lookup('retrieve_conjur_variable', 'path/to/secret') }}
      shell: echo "Hurra! {{super_secret_key}} został właśnie pobrany z Conjur"

Rekomendacje

• Dodaj no_log: true do każdego zadania, które używa wrażliwych danych, w przeciwnym razie dane te mogą zostać zapisane w logach.
• Ustaw minimalne uprawnienia dla plików Ansible. Ansible używa uprawnień użytkownika, który go uruchamia.

Licencja

Apache 2