community.hashi_vault.vault_login 模块 – 对 HashiCorp Vault 执行登录操作

注意

此模块是 community.hashi_vault 集合 (版本 6.2.0) 的一部分。

如果您使用的是 ansible 包,则可能已安装此集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install community.hashi_vault。您需要其他要求才能使用此模块,请参阅 要求 获取详细信息。

要在 playbook 中使用它,请指定:community.hashi_vault.vault_login

community.hashi_vault 2.2.0 中的新增功能

概要

  • 对 HashiCorp Vault 中的给定路径执行登录操作,返回登录响应,包括令牌。

要求

执行此模块的主机需要以下要求。

参数

参数

注释

auth_method

字符串

要使用的身份验证方法。

none 身份验证方法在集合版本 1.2.0 中添加。

cert 身份验证方法在集合版本 1.4.0 中添加。

aws_iam_login 在集合版本 2.1.0 中重命名为 aws_iam,并在 3.0.0 中移除。

azure 身份验证方法在集合版本 3.2.0 中添加。

选项

  • "token" ← (默认)

  • "userpass"

  • "ldap"

  • "approle"

  • "aws_iam"

  • "azure"

  • "jwt"

  • "cert"

  • "none"

aws_access_key

别名:aws_access_key_id

字符串

要使用的 AWS 访问密钥。

aws_iam_server_id

字符串

在 community.hashi_vault 0.2.0 中添加

如果指定,则将值设置为用于 X-Vault-AWS-IAM-Server-ID 标头,作为 GetCallerIdentity 请求的一部分。

aws_profile

别名:boto_profile

字符串

AWS 配置文件

aws_secret_key

别名:aws_secret_access_key

字符串

与访问密钥对应的 AWS 密钥。

aws_security_token

字符串

如果使用临时访问密钥和密钥,则为 AWS 安全令牌。

azure_client_id

字符串

在 community.hashi_vault 3.2.0 中添加

Azure AD 服务主体或托管身份的客户端 ID(也称为应用程序 ID)。应为 UUID。

如果未指定,将使用系统分配的托管身份。

azure_client_secret

字符串

在 community.hashi_vault 3.2.0 中添加

Azure AD 服务主体的客户端密钥。

azure_resource

字符串

在 community.hashi_vault 3.2.0 中添加

在 Azure Active Directory 中注册的应用程序的资源 URL。通常不应更改默认值。

默认值: "https://management.azure.com/"

azure_tenant_id

字符串

在 community.hashi_vault 3.2.0 中添加

服务主体的 Azure Active Directory 租户 ID(也称为目录 ID)。应为 UUID。

使用服务主体对 Vault 进行身份验证时需要,例如,当同时指定 *azure_client_id* 和 *azure_client_secret* 时需要。

使用托管身份对 Vault 进行身份验证时可选。

ca_cert

别名:cacert

字符串

要用于身份验证的证书路径。

如果没有通过任何其他方式指定,则将使用 VAULT_CACERT 环境变量。

cert_auth_private_key

路径

在 community.hashi_vault 1.4.0 中添加

对于 cert 身份验证,使用 PEM 格式进行身份验证的私钥文件路径。

cert_auth_public_key

路径

在 community.hashi_vault 1.4.0 中添加

对于 cert 身份验证,使用 PEM 格式进行身份验证的证书文件路径。

jwt

字符串

用于 JWT 对 Vault 进行身份验证的 JSON Web 令牌 (JWT)。

mount_point

字符串

Vault 挂载点。

如果未指定,则使用给定身份验证方法的默认挂载点。

不适用于令牌身份验证。

namespace

字符串

秘密所在的 Vault 命名空间。此选项需要 HVAC 0.7.0+ 和 Vault 0.11+。

或者,可以通过使用命名空间作为前缀来实现身份验证挂载点和/或秘密路径(例如 mynamespace/secret/mysecret)。

如果设置了环境变量 VAULT_NAMESPACE,则其值将在所有指定 *namespace* 的方式中最后使用。

password

字符串

身份验证密码。

proxies

任意

新增于 community.hashi_vault 1.1.0

用于访问 Vault 服务的代理服务器 URL。

可以是字符串或字典。

如果是字典,请使用方案(例如 httphttps)作为键,URL 作为值。

如果是字符串,请提供单个 URL,该 URL 将用作 httphttps 方案的代理。

可以解释为字典的字符串将被转换为字典(参见示例)。

您可以为 HTTP 和 HTTPS 资源指定不同的代理。

如果未指定,则使用 Requests 库的环境变量

区域

字符串

要为此创建连接的 AWS 区域。

重试

任意

新增于 community.hashi_vault 1.3.0

允许根据 urllib3 库中的 Retry 类 重试错误。

此集合定义了重试与 Vault 连接的推荐默认值。

此选项可以指定为正数(整数)或字典。

如果未指定此选项或数字为 0,则禁用重试。

数字设置重试的总次数,并使用集合默认值进行其他设置。

字典值直接用于初始化 Retry 类,因此可用于完全自定义重试。

有关重试的详细信息,请参阅集合用户指南。

retry_action

字符串

新增于 community.hashi_vault 1.3.0

控制是否以及如何显示 _重试_ 消息。

如果未重试请求,则此选项无效。

选项

  • "忽略"

