Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

22.4. 認証情報タイプ

Automation Controller は次の種類の認証情報をサポートしています。

AWS Secrets Manager、Centrify、CyberArk、HashiCorp Vault、Microsoft Azure Key Vault、および Thycotic に関連付けられている認証情報タイプは、認証情報プラグイン機能の一部であり、外部システムによるシークレット情報の検索を可能にするものです。

詳細は、シークレット管理システム を参照してください。

22.4.1. Amazon Web Services 認証情報タイプ
リンクのコピー

クラウドインベントリーと Amazon Web Services の同期を有効にするには、この認証情報を選択します。

Automation Controller は、AWS 認証情報に次の環境変数を使用します。 

AWS_ACCESS_KEY_ID
AWS_SECRET_ACCESS_KEY
AWS_SECURITY_TOKEN
Copy to Clipboard Toggle word wrap

これらは、ユーザーインターフェイスでプロンプトが表示されるフィールドです。

Amazon Web Services の認証情報は、AWS の アクセスキーシークレットキー で構成されます。

Automation Controller は、アイデンティティーおよびアクセス管理 (IAM) STS 認証情報とも呼ばれる EC2 STS トークンのサポートを提供します。Security Token Service (STS) は、AWS IAM ユーザーのために、権限が限られた一時的な認証情報を要求できる Web サービスです。

注記

EC2 のタグの値にブール値 (yes/no/true/false) が含まれている場合は、その値を引用符で囲む必要があります。

警告

暗黙的な IAM ロール認証情報を使用するには、IAM ロールに依存して AWS API にアクセスするときに、Automation Controller で AWS クラウド認証情報をアタッチしないでください。

AWS クラウド認証情報をジョブテンプレートにアタッチすると、IAM ロールの認証情報ではなく、AWS 認証情報が強制的に使用されます。

22.4.1.1. Ansible Playbook で Amazon EC2 の認証情報にアクセスする
リンクのコピー

ジョブランタイム環境から AWS 認証情報パラメーターを取得できます。 

vars:
  aws:
    access_key: '{{ lookup("env", "AWS_ACCESS_KEY_ID") }}'
    secret_key: '{{ lookup("env", "AWS_SECRET_ACCESS_KEY") }}'
    security_token: '{{ lookup("env", "AWS_SECURITY_TOKEN") }}'
Copy to Clipboard Toggle word wrap

22.4.2. Ansible Galaxy/Automation Hub API トークン認証情報タイプ
リンクのコピー

Automation Controller で Ansible Galaxy またはプライベート Automation Hub API トークン認証情報を作成して、Ansible Galaxy またはプライベート Automation Hub のインスタンスに公開されたコレクションにアクセスできます。

Ansible Galaxy にアクセスするか、Private Automation Hub のインスタンスで公開されたコレクションを使用するには、この認証情報を選択します。

この画面で Galaxy サーバーの URL を入力します。

Red Hat Hybrid Cloud ConsoleGalaxy Server URL フィールドに Server URL フィールドの内容を入力します。Red Hat Hybrid Cloud Console で、Auth Server URL フィールドに SSO URL フィールドの内容を入力します。

22.4.3. AWS Secrets Manager Lookup
リンクのコピー

この認証情報タイプを使用すると、Automation Controller は AWS Secrets Manager からシークレットを取得できます。

これはシークレット管理機能の一部です。詳細は、AWS Secrets Manager Lookup を参照してください。

22.4.4. BitBucket data center HTTP access token
リンクのコピー

Bitbucket Data Center は、コラボレーションと管理のためのセルフホスト型 Git リポジトリーです。HTTPS 経由の Git のパスワードの代わりに HTTP アクセストークンを使用できるようにするには、この認証情報タイプを選択します。

詳細は、Bitbucket Data Center ドキュメントの HTTP access tokens を参照してください。

22.4.5. Centrify Vault Credential Provider Lookup 認証情報タイプ
リンクのコピー

Centrify Vault Credential Provider Lookup 認証情報タイプにより、Automation Controller は Centrify Vault サーバーからシークレットを取得できます。

これはシークレット管理機能の一部とみなされます。

詳細は、Centrify Vault Credential Provider Lookup を参照してください。

22.4.6. コンテナーレジストリーの認証情報の種類
リンクのコピー

コンテナーレジストリー認証情報により、Automation Controller はコンテナーレジストリーサービスに対して認証を行い、コンテナーイメージにアクセスできるようになります。

Automation Controller がコンテナーイメージのコレクションにアクセスできるようにするには、この認証情報を選択します。詳細は、What is a container registry? を参照してください。

