ANSIBLE РОЛЬ для GCP СЕКРЕТНЫЙ МЕНЕДЖЕР

Получите секреты из GCP СЕКРЕТНОГО МЕНЕДЖЕРА и сохраните их в указанных файлах

Требования

• корректная аутентификация в вашем аккаунте GCP для нужного проекта
• наличие ваших секретов в GCP Secret Manager
• включите API:

Secret Manager (secretmanager.googleapis.com)

$ gcloud services list --available | grep Secret
secretmanager.googleapis.com
$ gcloud services enable secretmanager.googleapis.com

Переменные роли

# переменная "gcp_secrets" должна быть определена как словарь

gcp_secrets:
  SECRET_NAME_1: # укажите произвольное имя, может быть таким же, как 'name'
    name: SECRET_NAME_1 # как его точное имя в GCP Secret Manager
    file_path: "/PATH/TO/TARGET_FILE/SECRET_NAME"
    file_owner: USER # возможно, root — это ваш пользователь-держатель секрета
    file_group: USER # если не указано, по умолчанию "file_owner"
    file_mode: '0400' # обязательно держите это в безопасности
  SECRET_NAME_2:
    name: SECRET_NAME_2
    file_path: "/PATH/TO/TARGET_FILE/SECRET_NAME"
    file_owner: USER
    file_mode: '0644'
  SECRET_NAME_N:
    name: SECRET_NAME_N
    file_path: "/PATH/TO/TARGET_FILE/SECRET_NAME"
    file_owner: USER
    file_mode: '0600'

Зависимости

Нет.

Пример Playbook

- hosts: веб-серверы
  vars:
    gcp_secrets:
      database:
        name: MYSQL_PASSWORD
        file_path: "/srv/mysql_pwd"
        file_owner: root
        file_group: root
        file_mode: '0400'
      nexus:
        name: NEXUS_PASSWORD
        file_path: "/srv/nexus_pwd"
        file_owner: root
        file_mode: '0400'
  roles:
    - gcp_secret_manager

Что нужно улучшить

• Управление секретами: добавление, редактирование, удаление
• Изменение свойств секрета (версия, репликация, расположение, метки, iam)

Лицензия

Apache

Информация об авторе

Создано Niaina Lens
Сентябрь 2022