community.hashi_vault.vault_kv2_delete 模块 – 从 HashiCorp Vault 的 KV 版本 2 密钥存储中删除一个或多个密钥版本

注意

此模块是 community.hashi_vault 集合(版本 6.2.0)的一部分。

如果您正在使用 ansible 包,您可能已经安装了此集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install community.hashi_vault。您需要其他要求才能使用此模块,请参阅 要求 以了解详细信息。

要在 Playbook 中使用它,请指定:community.hashi_vault.vault_kv2_delete

community.hashi_vault 3.4.0 中的新功能

概要

  • 从 HashiCorp Vault 的 KV 版本 2 密钥存储中删除一个或多个密钥版本。

要求

执行此模块的主机需要以下要求。

参数

参数

注释

auth_method

字符串

要使用的身份验证方法。

none 身份验证方法是在集合版本 1.2.0 中添加的。

cert 身份验证方法是在集合版本 1.4.0 中添加的。

aws_iam_login 在集合版本 2.1.0 中重命名为 aws_iam,并在 3.0.0 中删除。

azure 身份验证方法是在集合版本 3.2.0 中添加的。

选项

  • "token" ←(默认)

  • "userpass"

  • "ldap"

  • "approle"

  • "aws_iam"

  • "azure"

  • "jwt"

  • "cert"

  • "none"

aws_access_key

别名:aws_access_key_id

字符串

要使用的 AWS 访问密钥。

aws_iam_server_id

字符串

在 community.hashi_vault 0.2.0 中添加

如果指定,则设置值以用作 GetCallerIdentity 请求的一部分的 X-Vault-AWS-IAM-Server-ID 标头。

aws_profile

别名:boto_profile

字符串

AWS 配置文件

aws_secret_key

别名:aws_secret_access_key

字符串

与访问密钥对应的 AWS 密钥。

aws_security_token

字符串

如果使用临时访问和密钥,则为 AWS 安全令牌。

azure_client_id

字符串

在 community.hashi_vault 3.2.0 中添加

Azure AD 服务主体或托管标识的客户端 ID(也称为应用程序 ID)。应为 UUID。

如果未指定,将使用系统分配的托管标识。

azure_client_secret

字符串

在 community.hashi_vault 3.2.0 中添加

Azure AD 服务主体的客户端密钥。

azure_resource

字符串

在 community.hashi_vault 3.2.0 中添加

在 Azure Active Directory 中注册的应用程序的资源 URL。通常不应更改默认值。

默认值: "https://management.azure.com/"

azure_tenant_id

字符串

在 community.hashi_vault 3.2.0 中添加

服务主体的 Azure Active Directory 租户 ID(也称为目录 ID)。应为 UUID。

当使用服务主体向 Vault 进行身份验证时是必需的,例如,当同时指定了 *azure_client_id* 和 *azure_client_secret* 时是必需的。

当使用托管标识向 Vault 进行身份验证时是可选的。

ca_cert

别名:cacert

字符串

用于身份验证的证书的路径。

如果未通过任何其他方式指定,则将使用 VAULT_CACERT 环境变量。

cert_auth_private_key

路径

在 community.hashi_vault 1.4.0 中添加

对于 cert 身份验证,用于身份验证的私钥文件(PEM 格式)的路径。

cert_auth_public_key

路径

在 community.hashi_vault 1.4.0 中添加

对于 cert 身份验证,用于身份验证的证书文件(PEM 格式)的路径。

engine_mount_point

字符串

密钥后端安装的路径。

默认值: "secret"