名前を指定する必要があります。Authentication URL フィールドにはデフォルト値が事前に入力されています。値を変更するには、別のコンテナーレジストリーの認証エンドポイントを指定します。

22.4.7. CyberArk Central Credential Provider Lookup 認証情報タイプ
リンクのコピー

CyberArk Central Credential Provider (CCP) Lookup 認証情報タイプにより、Automation Controller は Central Credential Provider REST API を使用して CyberArk ボールトから認証情報を取得できます。

これはシークレット管理機能の一部とみなされます。

詳細は、CyberArk Central Credential Provider (CCP) Lookup を参照してください。

22.4.8. CyberArk Conjur Secrets Manager Lookup 認証情報タイプ
リンクのコピー

Automation Controller は、CyberArk Conjur Secrets Manager を使用して、コントローラーノードと管理対象ノードで使用するシークレットを取得できます。

これはシークレット管理機能の一部とみなされます。

詳細は、CyberArk Conjur Secrets Manager Lookup を参照してください。

22.4.9. GitHub Personal Access Token 認証情報タイプ
リンクのコピー

この認証情報を選択すると、GitHub から取得できる Personal Access Token (PAT) を使用して GitHub にアクセスできるようになります。

詳細は、GitHub Webhook の設定 を参照してください。

GitHub PAT の認証情報では、Token フィールドに値が必要です。これは GitHub プロファイル設定で提供されます。

この認証情報は、Webhook リスナージョブで使用する GitHub への API 接続を確立し、ステータスの更新を送信 (Post) するために使用できます。

22.4.10. GitLab Personal Access Token 認証情報タイプ
リンクのコピー

GitLab から取得できる Personal Access Token (PAT) を使用して GitLab にアクセスするには、この認証情報を選択します。

詳細は、GitLab Webhook の設定 を参照してください。

GitLab PAT の認証情報では、Token フィールドに値が必要です。これは GitLab プロファイル設定で提供されていす。

この認証情報は、Webhook リスナージョブで使用する GitLab への API 接続を確立し、ステータスの更新を送信 (Post) するために使用できます。

22.4.11. Google Compute Engine 認証情報タイプ
リンクのコピー

この認証情報を選択すると、クラウドインベントリーと Google Compute Engine (GCE) との同期が可能になります。

Automation Controller は、GCE 認証情報に次の環境変数を使用します。 

GCE_EMAIL
GCE_PROJECT
GCE_CREDENTIALS_FILE_PATH
Copy to Clipboard Toggle word wrap

ユーザーインターフェイスでプロンプトが表示されるフィールドは次のとおりです。

GCE 認証情報には次の情報が必要です。

  • サービスアカウントのメールアドレス: Google Compute Engine サービスアカウント に割り当てられるメールアドレス。
  • オプション: Project: GCE によって割り当てられた ID またはプロジェクト作成時に指定した一意のプロジェクト ID を指定します。
  • オプション: Service Account JSON File: GCE サービスアカウントファイルをアップロードします。Browse をクリックして、GCE インスタンスで実行されているサービスやアプリケーションが他の Google Cloud API とやり取りするために使用できる特別なアカウント情報を含むファイルを参照します。これにより、サービスアカウントと仮想マシンインスタンスにパーミッションが付与されます。
  • RSA 秘密鍵: サービスアカウントメールに関連付けられる PEM ファイル。

22.4.11.1. Ansible Playbook で Google Compute Engine の認証情報にアクセスする
リンクのコピー

環境変数を使用して、Ansible Playbook で Google Compute Engine (GCE) の認証情報にアクセスできます。

GCE 認証情報パラメーターはジョブランタイム環境から取得できます。 

vars:
  gce:
    email: '{{ lookup("env", "GCE_EMAIL") }}'
    project: '{{ lookup("env", "GCE_PROJECT") }}'
    pem_file_path: '{{ lookup("env", "GCE_PEM_FILE_PATH") }}'
Copy to Clipboard Toggle word wrap

22.4.12. GPG Public Key 認証情報タイプ
リンクのコピー

この認証情報タイプを選択すると、ソースコントロールから同期するときに Automation Controller がプロジェクトの整合性を検証できるようになります。

有効なキーペアを生成する方法、CLI ツールを使用してコンテンツに署名する方法、およびコントローラーに公開鍵を追加する方法の詳細は、プロジェクトの署名と検証 を参照してください。

22.4.13. HashiCorp Vault Secret Lookup 認証情報タイプ
リンクのコピー

これはシークレット管理機能の一部とみなされます。

詳細は、HashiCorp Vault Secret Lookup を参照してください。

22.4.14. HashiCorp Vault Signed SSH 認証情報タイプ
リンクのコピー

HashiCorp Vault Signed SSH 認証情報タイプを使用すると、Automation Controller は HashiCorp Vault サーバーから署名済み SSH 証明書を取得できます。

