community.hashi_vault.vault_kv1_get 查找 - 从 HashiCorp Vault 的 KV 版本 1 秘密存储中获取密钥
注意
此查找插件是 community.hashi_vault 集合 (版本 6.2.0) 的一部分。
如果您正在使用 ansible 包,您可能已经安装了此集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list。
要安装它,请使用:ansible-galaxy collection install community.hashi_vault。您需要进一步的要求才能使用此查找插件,有关详细信息,请参阅 要求。
要在 playbook 中使用它,请指定:community.hashi_vault.vault_kv1_get。
community.hashi_vault 2.5.0 中的新功能
概要
从 HashiCorp Vault 的 KV 版本 1 秘密存储中获取密钥。
要求
以下要求需要在执行此查找的本地控制器节点上满足。
术语
参数 |
注释 |
|---|---|
要读取的 Vault KV 路径。 这些路径相对于 engine_mount_point,因此不应包含挂载路径。 |
关键字参数
这描述了查找的关键字参数。这些是在以下示例中 key1=value1、key2=value2 等的值: lookup('community.hashi_vault.vault_kv1_get', key1=value1, key2=value2, ...) 和 query('community.hashi_vault.vault_kv1_get', key1=value1, key2=value2, ...)
参数 |
注释 |
|---|---|
要使用的身份验证方法。
选择
配置
|
|
如果指定,则设置用于 配置
|
|
Azure AD 服务主体或托管标识的客户端 ID(也称为应用程序 ID)。应为 UUID。 如果未指定,将使用系统分配的托管标识。 配置
|
|
Azure AD 服务主体的客户端密钥。 配置
|
|
在 Azure Active Directory 中注册的应用程序的资源 URL。通常不应更改默认值。 默认值: 配置
|
|
服务主体的 Azure Active Directory 租户 ID(也称为目录 ID)。应为 UUID。 当使用服务主体向 Vault 进行身份验证时,此项为必填项。例如,当同时指定 *azure_client_id* 和 *azure_client_secret* 时,此项为必填项。 当使用托管标识向 Vault 进行身份验证时,此项为可选项。 配置
|
|
用于身份验证的证书路径。 如果未通过任何其他方式指定,则将使用 配置
|
|
对于 配置
|
|
对于 配置
|
|
秘密后端挂载的路径。 默认值: 配置
|
|
Vault 挂载点。 如果未指定,则使用给定身份验证方法的默认挂载点。 不适用于令牌身份验证。 配置
|
|
秘密所在的 Vault 命名空间。此选项需要 HVAC 0.7.0+ 和 Vault 0.11+。 或者,可以通过使用命名空间作为身份验证挂载点和/或秘密路径的前缀来实现此目的(例如 如果设置了环境变量 配置
|
|
身份验证密码。 配置
|
|
用于访问 Vault 服务的代理 URL。 它可以是字符串或字典。 如果它是字典,请提供方案(例如 如果它是字符串,请提供一个将用作 可以解释为字典的字符串将被转换为字典(请参见示例)。 您可以为 HTTP 和 HTTPS 资源指定不同的代理。 如果未指定,则使用来自 Requests 库的环境变量。 配置
|
|
允许在发生错误时重试,基于 urllib3 库中的 Retry 类。 此集合为重试与 Vault 的连接定义了建议的默认值。 此选项可以指定为正数(整数)或字典。 如果未指定此选项或数字为 数字设置重试的总次数,并对其他设置使用集合默认值。 字典值直接用于初始化 有关重试的详细信息,请参阅集合用户指南。 配置
|
|
控制是否以及如何显示关于 *retries* 的消息。 如果未重试请求,则此项无效。 选择
配置
|
|
Vault 角色 ID 或名称。在 对于 对于 配置
|
|
用于 Vault AppRole 身份验证的密钥 ID。 配置
|
|
设置连接超时时间,以秒为单位。 如果未设置,则使用 配置
|
|
Vault 令牌。令牌可以通过显式指定、通过列出的[env]变量以及 如果未显式提供令牌或通过环境变量提供令牌,则插件将检查令牌文件,该文件由 token_path 和 token_file 确定。 令牌加载的顺序(首先找到的胜出)是 配置
|
|
如果未指定令牌,将尝试从 token_path 中的此文件读取令牌。 默认值: 配置
|
|
如果未指定令牌,将尝试从此路径读取 token_file。 配置
|
|
对于令牌身份验证,将执行 如果您的令牌不具备 选择
配置
|
|
Vault 服务的 URL。 如果未通过任何其他方式指定,将使用 如果 配置
|
|
身份验证用户名。 配置
|
|
控制 SSL 证书的验证和校验,通常只在自签名证书的情况下才需要关闭此选项。 如果设置了 如果既未设置 validate_certs 也未设置 选择
配置
|
注意
注意
当关键字参数和位置参数一起使用时,位置参数必须列在关键字参数之前:
lookup('community.hashi_vault.vault_kv1_get', term1, term2, key1=value1, key2=value2)和query('community.hashi_vault.vault_kv1_get', term1, term2, key1=value1, key2=value2)
另请参阅
另请参阅
- community.hashi_vault.vault_kv1_get
