使用 Ansible Vault 加密内容

在您拥有管理和存储 Vault 密码的策略后，您可以开始加密内容。您可以使用 Ansible Vault 加密两种类型的內容：变量和文件。加密的内容始终包含 !vault 标签，它告诉 Ansible 和 YAML 内容需要解密，以及一个 | 字符，它允许使用多行字符串。使用 --vault-id 创建的加密内容还包含 Vault ID 标签。有关加密过程和使用 Ansible Vault 加密的內容格式的更多详细信息，请参阅 使用 Ansible Vault 加密的格式。此表显示了加密变量和加密文件之间的主要区别

	加密变量	加密文件
加密了多少内容？	纯文本文件中的变量	整个文件
何时解密？	按需，仅在需要时	加载或引用时[1]
可以加密什么？	仅限变量	任何结构化数据文件

[1]

除非解密文件，否则 Ansible 无法知道它是否需要来自加密文件的内容，因此它会解密在您的剧本和角色中引用的所有加密文件。

使用 Ansible Vault 加密单个变量

您可以使用 ansible-vault encrypt_string 命令加密 YAML 文件中的单个值。有关将您的 Vault 变量安全可见的一种方法，请参阅 保持 Vault 变量安全可见。

加密变量的优缺点

使用变量级加密，您的文件仍然易于阅读。您可以混合使用纯文本和加密变量，甚至在剧本或角色中内联。但是，密码轮换不像文件级加密那样简单。您不能 重新加密 加密变量。此外，变量级加密仅适用于变量。如果您想加密任务或其他内容，则必须加密整个文件。

创建加密变量

ansible-vault encrypt_string 命令会加密并格式化您输入（或复制或生成）的任何字符串，使其成为可以包含在剧本、角色或变量文件中。要创建基本的加密变量，请向 ansible-vault encrypt_string 命令传递三个选项

• Vault 密码来源（提示、文件或脚本，带或不带 Vault ID）

• 要加密的字符串

• 字符串名称（变量的名称）

模式如下所示

ansible-vault encrypt_string <password_source> '<string_to_encrypt>' --name '<string_name_of_variable>'

例如，要使用存储在“a_password_file”中的唯一密码加密字符串“foobar”并将变量命名为“the_secret”

ansible-vault encrypt_string --vault-password-file a_password_file 'foobar' --name 'the_secret'

上面的命令将创建以下内容

the_secret: !vault |
      $ANSIBLE_VAULT;1.1;AES256
      62313365396662343061393464336163383764373764613633653634306231386433626436623361
      6134333665353966363534333632666535333761666131620a663537646436643839616531643561
      63396265333966386166373632626539326166353965363262633030333630313338646335303630
      3438626666666137650a353638643435666633633964366338633066623234616432373231333331
      6564

要加密字符串“foooodev”，请使用存储在“a_password_file”中的“dev” Vault 密码添加 Vault ID 标签“dev”，并将加密变量称为“the_dev_secret”

ansible-vault encrypt_string --vault-id dev@a_password_file 'foooodev' --name 'the_dev_secret'

上面的命令将创建以下内容

the_dev_secret: !vault |
          $ANSIBLE_VAULT;1.2;AES256;dev
          30613233633461343837653833666333643061636561303338373661313838333565653635353162
          3263363434623733343538653462613064333634333464660a663633623939393439316636633863
          61636237636537333938306331383339353265363239643939666639386530626330633337633833
          6664656334373166630a363736393262666465663432613932613036303963343263623137386239
          6330

要加密从 stdin 读取的字符串“letmein”，请使用存储在 a_password_file 中的“dev” Vault 密码添加 Vault ID“dev”，并将变量命名为“db_password”

echo -n 'letmein' | ansible-vault encrypt_string --vault-id dev@a_password_file --stdin-name 'db_password'