詳細は、HashiCorp Vault Signed SSH を参照してください。

22.4.15. Red Hat Lightspeed 認証情報タイプ
リンクのコピー

Red Hat Lightspeed とクラウドインベントリーの同期を有効にするには、この認証情報タイプを選択します。

Red Hat Lightspeed の認証情報は、Red Hat Lightspeed の ユーザー名パスワード であり、これはユーザーの Red Hat カスタマーポータルアカウントのユーザー名とパスワードになります。

Red Hat Lightspeed の extra_vars および env インジェクターは次のとおりです。 

ManagedCredentialType(
    namespace='insights',
....
....
....

injectors={
        'extra_vars': {
            "scm_username": "{{username}}",
            "scm_password": "{{password}}",
        },
        'env': {
            'INSIGHTS_USER': '{{username}}',
            'INSIGHTS_PASSWORD': '{{password}}',
        },
Copy to Clipboard Toggle word wrap

22.4.16. Machine 認証情報タイプ
リンクのコピー

Machine 認証情報を使用すると、Automation Controller は管理下のホスト上で Ansible を呼び出すことができます。

SSH ユーザー名を指定して、必要に応じてパスワード、SSH 鍵、キーパスワードを指定したり、デプロイ時に Automation Controller がユーザーにパスワードの入力を求めるようにしたりできます。これらは、Playbook に対する SSH およびユーザーレベルの権限昇格アクセスを定義し、リモートホストで Playbook を実行するジョブを送信するときに使用されます。

ネットワーク接続 httpapinetconfnetwork_cli では、認証情報タイプとして Machine を使用します。

Machine/SSH 認証情報は、環境変数を使用しません。これらの認証情報は、ansible -u フラグを介してユーザー名を渡し、基盤となる SSH クライアントが SSH パスワードを要求したときにパスワードを対話的に書き込みます。

Machine 認証情報には次の入力が必要です。

  • Username: SSH 認証に使用するユーザー名。
  • Password: SSH 認証に使用するパスワード。このパスワードは、入力されると暗号化されてデータベースに保存されます。あるいは、Prompt on launch を選択して、起動時にユーザーにパスワードを要求するように Automation Controller を設定することもできます。このような場合、ジョブの起動時にダイアログが開き、ユーザーがパスワードとパスワードの確認を求められます。
  • SSH Private Key: マシン認証情報の SSH 秘密鍵をコピーまたはドラッグアンドドロップします。
  • Private Key Passphrase: 使用する SSH 秘密鍵がパスワードで保護されている場合は、秘密鍵のキーパスフレーズを設定できます。このパスワードは、入力されると暗号化されてデータベースに保存されます。Prompt on launch を選択して、起動時にユーザーにキーパスフレーズの入力を求めるように Automation Controller を設定することもできます。選択した場合、ジョブの起動時にダイアログが開き、ユーザーにキーパスフレーズの入力と確認を求めます。

  • Privilege Escalation Method: 特定のユーザーに割り当てる昇格権限のタイプを指定します。これは、--become-method=BECOME_METHOD パラメーターを指定するのと同じです。BECOME_METHOD は、既存の方法のいずれか、または作成したカスタムの方法です。方法の名前の入力を開始すると、適切な名前が自動入力されます。

    • 選択なし: タスクまたはプレイの becomeyes に設定されており、何も選択されていない場合は、デフォルトで sudo に設定されます。
    • sudo: スーパーユーザー (root ユーザー) 権限で単一のコマンドを実行します。
    • su: スーパーユーザー (root ユーザー) アカウント (または他のユーザーアカウント) に切り替えます。
    • pbrun: 制御されたアカウントでアプリケーションまたはコマンドが実行されるように要求し、詳細レベルの root 権限の委譲およびキーのロギングを可能にします。
    • pfexec: 特定のユーザー ID やグループ ID など、定義済みのプロセス属性を使用してコマンドを実行します。
    • dzdo: Centrify の Active Directory サービスの RBAC 情報を使用する sudo の拡張バージョン。詳細は、DZDO のサイト を参照してください。
    • pmrun: 制御されたアカウントでアプリケーションが実行されるように要求します。Privilege Manager for Unix 6.0 を参照してください。
    • runas: 現在のユーザーとして実行できるようにします。
    • enable: ネットワークデバイスで昇格された権限に切り替えます。
    • doas: リモート/ログインユーザーが doas ("Do as user") ユーティリティーを通じて別のユーザーとしてコマンドを実行できるようにします。
    • ksu: リモート/ログインユーザーが Kerberos アクセスで別のユーザーとしてコマンドを実行できるようにします。
    • machinectl: systemd マシンマネージャーを使用してコンテナーを管理できるようにします
    • sesu: リモート/ログインユーザーが CA Privileged Access Manager を使用して別のユーザーとしてコマンドを実行できるようにします。
注記

