Vault via GPG
This commit is contained in:
parent
dedb64fe04
commit
fac1802857
|
@ -1066,6 +1066,38 @@ serveur.example.com
|
||||||
ansible_python_interpreter=/usr/local/bin/python2.7
|
ansible_python_interpreter=/usr/local/bin/python2.7
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
|
### Ansible Vault via GPG
|
||||||
|
|
||||||
|
Afin de ne pas avoir a taper son mot de passe Vault a chaque utilisation et a ne pas rajouter "--ask-vault-pass" a sa ligne de commande, on peut stocker son mot de passe Vault dans un fichier chiffré par [GPG](HowtoGPG). Au préalable, il faut configurer GPG pour utiliser l'[agent GPG](HowtoGPG#agent-gpg).
|
||||||
|
|
||||||
|
Ensuite, créer le script suivant dans ~/bin/open_vault.sh
|
||||||
|
|
||||||
|
~~~
|
||||||
|
#!/bin/sh
|
||||||
|
gpg --quiet --batch --use-agent --decrypt ~/.ansible/vault.gpg
|
||||||
|
~~~
|
||||||
|
|
||||||
|
Rendre ce script exécutable :
|
||||||
|
|
||||||
|
~~~
|
||||||
|
chmod +x ~/bin/open_vault.sh
|
||||||
|
~~~
|
||||||
|
|
||||||
|
Configurer Ansible pour utiliser ce script comme source du mot de passe Ansible Vault dans ~/.ansible.cfg :
|
||||||
|
|
||||||
|
~~~
|
||||||
|
[defaults]
|
||||||
|
vault_password_file= ~/bin/open_vault.sh
|
||||||
|
~~~
|
||||||
|
|
||||||
|
Stocker le mot de passe Ansible Vault dans un fichier chiffré via GPG :
|
||||||
|
|
||||||
|
~~~
|
||||||
|
echo "VAULT_PASSWORD" | gpg -e -o ~/.ansible/vault.gpg
|
||||||
|
~~~
|
||||||
|
|
||||||
|
Ansible va maintenant automatiquement déchiffrer les fichiers Vault via votre agent GPG et le fichier ~/.ansible/vault.gpg.
|
||||||
|
|
||||||
## Ressources utiles
|
## Ressources utiles
|
||||||
|
|
||||||
* [Documentation officielle](http://docs.ansible.com/ansible/) (voir notamment la partie [Best Practices](http://docs.ansible.com/ansible/playbooks_best_practices.html))
|
* [Documentation officielle](http://docs.ansible.com/ansible/) (voir notamment la partie [Best Practices](http://docs.ansible.com/ansible/playbooks_best_practices.html))
|
||||||
|
|
Loading…
Reference in New Issue