警告

在命令行（没有提示）直接键入秘密内容会将秘密字符串保留在您的 shell 历史记录中。除非测试，否则不要这样做。

上面的命令将创建以下输出

Reading plaintext input from stdin. (ctrl-d to end input, twice if your content does not already have a new line)
db_password: !vault |
          $ANSIBLE_VAULT;1.2;AES256;dev
          61323931353866666336306139373937316366366138656131323863373866376666353364373761
          3539633234313836346435323766306164626134376564330a373530313635343535343133316133
          36643666306434616266376434363239346433643238336464643566386135356334303736353136
          6565633133366366360a326566323363363936613664616364623437336130623133343530333739
          3039

要提示您输入要加密的字符串，请使用来自“a_password_file”的“dev” Vault 密码对其进行加密，将变量命名为“new_user_password”并赋予它 Vault ID 标签“dev”

ansible-vault encrypt_string --vault-id dev@a_password_file --stdin-name 'new_user_password'

上面的命令将触发此提示

Reading plaintext input from stdin. (ctrl-d to end input, twice if your content does not already have a new line)

键入要加密的字符串（例如，“hunter2”），按 Ctrl-D 并等待。

警告

在提供要加密的字符串后，请不要按 Enter。这会将换行符添加到加密值中。

上面的序列将创建以下输出

new_user_password: !vault |
          $ANSIBLE_VAULT;1.2;AES256;dev
          37636561366636643464376336303466613062633537323632306566653533383833366462366662
          6565353063303065303831323539656138653863353230620a653638643639333133306331336365
          62373737623337616130386137373461306535383538373162316263386165376131623631323434
          3866363862363335620a376466656164383032633338306162326639643635663936623939666238
          3161

您可以将上述任何示例的输出添加到任何剧本、变量文件或角色以供将来使用。加密变量比纯文本变量更大，但它们可以保护您的敏感内容，同时将剧本、变量文件或角色的其余部分保留为纯文本，以便您可以轻松阅读。

查看加密变量

您可以使用 debug 模块查看加密变量的原始值。您必须传递用于加密变量的密码。例如，如果您将上一个示例中创建的变量存储在一个名为“vars.yml”的文件中，您可以像这样查看该变量的未加密值

ansible localhost -m ansible.builtin.debug -a var="new_user_password" -e "@vars.yml" --vault-id dev@a_password_file

localhost | SUCCESS => {
    "new_user_password": "hunter2"
}

使用 Ansible Vault 加密文件

Ansible Vault 可以加密 Ansible 使用的任何结构化数据文件，包括

• 来自清单的组变量文件

• 来自清单的主机变量文件

• 使用 -e @file.yml 或 -e @file.json 传递给 ansible-playbook 的变量文件

• 由 include_vars 或 vars_files 加载的变量文件

• 角色中的变量文件

• 角色中的默认文件

• 任务文件

• 处理程序文件

• 二进制文件或其他任意文件

整个文件在 Vault 中加密。

注意

Ansible Vault 使用编辑器来创建或修改加密文件。有关保护编辑器的指导，请参阅 保护您的编辑器的步骤。

加密文件的优缺点

文件级加密易于使用。使用 重新加密 命令可以轻松地为加密文件进行密码轮换。加密文件不仅可以隐藏敏感值，还可以隐藏您使用的变量的名称。但是，使用文件级加密，文件内容不再容易访问和阅读。对于加密的任务文件来说，这可能是个问题。在加密变量文件时，请参阅 保持 Vault 变量安全可见，了解将对这些变量的引用保留在非加密文件中的方法之一。当加载或引用加密文件时，Ansible 始终会解密整个加密文件，因为 Ansible 无法知道它是否需要内容，除非它对其进行解密。

创建加密文件

要使用来自“multi_password_file”的“test” Vault 密码创建一个名为“foo.yml”的新加密数据文件

ansible-vault create --vault-id test@multi_password_file foo.yml

该工具会启动一个编辑器（你使用 $EDITOR 定义的任何编辑器，默认编辑器为 vi）。添加内容。当你关闭编辑器会话时，文件将被保存为加密数据。文件头反映了用于创建它的保管库 ID。

