管理 Vault 密码

如果您制定了一个管理 Vault 密码的策略，那么管理加密内容会更容易。Vault 密码可以是您选择的任何字符串。没有创建 Vault 密码的特殊命令。但是，您需要跟踪您的 Vault 密码。每次使用 Ansible Vault 加密变量或文件时，都必须提供密码。当您在命令或 playbook 中使用加密的变量或文件时，必须提供与加密时相同的密码。要制定管理 Vault 密码的策略，请从以下两个问题开始

• 您是想使用相同的密码加密所有内容，还是根据不同的需求使用不同的密码？

• 您想在哪里存储密码？

选择单个密码和多个密码

如果您有一个小型团队或少量敏感值，您可以使用单个密码来加密使用 Ansible Vault 加密的所有内容。如以下所述，将您的 Vault 密码安全地存储在文件或密钥管理器中。

如果您有一个大型团队或许多敏感值，则可以使用多个密码。例如，您可以为不同的用户或不同的访问级别使用不同的密码。根据您的需要，您可能希望为每个加密文件、每个目录或每个环境使用不同的密码。您可能有一个 playbook 包含两个 vars 文件，一个用于开发环境，一个用于生产环境，它们使用两个不同的密码加密。运行 playbook 时，您可以使用 Vault ID 选择目标环境的正确 Vault 密码。

使用 Vault ID 管理多个密码

如果您使用多个 Vault 密码，则可以使用 Vault ID 区分一个密码与另一个密码。您可以通过三种方式使用 Vault ID

• 在创建加密内容时，使用 --vault-id 将其传递给 ansible-vault 命令

• 将其包含在您存储该 Vault ID 密码的任何位置（请参阅 存储和访问 Vault 密码）

• 在运行使用您使用该 Vault ID 加密的内容的 playbook 时，使用 --vault-id 将其传递给 ansible-playbook 命令

当您将 Vault ID 作为选项传递给 ansible-vault 命令时，您会向加密内容添加一个标签（提示或昵称）。此标签记录了您用来加密它的密码。加密的变量或文件在标题中以纯文本形式包含 Vault ID 标签。Vault ID 是加密内容之前的最后一个元素。例如

my_encrypted_var: !vault |
          $ANSIBLE_VAULT;1.2;AES256;dev
          30613233633461343837653833666333643061636561303338373661313838333565653635353162
          3263363434623733343538653462613064333634333464660a663633623939393439316636633863
          61636237636537333938306331383339353265363239643939666639386530626330633337633833
          6664656334373166630a363736393262666465663432613932613036303963343263623137386239
          6330

除了标签之外，您还必须提供相关密码的来源。来源可以是提示、文件或脚本，具体取决于您如何存储 Vault 密码。模式如下所示

--vault-id label@source

如果您的 playbook 使用多个加密变量或文件，这些文件使用不同的密码加密，则必须在运行该 playbook 时传递 Vault ID。您可以单独使用 --vault-id，也可以与 --vault-password-file 或 --ask-vault-pass 结合使用。模式与创建加密内容时相同：包含标签和匹配密码的来源。

请参阅以下有关使用 Vault ID 加密内容和使用使用 Vault ID 加密的内容的示例。--vault-id 选项适用于与 Vault 交互的任何 Ansible 命令，包括 ansible-vault、ansible-playbook 等。

Vault ID 的限制

Ansible 不会强制每次使用特定 Vault ID 标签时都使用相同的密码。您可以使用相同的 Vault ID 标签但不同的密码加密不同的变量或文件。这通常发生在您在提示符处键入密码并出错时。您可以有意地使用相同的 Vault ID 标签但不同的密码。例如，您可以将每个标签用作密码类别的参考，而不是单个密码。在这种情况下，您必须始终了解在上下文中使用哪个特定密码或文件。但是，您更有可能错误地使用相同的 Vault ID 标签和不同的密码加密两个文件。如果您意外地使用相同的标签但不同的密码加密了两个文件，则可以 重新加钥 一个文件以解决此问题。

强制执行 Vault ID 匹配

默认情况下，Vault ID 标签只是一个提示，以提醒您使用哪个密码加密了变量或文件。Ansible 不会检查加密内容标题中的 Vault ID 是否与您在使用内容时提供的 Vault ID 匹配。Ansible 会解密由您的命令或 playbook 调用的所有使用您提供的密码加密的文件和变量。要检查加密内容，并且仅当它包含的 Vault ID 与您使用 --vault-id 提供的 Vault ID 匹配时才对其进行解密，请设置配置选项 DEFAULT_VAULT_ID_MATCH。设置 DEFAULT_VAULT_ID_MATCH 后，每个密码仅用于解密使用相同标签加密的数据。这既高效又可预测，并且可以减少使用不同密码加密不同值时的错误。

注意

即使启用了 DEFAULT_VAULT_ID_MATCH 设置，Ansible 也不会强制每次使用特定 Vault ID 标签时都使用相同的密码。

存储和访问 Vault 密码

您可以记住您的 Vault 密码，或者手动从任何来源复制 Vault 密码并在命令行提示符处粘贴它们，但大多数用户会安全地存储它们，并在需要时从 Ansible 内部访问它们。您有两个选项可以在 Ansible 内部存储 Vault 密码：在文件中或第三方工具（如系统密钥环或密钥管理器）中。如果将密码存储在第三方工具中，则需要一个 Vault 密码客户端脚本才能从 Ansible 内部检索它们。

在文件中存储密码

要在文件中存储 Vault 密码，请在文件中将密码作为字符串输入到一行中。确保文件的权限正确。不要将密码文件添加到源代码控制中。

运行使用存储在文件中的 Vault 密码的 playbook 时，请在 --vault-password-file 标志中指定该文件。例如

ansible-playbook --extra-vars @secrets.enc --vault-password-file secrets.pass

使用 Vault 密码客户端脚本在第三方工具中存储密码

您可以将 Vault 密码存储在系统密钥环、数据库或密钥管理器中，并使用 Vault 密码客户端脚本从 Ansible 内部检索它们。将密码作为字符串输入到一行中。如果您的密码有 Vault ID，请以适合您的密码存储工具的方式存储它。

要创建 Vault 密码客户端脚本

• 创建一个以 -client 或 -client.EXTENSION 结尾的文件名。

• 使文件可执行。

• 在脚本本身中

  • 将密码打印到标准输出。

  • 接受 --vault-id 选项。

  • 如果脚本提示输入数据（例如，数据库密码），请将提示显示到 TTY。

当您运行使用存储在第三方工具中的 Vault 密码的 playbook 时，请在 --vault-id 标志中将脚本指定为源。例如

ansible-playbook --vault-id dev@contrib-scripts/vault/vault-keyring-client.py

Ansible 使用 --vault-id 选项执行客户端脚本，以便脚本知道您指定了哪个 Vault ID 标签。例如，从密钥管理器加载密码的脚本可以使用 Vault ID 标签来选择“dev”或“prod”密码。上面的示例命令导致以下客户端脚本执行

contrib-scripts/vault/vault-keyring-client.py --vault-id dev

有关从系统密钥环加载密码的客户端脚本示例，请参阅 vault-keyring-client 脚本。