カスタムの become プラグインは Ansible 2.8 以降から利用可能です。

  • Privilege Escalation Username: 権限昇格のオプションを選択した場合にのみ、このフィールドが表示されます。リモートシステム上で昇格権限で使用するユーザー名を入力します。
  • Privilege Escalation Password: 権限昇格のオプションを選択した場合にのみ、このフィールドが表示されます。選択した権限昇格タイプによりリモートシステムでユーザーを認証するために使用するパスワードを入力します。このパスワードはデータベースに暗号化されて保存されます。Prompt on launch を選択して、起動時にユーザーにパスワードを要求するように Automation Controller を設定することもできます。このような場合、ジョブの起動時にダイアログが開き、ユーザーがパスワードとパスワードの確認を求められます。
注記

sudo パスワードは SSH パスワードまたは SSH 秘密鍵と組み合わせて使用する必要があります。Automation Controller は、sudo を呼び出して sudo ユーザーに変更する前に、まずホストとの認証された SSH 接続を確立する必要があるためです。

警告

スケジュール済みジョブで使用される認証情報は、Prompt on launch として設定しないでください。

22.4.16.1. Ansible Playbook でマシンの認証情報にアクセスする
リンクのコピー

ユーザー名とパスワードは Ansible ファクトから取得できます。 

vars:
  machine:
    username: '{{ ansible_user }}'
    password: '{{ ansible_password }}'
Copy to Clipboard Toggle word wrap

22.4.17. Microsoft Azure Key Vault 認証情報タイプ
リンクのコピー

Microsoft Azure Key Vault 認証情報タイプを使用すると、Automation Controller は Microsoft Azure Key Vault に対して認証し、Playbook やその他の自動化タスクで使用するシークレットを取得できます。

これはシークレット管理機能の一部とみなされます。

詳細は、Microsoft Azure Key Vault を参照してください。

22.4.18. Microsoft Azure Resource Manager 認証情報タイプ
リンクのコピー

Microsoft Azure Resource Manager とクラウドインベントリーの同期を有効にするには、この認証情報タイプを選択します。

Microsoft Azure Resource Manager の認証情報には次を入力する必要があります。

  • Subscription ID: Microsoft Azure アカウントのサブスクリプション UUID。
  • Username: Microsoft Azure アカウントに接続するために使用するユーザー名。
  • Password: Microsoft Azure アカウントに接続するために使用するパスワード。
  • Client ID: Microsoft Azure アカウントのクライアント ID。
  • Client Secret: Microsoft Azure アカウントのクライアントシークレット。
  • Tenant ID: Microsoft Azure アカウントのテナント ID。
  • Azure クラウド環境: Azure クラウドまたは Azure スタック環境に関連付けられる変数。

これらのフィールドは、API の変数に相当します。

サービスプリンシパルの認証情報を渡すには、以下の変数を定義します。 

AZURE_CLIENT_ID
AZURE_SECRET
AZURE_SUBSCRIPTION_ID
AZURE_TENANT
AZURE_CLOUD_ENVIRONMENT
Copy to Clipboard Toggle word wrap

Active Directory のユーザー名およびパスワードのペアを渡すには、以下の変数を定義します。 

AZURE_AD_USER
AZURE_PASSWORD
AZURE_SUBSCRIPTION_ID
Copy to Clipboard Toggle word wrap

認証情報をパラメーターとして Playbook 内のタスクに渡すこともできます。優先順位は、パラメーター、次に環境変数、最後にホームディレクトリーにあるファイルになります。

認証情報をパラメーターとしてタスクに渡すには、サービスプリンシパルの認証情報に関する以下のパラメーターを使用します。 

client_id
secret
subscription_id
tenant
azure_cloud_environment
Copy to Clipboard Toggle word wrap

または、Active Directory のユーザー名とパスワードに次のパラメーターを渡します。 

ad_user
password
subscription_id
Copy to Clipboard Toggle word wrap

22.4.18.1. Ansible Playbook で Microsoft Azure リソースマネージャーの認証情報にアクセスする
リンクのコピー

Microsoft Azure 認証情報パラメーターは、ジョブランタイム環境から取得できます。 

vars:
  azure:
    client_id: '{{ lookup("env", "AZURE_CLIENT_ID") }}'
    secret: '{{ lookup("env", "AZURE_SECRET") }}'
    tenant: '{{ lookup("env", "AZURE_TENANT") }}'
    subscription_id: '{{ lookup("env", "AZURE_SUBSCRIPTION_ID") }}'
Copy to Clipboard Toggle word wrap

