Vault via GPG
This commit is contained in:
parent
dedb64fe04
commit
fac1802857
|
@ -1066,6 +1066,38 @@ serveur.example.com
|
|||
ansible_python_interpreter=/usr/local/bin/python2.7
|
||||
~~~
|
||||
|
||||
### Ansible Vault via GPG
|
||||
|
||||
Afin de ne pas avoir a taper son mot de passe Vault a chaque utilisation et a ne pas rajouter "--ask-vault-pass" a sa ligne de commande, on peut stocker son mot de passe Vault dans un fichier chiffré par [GPG](HowtoGPG). Au préalable, il faut configurer GPG pour utiliser l'[agent GPG](HowtoGPG#agent-gpg).
|
||||
|
||||
Ensuite, créer le script suivant dans ~/bin/open_vault.sh
|
||||
|
||||
~~~
|
||||
#!/bin/sh
|
||||
gpg --quiet --batch --use-agent --decrypt ~/.ansible/vault.gpg
|
||||
~~~
|
||||
|
||||
Rendre ce script exécutable :
|
||||
|
||||
~~~
|
||||
chmod +x ~/bin/open_vault.sh
|
||||
~~~
|
||||
|
||||
Configurer Ansible pour utiliser ce script comme source du mot de passe Ansible Vault dans ~/.ansible.cfg :
|
||||
|
||||
~~~
|
||||
[defaults]
|
||||
vault_password_file= ~/bin/open_vault.sh
|
||||
~~~
|
||||
|
||||
Stocker le mot de passe Ansible Vault dans un fichier chiffré via GPG :
|
||||
|
||||
~~~
|
||||
echo "VAULT_PASSWORD" | gpg -e -o ~/.ansible/vault.gpg
|
||||
~~~
|
||||
|
||||
Ansible va maintenant automatiquement déchiffrer les fichiers Vault via votre agent GPG et le fichier ~/.ansible/vault.gpg.
|
||||
|
||||
## Ressources utiles
|
||||
|
||||
* [Documentation officielle](http://docs.ansible.com/ansible/) (voir notamment la partie [Best Practices](http://docs.ansible.com/ansible/playbooks_best_practices.html))
|
||||
|
|
Loading…
Reference in New Issue