部分傀儡到安塞迁移。 current puppet config使用eyaml:
:eyaml:
:datadir: /opt/puppet/yamls
:pkcs7_private_key: /opt/puppet/secure/keys/eyaml_private_key.pkcs7.pem
:pkcs7_public_key: /opt/puppet/public/eyaml_public_key.pkcs7.pem
:extension: 'yaml'
Ansible有保险库可以实现加密,但据我目前所知,它需要将密码作为纯文本存储在文件中。
我可以使用类似于eyaml的密钥组合来获取ansible vault吗?
答案 0 :(得分:1)
你是正确的,ansible-vault仅支持使用密码作为加密密钥。
Hashicorp Vault有一个可插入的身份验证系统,以及一个内置选项uses PEM-format certs。有a simple plugin将Vault与Ansible集成在一起。与共享加密文件方法相比,Vault还提供了许多其他优势,但这是一个不适合此处的更大主题。
答案 1 :(得分:1)
从我到目前为止所理解的,它需要将密码作为纯文本存储在文件中。
不太正确。您可以将pass executable路径视为--vault-password-file值
因此,您可以使用一些脚本来执行任何类型的密码管理,只需将密钥打印到stdout(将作为安全管的密码输入管道)。