22.4.19. Network 認証情報タイプ
リンクのコピー

Automation Controller でネットワーク認証情報タイプを作成して、Ansible ネットワークモジュールを使用するネットワークデバイスを管理できます。

注記

プロバイダー との ローカル 接続で Ansible ネットワークモジュールを使用してネットワークデバイスに接続および管理する場合は、Network 認証情報タイプを選択します。

ネットワークデバイスに接続する場合、認証情報タイプが接続の種類と一致する必要があります。

  • provider を使用した local 接続の場合は、認証情報タイプは Network に指定する必要があります。

  • それ以外のネットワーク接続 (httpapinetconf、および network_cli) は、認証情報タイプは Machine に指定する必要があります。

    ネットワークデバイスで使用できる接続タイプの詳細は、複数の通信プロトコル を参照してください。

    Automation Controller は、ネットワーク認証情報に次の環境変数を使用します。 

    ANSIBLE_NET_USERNAME
ANSIBLE_NET_PASSWORD
    Copy to Clipboard Toggle word wrap

ネットワーク認証情報として次の情報を提供します。

  • Username: ネットワークデバイスと組み合わせて使用するユーザー名。
  • Password: ネットワークデバイスと組み合わせて使用するパスワード。
  • SSH Private Key: ユーザーを SSH 経由でネットワークに対して認証するために使用される実際の SSH 秘密鍵をコピーするか、またはドラッグアンドドロップします。
  • Private Key Passphrase: SSH 経由でネットワークに対してユーザーを認証するための秘密鍵のパスフレーズ。

  • Authorize: 特権モードに入るかどうかを制御するには、これを選択します。

22.4.19.1. Ansible Playbook でネットワークの認証情報にアクセスする
リンクのコピー

コントローラーアクセスネットワーク認証情報 の認証情報タイプを使用する場合、次の環境変数を使用して、Ansible Playbook 内のユーザー名とパスワードのパラメーターにアクセスできます。

  • ANSIBLE_NET_USERNAME
  • ANSIBLE_NET_PASSWORD

ユーザー名とパスワードのパラメーターはジョブランタイム環境から取得できます。 

vars:
  network:
    username: '{{ lookup("env", "ANSIBLE_NET_USERNAME") }}'
    password: '{{ lookup("env", "ANSIBLE_NET_PASSWORD") }}'
Copy to Clipboard Toggle word wrap

22.4.19.2. 複数の通信プロトコル
リンクのコピー

Ansible ネットワークモジュールは、さまざまなプロトコルを使用してネットワークデバイスと通信できます。

ネットワークモジュールは管理対象ノードではなくコントロールノードで実行されるため、複数の通信プロトコルをサポートできます。各ネットワークモジュール用に選択される通信プロトコル (XML over SSH、CLI over SSH、または API over HTTPS) は、プラットフォームとモジュールの目的によって異なります。1 つのプロトコルしかサポートしていないネットワークモジュールもあれば、プロトコルの選択肢を提供するモジュールもあります。

最も一般的なプロトコルは CLI over SSH です。通信プロトコルは、ansible_connection 変数で設定します。

Expand
ansible_connection の値プロトコル必須永続的

ansible.netcommon.network_cli

CLI over SSH

network_os の設定

はい

ansible.netcommon.netconf

XML over SSH

network_os の設定

はい

ansible.netcommon.httpapi

API over HTTP/HTTPS

network_os の設定

はい

local

プロバイダーによって異なる

プロバイダー設定

いいえ

ansible_connection: local は非推奨です。代わりに、上記のいずれかの永続的な接続タイプを使用してください。永続的な接続を使用すると、ホストと認証情報をタスクごとに定義するのではなく、一度定義するだけで済みます。また、通信先の特定のネットワークプラットフォームに合わせて network_os 変数を設定する必要があります。

22.4.20. OpenShift or Kubernetes API Bearer Token 認証情報タイプ
リンクのコピー

Kubernetes または OpenShift コンテナーを参照するインスタンスグループを作成するには、この認証情報タイプを選択します。

詳細は、インスタンスとコンテナーグループ を参照してください。

コンテナーの認証情報として次の情報を提供します。

  • OpenShift or Kubernetes API Endpoint (必須): OpenShift または Kubernetes コンテナーへの接続に使用されるエンドポイントです。
  • API authentication bearer token (必須): 接続の認証に使用されるトークンです。
  • オプション: Verify SSL: このオプションをオンにすると、サーバーの SSL/TLS 証明書が有効で信頼できるかどうかを検証できます。内部またはプライベートの 認証局 (CA) を使用する環境で検証を無効にするには、このオプションをオフのままにする必要があります。
  • Certificate Authority data: 証明書を貼り付けるときに BEGIN CERTIFICATEEND CERTIFICATE の行を含めます (提供されている場合)。