从 HashiCorp Vault 的 KV 版本 1 秘密存储中获取密钥。
- community.hashi_vault.vault_kv2_get lookup
community.hashi_vault.vault_kv2_get查找插件的官方文档。- community.hashi_vault.vault_kv2_get
从 HashiCorp Vault 的 KV 版本 2 秘密存储中获取密钥。
- community.hashi_vault 查找指南
有关在
community.hashi_vault中使用查找的指导。- KV1 密钥引擎
Vault KV 密钥引擎版本 1 的文档。
示例
- name: Read a kv1 secret with the default mount point
ansible.builtin.set_fact:
response: "{{ lookup('community.hashi_vault.vault_kv1_get', 'hello', url='https://vault:8201') }}"
# equivalent API path is kv/hello
- name: Display the results
ansible.builtin.debug:
msg:
- "Secret: {{ response.secret }}"
- "Data: {{ response.data }} (same as secret in kv1)"
- "Metadata: {{ response.metadata }} (response info in kv1)"
- "Full response: {{ response.raw }}"
- "Value of key 'password' in the secret: {{ response.secret.password }}"
- name: Read a kv1 secret with a different mount point
ansible.builtin.set_fact:
response: "{{ lookup('community.hashi_vault.vault_kv1_get', 'hello', engine_mount_point='custom/kv1/mount', url='https://vault:8201') }}"
# equivalent API path is custom/kv1/mount/hello
- name: Display the results
ansible.builtin.debug:
msg:
- "Secret: {{ response.secret }}"
- "Data: {{ response.data }} (same as secret in kv1)"
- "Metadata: {{ response.metadata }} (response info in kv1)"
- "Full response: {{ response.raw }}"
- "Value of key 'password' in the secret: {{ response.secret.password }}"
- name: Perform multiple kv1 reads with a single Vault login, showing the secrets
vars:
paths:
- hello
- my-secret/one
- my-secret/two
ansible.builtin.debug:
msg: "{{ lookup('community.hashi_vault.vault_kv1_get', *paths, auth_method='userpass', username=user, password=pwd)['secret'] }}"
- name: Perform multiple kv1 reads with a single Vault login in a loop
vars:
paths:
- hello
- my-secret/one
- my-secret/two
ansible.builtin.debug:
msg: '{{ item }}'
loop: "{{ query('community.hashi_vault.vault_kv1_get', *paths, auth_method='userpass', username=user, password=pwd) }}"
- name: Perform multiple kv1 reads with a single Vault login in a loop (via with_), display values only
vars:
ansible_hashi_vault_auth_method: userpass
ansible_hashi_vault_username: '{{ user }}'
ansible_hashi_vault_password: '{{ pwd }}'
ansible.builtin.debug:
msg: '{{ item.values() | list }}'
with_community.hashi_vault.vault_kv1_get:
- hello
- my-secret/one
- my-secret/two
返回值
键 |
描述 |
|---|---|
针对给定路径读取的结果。 已返回: 成功 |
|
原始结果的 已返回: 成功 示例: |
|
这是一个合成结果。它与删除 已返回: 成功 示例: |
|
针对给定路径读取的原始结果。 已返回: 成功 示例: |
|
原始结果的 已返回: 成功 示例: |