Ansible 查找插件 [已弃用]

这里封装的查找功能现在已成为 Ansible 核心的一部分。此插件不再需要。

这个 Ansible 插件提供在剧本中查找 Conjur 值的能力。它支持 Conjur v4 和 v5。

根据 Ansible 控制主机的身份，可以使用此插件安全地检索机密。这种方法提供了一种简单的替代方案来代替 Ansible Vault，但建议仅在现有 Ansible 剧本中作为向 Conjur 的软迁移的一部分使用此插件，并应尽快迁移到 Summon。

注意：对于 Conjur v5，此插件与 Ansible >= 2.5.0.0 一起提供，v4 支持也即将推出。

要为被 ansible 控制的节点分配机器身份，请参阅 Conjur Ansible 角色。

必读

• 要了解有关 Conjur 的更多信息，请 尝试
• 要了解 Conjur 如何与 Ansible 集成，请访问 集成文档
• 要了解 Summon 这个可以让您执行应用程序并从 Conjur 中检索机密的工具，请访问 Summon 网页
• 要了解其他与 Conjur 集成的方法，请访问我们的 CLI、API 和 集成 页面

安装

使用以下语法安装 Conjur 角色：

$ ansible-galaxy install cyberark.conjur-lookup-plugin

测试

要运行测试：

$ cd tests
$ ./test.sh

要求

• 一个可以从 Ansible 控制主机访问的正在运行的 Conjur 服务。
• Ansible 控制主机上的一个 Conjur 身份（为此，建议使用 CLI 登录，或者在运行剧本之前在主机上运行 Ansible 角色 作为一次性操作）。
• Ansible >= 2.3.0.0

使用

使用环境变量：

export CONJUR_ACCOUNT="orgaccount"
#export CONJUR_VERSION="4"
export CONJUR_APPLIANCE_URL="https://conjur-appliance"
export CONJUR_CERT_FILE="/path/to/conjur_certficate_file"
export CONJUR_AUTHN_LOGIN="host/host_indentity"
export CONJUR_AUTHN_API_KEY="host API Key"

注意：默认情况下，查找插件使用 Conjur 5 API 来检索机密。如果使用 Conjur v4, 请将环境变量 CONJUR_VERSION 设置为 4。您可以通过取消注释上面相关的行来提供它。

剧本：

- hosts: servers
  roles:
    - role: cyberark.conjur-lookup-plugin
  tasks:
    - name: 使用主身份检索机密
      vars:
        super_secret_key: {{ lookup('retrieve_conjur_variable', 'path/to/secret') }}
      shell: echo "太好了！ {{super_secret_key}} 刚刚通过 Conjur 检索到"

推荐

• 在每个使用敏感数据的剧本中添加 no_log: true，否则这些数据可能会打印到日志中。
• 将 Ansible 文件的权限设置为最低。这将使用运行 Ansible 的用户的权限。

许可证

Apache 2