コンテナーグループは、OpenShift クラスターへの接続を可能にする認証情報が関連付けられているインスタンスグループの一種です。コンテナーグループを設定するには、次の項目が必要です。

  • 最初に入ることができる namespace。すべてのクラスターにデフォルトの namespace がありますが、特定の namespace を使用することもできます。
  • この namespace で Pod を起動および管理できるロールを持つサービスアカウント。

  • プライベートレジストリーで実行環境を使用しており、Automation Controller でコンテナーレジストリー認証情報がその実行環境に関連付けられている場合、サービスアカウントには、namespace でシークレットを取得、作成、削除するためのロールも必要です。

    これらのロールをサービスアカウントに付与しない場合は、ImagePullSecrets を事前に作成し、コンテナーグループの Pod 仕様でそれらのロールを指定できます。この場合、実行環境にコンテナーレジストリーの認証情報を関連付けることはできません。関連付けられている場合、Automation Controller は namespace にシークレットを作成しようとします。

  • そのサービスアカウントに関連付けられたトークン (OpenShift または Kubernetes Bearer トークン)
  • クラスターに関連付けられた CA 証明書

22.4.20.1. Openshift クラスターでのサービスアカウントの作成
リンクのコピー

Automation Controller を介してコンテナーグループ内のジョブを実行するために使用するサービスアカウントを、Openshift または Kubernetes クラスターに作成します。サービスアカウントを作成すると、その認証情報が OpenShift または Kubernetes API Bearer Token 認証情報の形式で Automation Controller に提供されます。

サービスアカウントを作成したら、新しいサービスアカウントの情報を使用して Automation Controller を設定します。

手順

  1. サービスアカウントを作成するために、サンプルのサービスアカウント containergroup sa をダウンロードして使用します。認証情報を取得するために必要に応じて変更します。 

    ---
apiVersion: v1
kind: ServiceAccount
metadata:
  name: containergroup-service-account
  namespace: containergroup-namespace
---
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: role-containergroup-service-account
  namespace: containergroup-namespace
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
- apiGroups: [""]
  resources: ["pods/log"]
  verbs: ["get"]
- apiGroups: [""]
  resources: ["pods/attach"]
  verbs: ["get", "list", "watch", "create"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: role-containergroup-service-account-binding
  namespace: containergroup-namespace
subjects:
- kind: ServiceAccount
  name: containergroup-service-account
  namespace: containergroup-namespace
roleRef:
  kind: Role
  name: role-containergroup-service-account
  apiGroup: rbac.authorization.k8s.io
    Copy to Clipboard Toggle word wrap

  2. containergroup-sa.yml から設定を適用します。 

    oc apply -f containergroup-sa.yml
    Copy to Clipboard Toggle word wrap

  3. サービスアカウントに関連付けられているシークレット名を取得します。 

    export SA_SECRET=$(oc get sa containergroup-service-account -o json | jq '.secrets[0].name' | tr -d '"')
    Copy to Clipboard Toggle word wrap

  4. シークレットからトークンを取得します。 

    oc get secret $(echo ${SA_SECRET}) -o json | jq '.data.token' | xargs | base64 --decode > containergroup-sa.token
    Copy to Clipboard Toggle word wrap

  5. CA 証明書を取得します。 

    oc get secret $SA_SECRET -o json | jq '.data["ca.crt"]' | xargs | base64 --decode > containergroup-ca.crt
    Copy to Clipboard Toggle word wrap
  6. containergroup-sa.token および containergroup-ca.crt の内容を使用して、コンテナーグループに必要な OpenShift or Kubernetes API Bearer Token の情報を提供します。

22.4.21. OpenStack 認証情報タイプ
リンクのコピー

クラウドインベントリーと OpenStack の同期を有効にするには、この認証情報タイプを選択します。

OpenStack 認証情報として次の情報を入力します。

  • Username: OpenStack への接続に使用するユーザー名。
  • Password (API Key): OpenStack への接続に使用するパスワードまたは API キー。
  • Host (Authentication URL): 認証に使用するホスト。
  • Project (Tenant Name): OpenStack に使用されるテナント名またはテナント ID。この値は通常、ユーザー名と同じです。
  • オプション: Project (Domain Name): ドメインに関連付けるプロジェクト名を指定します。
  • オプション: Domain Name: OpenStack への接続に使用する FQDN を指定します。
  • オプション: Region Name: リージョン名を指定します。OVH などの一部のクラウドプロバイダーでは、リージョンを指定する必要があります。