``$ANSIBLE_VAULT;1.2;AES256;test``

要创建一个新的加密数据文件，并为其分配保管库 ID“my_new_password”，并提示输入密码

ansible-vault create --vault-id my_new_password@prompt foo.yml

同样，在编辑器中向文件添加内容并保存。确保在提示时保存你创建的新密码，以便你在需要解密该文件时可以找到它。

加密现有文件

要加密现有文件，请使用 ansible-vault encrypt 命令。此命令可以一次对多个文件进行操作。例如

ansible-vault encrypt foo.yml bar.yml baz.yml

要使用“project”ID 加密现有文件，并提示输入密码

ansible-vault encrypt --vault-id project@prompt foo.yml bar.yml baz.yml

查看加密文件

要查看加密文件的原始内容而不进行编辑，可以使用 ansible-vault view 命令

ansible-vault view foo.yml bar.yml baz.yml

编辑加密文件

要对加密文件进行就地编辑，请使用 ansible-vault edit 命令。此命令会将文件解密到一个临时文件，允许你编辑内容，然后保存并重新加密内容，并在你关闭编辑器时删除临时文件。例如

ansible-vault edit foo.yml

要编辑使用 vault2 密码文件加密并分配了保管库 ID pass2 的文件

ansible-vault edit --vault-id pass2@vault2 foo.yml

更改加密文件的密码和/或保管库 ID

要更改加密文件或文件的密码，请使用 rekey 命令

ansible-vault rekey foo.yml bar.yml baz.yml

此命令可以一次重新加密多个数据文件，并会要求提供原始密码和新密码。要为重新加密的文件设置不同的 ID，请将新 ID 传递给 --new-vault-id。例如，要重新加密使用“preprod1”保管库 ID 加密的文件列表，从“ppold”文件重新加密到“preprod2”保管库 ID，并提示输入新密码

ansible-vault rekey --vault-id preprod1@ppold --new-vault-id preprod2@prompt foo.yml bar.yml baz.yml

解密加密文件

如果你有一个不再需要加密的加密文件，可以通过运行 ansible-vault decrypt 命令永久解密它。此命令会将文件以未加密的形式保存到磁盘，因此请确保你不想 edit 它。

ansible-vault decrypt foo.yml bar.yml baz.yml

保护编辑器的步骤

Ansible Vault 依赖于你配置的编辑器，这可能是信息泄露的来源。大多数编辑器都有防止数据丢失的方法，但这些方法通常依赖于额外的纯文本文件，这些文件可能包含你的秘密的明文副本。请查看你的编辑器文档以配置编辑器以避免泄露安全数据。以下部分提供了一些关于常见编辑器的指导，但不应被视为保护编辑器的完整指南。

vim

你可以在命令模式下设置以下 vim 选项以避免泄露的情况。你可能需要修改更多设置来确保安全，尤其是在使用插件时，因此请查看 vim 文档。

1. 禁用充当崩溃或中断时自动保存的交换文件。

set noswapfile

2. 禁用备份文件的创建。

set nobackup
set nowritebackup

3. 禁用 viminfo 文件从当前会话复制数据。

set viminfo=

4. 禁用复制到系统剪贴板。

set clipboard=

你可以在 .vimrc 中为所有文件添加这些设置，或者只添加特定路径或扩展名。有关详细信息，请参阅 vim 手册。

Emacs

你可以在 Emacs 中设置以下选项以避免泄露的情况。你可能需要修改更多设置来确保安全，尤其是在使用插件时，因此请查看 Emacs 文档。

1. 不要将数据复制到系统剪贴板。

(setq x-select-enable-clipboard nil)

2. 禁用备份文件的创建。

(setq make-backup-files nil)

3. 禁用自动保存文件。

(setq auto-save-default nil)