From fac180285779c29bd6b64c1339ffe6b3e73a5057 Mon Sep 17 00:00:00 2001
From: vlaborie <vlaborie+gitit@evolix.fr>
Date: Thu, 27 Jul 2017 16:28:35 +0200
Subject: [PATCH] Vault via GPG

---
 HowtoAnsible.md | 32 ++++++++++++++++++++++++++++++++
 1 file changed, 32 insertions(+)

diff --git a/HowtoAnsible.md b/HowtoAnsible.md
index 765d4045..e7f14b7f 100644
--- a/HowtoAnsible.md
+++ b/HowtoAnsible.md
@@ -1066,6 +1066,38 @@ serveur.example.com
 ansible_python_interpreter=/usr/local/bin/python2.7
 ~~~
 
+### Ansible Vault via GPG
+
+Afin de ne pas avoir a taper son mot de passe Vault a chaque utilisation et a ne pas rajouter "--ask-vault-pass" a sa ligne de commande, on peut stocker son mot de passe Vault dans un fichier chiffré par [GPG](HowtoGPG). Au préalable, il faut configurer GPG pour utiliser l'[agent GPG](HowtoGPG#agent-gpg).
+
+Ensuite, créer le script suivant dans ~/bin/open_vault.sh
+
+~~~
+#!/bin/sh
+gpg --quiet --batch --use-agent --decrypt ~/.ansible/vault.gpg
+~~~
+
+Rendre ce script exécutable :
+
+~~~
+chmod +x ~/bin/open_vault.sh
+~~~
+
+Configurer Ansible pour utiliser ce script comme source du mot de passe Ansible Vault dans ~/.ansible.cfg :
+
+~~~
+[defaults]
+vault_password_file= ~/bin/open_vault.sh
+~~~
+
+Stocker le mot de passe Ansible Vault dans un fichier chiffré via GPG :
+
+~~~
+echo "VAULT_PASSWORD" | gpg -e -o ~/.ansible/vault.gpg
+~~~
+
+Ansible va maintenant automatiquement déchiffrer les fichiers Vault via votre agent GPG et le fichier ~/.ansible/vault.gpg.
+
 ## Ressources utiles
 
 * [Documentation officielle](http://docs.ansible.com/ansible/) (voir notamment la partie [Best Practices](http://docs.ansible.com/ansible/playbooks_best_practices.html))