OpenStack クラウド認証情報を使用する場合は、クラウドインベントリーでのクラウド認証情報の使用 を参照してください。これにはサンプル Playbook が含まれています。

22.4.22. Red Hat Ansible Automation Platform 認証情報タイプ
リンクのコピー

別の Automation Controller インスタンスにアクセスするには、この認証情報を選択します。

Ansible Automation Platform の認証情報には次の入力が必要です。

  • Red Hat Ansible Automation Platform: 接続先の他のインスタンスのベース URL または IP アドレス。
  • Username: 接続に使用するユーザー名。
  • Password: 接続に使用するパスワード。
  • Oauth Token: ユーザー名とパスワードが使用されない場合は、認証に使用する OAuth トークンを指定します。

Ansible Automation Platform の env インジェクターは次のとおりです。 

ManagedCredentialType(
    namespace='controller',

....
....
....

injectors={
        'env': {
            'TOWER_HOST': '{{host}}',
            'TOWER_USERNAME': '{{username}}',
            'TOWER_PASSWORD': '{{password}}',
            'TOWER_VERIFY_SSL': '{{verify_ssl}}',
            'TOWER_OAUTH_TOKEN': '{{oauth_token}}',
            'CONTROLLER_HOST': '{{host}}',
            'CONTROLLER_USERNAME': '{{username}}',
            'CONTROLLER_PASSWORD': '{{password}}',
            'CONTROLLER_VERIFY_SSL': '{{verify_ssl}}',
            'CONTROLLER_OAUTH_TOKEN': '{{oauth_token}}',
        }
Copy to Clipboard Toggle word wrap

22.4.22.1. Ansible Playbook で Automation Controller の認証情報にアクセスする
リンクのコピー

ホスト、ユーザー名、パスワードのパラメーターはジョブランタイム環境から取得できます。 

vars:
  controller:
    host: '{{ lookup("env", "CONTROLLER_HOST") }}'
    username: '{{ lookup("env", "CONTROLLER_USERNAME") }}'
    password: '{{ lookup("env", "CONTROLLER_PASSWORD") }}'
Copy to Clipboard Toggle word wrap

22.4.23. Red Hat Satellite 6 認証情報タイプ
リンクのコピー

Red Hat Satellite 6 とクラウドインベントリーの同期を有効にするには、この認証情報タイプを選択します。

Automation Controller は、ユーザーインターフェイスで要求されたフィールドをもとに Satellite 設定ファイルを書き込みます。ファイルへの絶対パスは、次の環境変数に設定されます。

FOREMAN_INI_PATH

Satellite 認証情報には次の入力が必要になります。

  • Satellite 6 URL: 接続先の Satellite 6 URL または IP アドレス。
  • ユーザー名: Satellite 6 への接続に使用するユーザー名。
  • パスワード: Satellite 6 への接続に使用するパスワード。

22.4.24. Red Hat Virtualization 認証情報タイプ
リンクのコピー

この認証情報を選択すると、Automation Controller が Red Hat Virtualization によって管理される Ansible の oVirt4.py 動的インベントリープラグインにアクセスできるようになります。

Automation Controller は、Red Hat Virtualization 認証情報に次の環境変数を使用します。ユーザーインターフェイスのフィールドは次のとおりです。 

OVIRT_URL
OVIRT_USERNAME
OVIRT_PASSWORD
Copy to Clipboard Toggle word wrap

Red Hat Virtualization 認証情報として次の情報を提供します。

  • ホスト (認証 URL): 接続するホスト URL または IP アドレス。インベントリーと同期するには、認証情報 URL に ovirt-engine/api パスが含まれている必要があります。
  • ユーザー名: oVirt4 への接続に使用するユーザー名。正常に実行させるには、ドメインプロファイル (例: username@ovirt.host.com) が含まれている必要があります。
  • Password: 接続に使用するパスワード。
  • オプション: CA File: oVirt 証明書ファイルへの絶対パスを指定します (拡張子は .pem.cer.crt である可能性がありますが、一貫性を保つために .pem を推奨します)。

22.4.25. Source Control 認証情報タイプ
リンクのコピー

Source Control 認証情報は、Git や Subversion などのリモートリビジョン管理システムからローカルソースコードリポジトリーを複製および更新するためにプロジェクトで使用されます。

