Vault via GPG

2017-07-27 16:28:35 +02:00 · 2017-07-27 16:28:35 +02:00 · fac1802857
parent dedb64fe04
commit fac1802857
1 changed files with 32 additions and 0 deletions
--- a/HowtoAnsible.md
+++ b/HowtoAnsible.md
@ -1066,6 +1066,38 @@ serveur.example.com
 ansible_python_interpreter=/usr/local/bin/python2.7
 ~~~

+### Ansible Vault via GPG
+
+Afin de ne pas avoir a taper son mot de passe Vault a chaque utilisation et a ne pas rajouter "--ask-vault-pass" a sa ligne de commande, on peut stocker son mot de passe Vault dans un fichier chiffré par [GPG](HowtoGPG). Au préalable, il faut configurer GPG pour utiliser l'[agent GPG](HowtoGPG#agent-gpg).
+
+Ensuite, créer le script suivant dans ~/bin/open_vault.sh
+
+~~~
+#!/bin/sh
+gpg --quiet --batch --use-agent --decrypt ~/.ansible/vault.gpg
+~~~
+
+Rendre ce script exécutable :
+
+~~~
+chmod +x ~/bin/open_vault.sh
+~~~
+
+Configurer Ansible pour utiliser ce script comme source du mot de passe Ansible Vault dans ~/.ansible.cfg :
+
+~~~
+[defaults]
+vault_password_file= ~/bin/open_vault.sh
+~~~
+
+Stocker le mot de passe Ansible Vault dans un fichier chiffré via GPG :
+
+~~~
+echo "VAULT_PASSWORD" | gpg -e -o ~/.ansible/vault.gpg
+~~~
+
+Ansible va maintenant automatiquement déchiffrer les fichiers Vault via votre agent GPG et le fichier ~/.ansible/vault.gpg.
+
 ## Ressources utiles

 * [Documentation officielle](http://docs.ansible.com/ansible/) (voir notamment la partie [Best Practices](http://docs.ansible.com/ansible/playbooks_best_practices.html))