conjur-lookup-plugin

Плагин поиска Ansible [УСТАРЕЛ]

Функция поиска, представленная здесь, теперь является частью ядра Ansible. Этот плагин больше не нужен.

Этот плагин Ansible позволяет искать значения Conjur в плейбуках. Он поддерживает версии Conjur v4 и v5.

На основе идентичности управляющего хоста Ansible, секреты могут быть безопасно получены с помощью этого плагина. Этот подход является простой альтернативой хранилищу Ansible Vault, но использование этого плагина рекомендуется только в рамках мягкой миграции на Conjur в существующих плейбуках Ansible, и следует стремиться к миграции на Summon как можно скорее.

Примечание: Для Conjur v5 этот плагин включён в Ansible версии >= 2.5.0.0. Поддержка версии v4 будет доступна скоро.

Чтобы назначить идентичность машины узлам, управляемым ansible, смотрите Ansible Role для Conjur.

Обязательное чтение

  • Чтобы узнать больше о Conjur, попробуйте это
  • Чтобы узнать больше о том, как интегрировать Conjur с Ansible, посетите документацию по интеграции
  • Чтобы узнать больше о Summon, инструменте, который позволяет выполнять приложения с секретами, полученными от Conjur, посетите веб-страницу Summon
  • Чтобы узнать о других способах интеграции с Conjur, посетите наши страницы по CLI, API и Интеграциям

Установка

Установите роль Conjur с помощью следующего синтаксиса:

$ ansible-galaxy install cyberark.conjur-lookup-plugin

Тестирование

Чтобы запустить тесты:

$ cd tests
$ ./test.sh

Требования

  • Запущенный сервис Conjur, доступный с управляющего хоста Ansible.
  • Идентичность Conjur на управляющем хосте Ansible (для этого рекомендуется использовать CLI для входа или выполнить Ansible роль на хосте как одноразовое действие перед запуском плейбуков).
  • Ansible >= 2.3.0.0

Использование

Используя переменные окружения:

export CONJUR_ACCOUNT="orgaccount"
#export CONJUR_VERSION="4"
export CONJUR_APPLIANCE_URL="https://conjur-appliance"
export CONJUR_CERT_FILE="/path/to/conjur_certficate_file"
export CONJUR_AUTHN_LOGIN="host/host_indentity"
export CONJUR_AUTHN_API_KEY="host API Key"

Примечание: По умолчанию плагин поиска использует API Conjur 5 для получения секретов. Если вы используете Conjur v4, установите переменную окружения CONJUR_VERSION в 4. Вы можете сделать это, раскомментировав соответствующую строку выше.

Плейбук:

- hosts: servers
  roles:
    - role: cyberark.conjur-lookup-plugin
  tasks:
    - name: Получить секрет с помощью мастер-идентичности
      vars:
        super_secret_key: {{ lookup('retrieve_conjur_variable', 'path/to/secret') }}
      shell: echo "Ура! {{super_secret_key}} только что был получен с помощью Conjur"

Рекомендации

  • Добавьте no_log: true к каждому игровому процессу, использующему чувствительные данные, иначе эти данные могут быть напечатаны в логах.
  • Установите минимальные разрешения на файлы Ansible. Ansible использует разрешения пользователя, который его запускает.

Лицензия

Apache 2

О проекте

Provides access to Conjur variables through a lookup plugin (for backward compatibility only)

Установить
ansible-galaxy install cyberark/ansible-conjur-lookup-plugin
Лицензия
other
Загрузки
669
Владелец
CyberArk, the undisputed leader in Privileged Account Security, secures secrets used by machines and users to protect traditional and cloud-native apps.