Vault via GPG

HowtoAnsible.md

@@ -1066,6 +1066,38 @@ serveur.example.com
 ansible_python_interpreter=/usr/local/bin/python2.7
 ~~~
 
+### Ansible Vault via GPG
+
+Afin de ne pas avoir a taper son mot de passe Vault a chaque utilisation et a ne pas rajouter "--ask-vault-pass" a sa ligne de commande, on peut stocker son mot de passe Vault dans un fichier chiffré par [GPG](HowtoGPG). Au préalable, il faut configurer GPG pour utiliser l'[agent GPG](HowtoGPG#agent-gpg).
+
+Ensuite, créer le script suivant dans ~/bin/open_vault.sh
+
+~~~
+#!/bin/sh
+gpg --quiet --batch --use-agent --decrypt ~/.ansible/vault.gpg
+~~~
+
+Rendre ce script exécutable :
+
+~~~
+chmod +x ~/bin/open_vault.sh
+~~~
+
+Configurer Ansible pour utiliser ce script comme source du mot de passe Ansible Vault dans ~/.ansible.cfg :
+
+~~~
+[defaults]
+vault_password_file= ~/bin/open_vault.sh
+~~~
+
+Stocker le mot de passe Ansible Vault dans un fichier chiffré via GPG :
+
+~~~
+echo "VAULT_PASSWORD" | gpg -e -o ~/.ansible/vault.gpg
+~~~
+
+Ansible va maintenant automatiquement déchiffrer les fichiers Vault via votre agent GPG et le fichier ~/.ansible/vault.gpg.
+
 ## Ressources utiles
 
 * [Documentation officielle](http://docs.ansible.com/ansible/) (voir notamment la partie [Best Practices](http://docs.ansible.com/ansible/playbooks_best_practices.html))