jwt

字符串

用于 JWT 向 Vault 进行身份验证的 JSON Web Token (JWT)。

mount_point

字符串

Vault 安装点。

如果未指定,则使用给定身份验证方法的默认安装点。

不适用于令牌身份验证。

namespace

字符串

密钥所在的 Vault 命名空间。此选项需要 HVAC 0.7.0+ 和 Vault 0.11+。

或者,可以通过在身份验证安装点和/或密钥路径前加上命名空间来实现此目的(例如 mynamespace/secret/mysecret)。

如果设置了环境变量 VAULT_NAMESPACE,则其值将在所有指定 *namespace* 的方式中最后使用。

密码

字符串

身份验证密码。

路径

字符串 / 必需

要删除的 Vault KV 路径。

这是相对于 engine_mount_point 的,因此不应包含挂载路径。

对于 kv2,不要包含 /data//metadata/

代理

任意

在 community.hashi_vault 1.1.0 中添加

用于访问 Vault 服务的代理 URL。

它可以是字符串或字典。

如果是字典,请提供方案(例如 httphttps)作为键,URL 作为值。

如果是字符串,请提供一个将用作 httphttps 方案的代理的单个 URL。

可以解释为字典的字符串将被转换为字典(请参阅示例)。

您可以为 HTTP 和 HTTPS 资源指定不同的代理。

如果未指定,则使用Requests 库中的环境变量

区域

字符串

创建连接的 AWS 区域。

重试

任意

在 community.hashi_vault 1.3.0 中添加

允许基于 urllib3 库中的 Retry 类在错误时进行重试。

此集合为 Vault 连接的重试定义了建议的默认值。

此选项可以指定为正数(整数)或字典。

如果未指定此选项或数字为 0,则禁用重试。

数字设置重试总次数,并对其他设置使用集合默认值。

字典值直接用于初始化 Retry 类,因此可以用来完全自定义重试。

有关重试的详细信息,请参阅集合用户指南。

重试操作

字符串

在 community.hashi_vault 1.3.0 中添加

控制是否以及如何在重试时显示消息。

如果未重试请求,则此操作无效。

选项

  • "忽略"

  • "warn" ← (默认)

角色 ID

字符串

Vault 角色 ID 或名称。用于 approleaws_iamazurecert 身份验证方法。

对于 cert 身份验证,如果未提供 role_id,则默认行为是尝试所有证书角色并返回任何匹配的角色。

对于 azure 身份验证,role_id 是必需的。

秘密 ID

字符串

用于 Vault AppRole 身份验证的秘密 ID。

超时

整数

在 community.hashi_vault 1.3.0 中添加

设置连接超时时间(以秒为单位)。

如果未设置,则使用 hvac 库的默认值。

令牌

字符串

Vault 令牌。可以通过列出的 [env] 变量以及 VAULT_TOKEN 环境变量显式指定令牌。

如果未显式或通过环境变量提供令牌,则插件将检查令牌文件,如 token_pathtoken_file 所确定。

令牌加载的顺序(首先找到的获胜)是 token 参数 -> ansible 变量 -> ANSIBLE_HASHI_VAULT_TOKEN -> VAULT_TOKEN -> 令牌文件

令牌文件

字符串

如果未指定令牌,则会尝试从 token_path 中的此文件中读取令牌。

默认: ".vault-token"

令牌路径

字符串

如果未指定令牌,则会尝试从此路径读取 token_file

令牌验证

布尔值

在 community.hashi_vault 0.2.0 中添加

对于令牌身份验证,将执行 lookup-self 操作,以在使用令牌之前确定令牌的有效性。

如果您的令牌没有 lookup-self 功能,请禁用此选项。

选项

  • false ← (默认)

  • true

网址

字符串

Vault 服务的 URL。

如果未通过任何其他方式指定,则将使用 VAULT_ADDR 环境变量的值。

如果也未定义 VAULT_ADDR,则会引发错误。

用户名

字符串

身份验证用户名。

验证证书

布尔值

控制 SSL 证书的验证和验证,通常只有在使用自签名证书时才需要关闭此项。

如果设置了 VAULT_SKIP_VERIFY 并且未显式提供 validate_certs,则将使用 VAULT_SKIP_VERIFY 的反值填充。

如果未设置 validate_certsVAULT_SKIP_VERIFY,则默认为 true

选项

  • false

  • true

版本

列表 / 元素=整数

要删除的一个或多个版本的秘密。

省略时,将删除最新版本的秘密。

属性

属性

支持

描述

操作组

操作组: community.hashi_vault.vault

module_defaults 中使用 group/community.hashi_vault.vault 为此模块设置默认值。

检查模式

支持:部分

在检查模式下,该模块返回 changed 状态,而不连接 Vault。

考虑先使用community.hashi_vault.vault_kv2_get来验证秘密是否存在。

可以在 check_mode 中运行,并返回更改状态预测,而无需修改目标。

说明

注意

  • 此模块始终报告 changed 状态,因为它无法保证幂等性。

  • 在已知该操作不会更改状态的情况下,使用 changed_when 来控制。

另请参阅

另请参阅

community.hashi_vault.vault_kv2_get

从 HashiCorp Vault 的 KV 版本 2 秘密存储中获取秘密。

community.hashi_vault.vault_kv2_write

对 HashiCorp Vault 中的 KVv2 秘密执行写入操作。

KV2 秘密引擎

Vault KV 秘密引擎的文档,版本 2。

示例

- name: Delete the latest version of the secret/mysecret secret.
  community.hashi_vault.vault_kv2_delete:
    url: https://vault:8201
    path: secret/mysecret
    auth_method: userpass
    username: user
    password: '{{ passwd }}'
  register: result

- name: Delete versions 1 and 3 of the secret/mysecret secret.
  community.hashi_vault.vault_kv2_delete:
    url: https://vault:8201
    path: secret/mysecret
    versions: [1, 3]
    auth_method: userpass
    username: user
    password: '{{ passwd }}'

返回值

常见的返回值记录在此处,以下是此模块独有的字段

描述

数据

字典

针对给定路径删除的原始结果。

这通常是空的,但可能包含警告或其他信息。

返回:成功

作者

  • Isaac Wagner (@idwagner)