我想使用ansible部署加密(通过ansible-vault)文件,而不提供保管库密码。这些文件应保持加密状态,并且只在需要时才能在服务器上解密(使用单独的脚本)。
这有可能吗?
更多解释:我使用Ansible脚本来设置CI服务器(bamboo,jenkins)。密码不应该以纯文本形式存在于该服务器上,当用于添加另一层安全性时,密码应该动态解密。
答案 0 :(得分:0)
我在最新版本(2.4)中找到了它。复制模块有一个 decrypt 标志,请参阅here。这就是我使用它的方式:
<强>&LT;作用&GT; /tasks/main.yml
- name: Copying (encrypted) Vault Content
copy:
src: "templates/vault/"
dest: "{{vault_folder}}"
directory_mode: yes
decrypt: no
在服务器上,我在脚本中使用此行来获取文件的解密内容:
ansible-vault decrypt <vault_folder>/<file> --output -