ソースコントロールの認証情報には次の入力が必要です。

  • ユーザー名: ソースコントロールシステムと併用するユーザー名。
  • パスワード: ソースコントロールシステムと併用するパスワード。
  • SCM 秘密鍵: ユーザーを SSH 経由でソースコントロールシステムに対して認証するために使用される実際の SSH 秘密鍵をコピーするか、またはドラッグアンドドロップします。
  • 秘密鍵のパスフレーズ: 使用される SSH 秘密鍵がパスフレーズで保護される場合、秘密鍵のパスフレーズを設定できます。
注記

Source Control 認証情報を Prompt on launch として設定することはできません。

Source Control 認証情報に GitHub アカウントを使用しており、アカウントで 2FA (2 要素認証) が有効になっている場合は、パスワードフィールドで、アカウントのパスワードではなく Personal Access Token を使用する必要があります。

22.4.26. Terraform バックエンド設定
リンクのコピー

Terraform は、さまざまなインフラストラクチャータスクを自動化するために使用される HashiCorp ツールです。Terraform インベントリーソースとの同期を有効にするには、この認証情報タイプを選択します。

Terraform 認証情報には、Terraform バックエンドブロック からのデータを含む Backend configuration 属性が必要です。この属性を保存すると、バックエンド設定へのファイルパスが環境変数 TF_BACKEND_CONFIG_FILE に格納され、この環境変数が、認証情報がアタッチされたすべてのジョブで使用できるようになります。

ファイルを貼り付けたり、ドラッグしたり、参照してアップロードしたり、 Key アイコンをクリックして外部の シークレット管理システム からフィールドに入力したりできます。

Terraform バックエンド設定には次の入力が必要です。

  • Name
  • Credential type: Terraform backend configuration を選択します。
  • オプション: Organization
  • オプション: Description

  • Backend configuration: ファイルをここにドラッグするか、参照してアップロードします。

    S3 バックエンドの設定例: 

    bucket = "my-terraform-state-bucket"
key = "path/to/terraform-state-file"
region = "us-east-1"
access_key = "my-aws-access-key"
secret_key = "my-aws-secret-access-key"
    Copy to Clipboard Toggle word wrap
  • オプション: Google Cloud Platform アカウントの認証情報

22.4.27. Thycotic DevOps Secrets Vault 認証情報タイプ
リンクのコピー

Automation Controller 内の認証情報タイプとして Thycotic DevOps Secrets Vault を使用できます。

これはシークレット管理機能の一部です。

詳細は、Thycotic DevOps Secrets Vault を参照してください。

22.4.28. Thycotic Secret Server 認証情報タイプ
リンクのコピー

これはシークレット管理機能の一部とみなされます。

詳細は、Thycotic Secret Server を参照してください。

22.4.29. Ansible Vault 認証情報タイプ
リンクのコピー

Ansible Vault 認証情報タイプを使用すると、パスワードやキーなどの機密データを暗号化されたファイルに保存できます。

Ansible Vault とのインベントリーの同期を有効にするには、この認証情報タイプを選択します。

Vault 認証情報では、Vault パスワード と、オプションで複数の Vault 認証情報が適用される場合には Vault 識別子 が必要です。

あるいは、Prompt on launch を選択して、起動時にユーザーにパスワードを要求するように Automation Controller を設定することもできます。

Prompt on launch を選択すると、ジョブの起動時にダイアログが開き、ユーザーがパスワードの入力を求められます。

警告

スケジュール済みジョブで使用される認証情報は、Prompt on launch として設定しないでください。

22.4.30. VMware vCenter 認証情報タイプ
リンクのコピー

VMware vCenter とのインベントリーの同期を有効にするには、この認証情報タイプを選択します。

Automation Controller は、VMware vCenter 認証情報に次の環境変数を使用します。 

VMWARE_HOST
VMWARE_USER
VMWARE_PASSWORD
VMWARE_VALIDATE_CERTS
Copy to Clipboard Toggle word wrap

これらは、ユーザーインターフェイスでプロンプトが表示されるフィールドです。

VMware 認証情報には次の入力が必要です。

  • vCenter ホスト: 接続先の vCenter ホスト名または IP アドレス。
  • ユーザー名: vCenter への接続に使用するユーザー名。
  • パスワード: vCenter への接続に使用するパスワード。
注記

VMware ゲストツールがインスタンスで実行されていない場合、VMware インベントリーの同期により、そのインスタンスの IP アドレスが返されません。

22.4.30.1. Ansible Playbook で VMware vCenter の認証情報にアクセスする
リンクのコピー

VMware vCenter 認証情報パラメーターはジョブランタイム環境から取得できます。 

vars:
  vmware:
    host: '{{ lookup("env", "VMWARE_HOST") }}'
    username: '{{ lookup("env", "VMWARE_USER") }}'
    password: '{{ lookup("env", "VMWARE_PASSWORD") }}'
Copy to Clipboard Toggle word wrap
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat