红帽全球峰会2.2. 向 hashicorp.vault进行身份验证
安装或迁移到 hashicorp.vault 集合后,会在 Ansible Automation Platform 用户界面中配置身份验证。管理员创建自定义凭证类型来向 Vault 进行身份验证。然后,用户创建用于作业模板的凭证。
2.2.1. 身份验证架构
hashicorp.vault 集合通过环境变量和客户端初始化来管理身份验证。这种方法通过防止敏感凭据直接作为 playbook 任务中的模块参数传递来提高安全性。
hashicorp.vault 集合使用环境变量将凭证注入到作业模板中,因此您可以在确保身份验证详情保持安全的情况下获得更简单、干净的任务定义。
支持以下身份验证类型:
Approle 身份验证 : 在使用 appRole 身份验证时,使用以下方法之一:
-
设置
VAULT_APPROLE_ROLE_ID和VAULT_APPROLE_SECRET_ID环境变量。使用环境变量时,还必须创建一个将传递给作业模板的自定义凭证类型和凭证。 将
role_id和secret_id参数直接传递给任务,例如:Copy to Clipboard Copied! Toggle word wrap Toggle overflow
-
设置
令牌身份验证 : 设置
VAULT_TOKEN环境变量。另外,您可以为令牌配置参数。如果没有提供参数,则模块将使用环境变量。
2.2.2. 创建自定义凭证类型
作为管理员,您可以在 Ansible Automation Platform 中创建安全凭证类型,用于向 Vault 进行身份验证。
您可以配置基于角色的(appRole)身份验证,或者允许用户直接提供令牌。
先决条件
执行以下操作之一 :
-
新用户: 从 Automation Hub 安装 Ansible Automation Platform 认证的
hicorp.vault集合。https://www.redhat.com/en/technologies/management/ansible/automation-hub -
community.hashi_vault集合用户: 从community.hashi_vault迁移。如需更多信息,请参阅从community.hashi_vault迁移。
流程
- 登录到 Ansible Automation Platform。
-
在导航面板中,选择
。 - 单击 。Create Credential Type 页面将打开。
- 在对应的字段中输入名称和描述。
如果要为单个用户配置令牌身份验证:
对于 输入配置,请输入:
fields: - id: vault_token type: string label: Hashicorp Vault Token secret: true
fields: - id: vault_token type: string label: Hashicorp Vault Token secret: trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow 对于 Injector 配置,请输入:
env: VAULT_TOKEN: '{{ vault_token }}'env: VAULT_TOKEN: '{{ vault_token }}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
如果要使用
role_id和secret_id配置 appRole 身份验证:对于 输入配置,请输入:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 对于 Injector 配置,请输入:
env: VAULT_APPROLE_ROLE_ID: '{{ vault_approle_role_id }}' VAULT_APPROLE_SECRET_ID: '{{ vault_approle_secret_id }}'env: VAULT_APPROLE_ROLE_ID: '{{ vault_approle_role_id }}' VAULT_APPROLE_SECRET_ID: '{{ vault_approle_secret_id }}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
- 单击 。
后续步骤
其他资源
2.2.3. 创建自定义凭证
Vault 用户必须创建一个自定义凭证,以用于 Ansible Automation Platform 中的作业模板。
前提条件
- 您的管理员创建了 Vault 凭证类型。
流程
- 登录到 Ansible Automation Platform。
-
在导航面板中,选择
,然后选择 。 - 在对应的字段中输入名称和描述。
- (可选)从 Organization 列表中选择一个机构。
- 从 Credential type 列表中,选择 Vault 凭据类型。显示的字段取决于凭证类型。
执行以下操作之一 :
- 对于令牌身份验证,请添加 Vault 令牌并根据需要编辑任何字段。
- 对于 appRole 验证方法,在 appRole 角色 ID 和 appRole Secret ID 字段中输入 ID。根据需要编辑任何其他字段。
- 单击 。您已准备好在作业模板中使用凭证。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}