  • "警告" ← (默认)

role_id

字符串

Vault 角色 ID 或名称。用于 approleaws_iamazurecert 身份验证方法。

对于 cert 身份验证,如果未提供 _role_id_,则默认行为是尝试所有证书角色并返回任何一个匹配的角色。

对于 azure 身份验证,需要 _role_id_。

secret_id

字符串

用于 Vault AppRole 身份验证的密钥 ID。

超时

整数

新增于 community.hashi_vault 1.3.0

设置连接超时(以秒为单位)。

如果未设置,则使用 hvac 库的默认值。

令牌

字符串

Vault 令牌。可以通过列出的 [env] 变量以及 VAULT_TOKEN 环境变量显式指定令牌。

如果没有通过显式方式或环境变量提供令牌,则插件将检查令牌文件,该文件由 _token_path_ 和 _token_file_ 确定。

令牌加载顺序(先找到先使用)为 token param -> ansible var -> ANSIBLE_HASHI_VAULT_TOKEN -> VAULT_TOKEN -> token file

token_file

字符串

如果未指定令牌,将尝试从此文件(在 _token_path_ 中)读取令牌。

默认值: ".vault-token"

token_path

字符串

如果未指定令牌,将尝试从此路径读取 _token_file_。

token_validate

布尔值

在 community.hashi_vault 0.2.0 中添加

对于令牌身份验证,将执行 lookup-self 操作以确定令牌的有效性后再使用它。

如果您的令牌不具备 lookup-self 功能,请禁用此功能。

选项

  • false

  • true ← (默认)

url

字符串

Vault 服务的 URL。

如果未通过任何其他方式指定,则将使用 VAULT_ADDR 环境变量的值。

如果 VAULT_ADDR 也未定义,则会引发错误。

用户名

字符串

身份验证用户名。

validate_certs

布尔值

控制 SSL 证书的验证,通常只有在使用自签名证书时才需要关闭。

如果设置了 VAULT_SKIP_VERIFY 且未明确提供 _validate_certs_,则将填充 VAULT_SKIP_VERIFY 的反值。

如果既未设置 _validate_certs_ 也未设置 VAULT_SKIP_VERIFY,则默认为 true

选项

  • false

  • true

属性

属性

支持

描述

action_group

动作组: community.hashi_vault.vault

module_defaults 中使用 group/community.hashi_vault.vault 为此模块设置默认值。

check_mode

支持:部分

在检查模式下,此模块不会执行登录,而是返回一个带有空令牌的基本结构。但是,如果后续任务需要令牌,这可能没用。

最好将此模块与 check_mode=false 一起使用,以便拥有可用的有效令牌。

可以在 check_mode 下运行并返回更改状态预测,而无需修改目标。

备注

注意

  • 登录是写入操作(创建持久保存到存储的令牌),因此此模块始终报告 changed=True,除非与 token 身份验证一起使用,因为在这种情况下不会创建新令牌。但是,为了 Ansible playbook 的目的,如果您要对目标系统进行幂等性检查,则设置 changed_when=false 可能更有用。

  • 此模块无效的 none 身份验证方法,因为它没有返回的响应。

  • 使用 token 身份验证时,不会执行实际的登录。而是将给定令牌的附加信息返回到类似于登录响应的结构中。

  • 只有当 _token_validate=True_ 时,token 身份验证方法才会返回完整信息。如果令牌不具备 lookup-self 功能,则会失败。如果 _token_validate=False_,则只有令牌值本身将返回到结构中。

另请参阅

另请参阅

community.hashi_vault.vault_login 查询

community.hashi_vault.vault_login 查询插件的官方文档。

community.hashi_vault.vault_login_token 过滤器

community.hashi_vault.vault_login_token 过滤器插件的官方文档。

示例

- name: Login and use the resulting token
  community.hashi_vault.vault_login:
    url: https://vault:8201
    auth_method: userpass
    username: user
    password: '{{ passwd }}'
  register: login_data

- name: Retrieve an approle role ID (token via filter)
  community.hashi_vault.vault_read:
    url: https://vault:8201
    auth_method: token
    token: '{{ login_data | community.hashi_vault.vault_login_token }}'
    path: auth/approle/role/role-name/role-id
  register: approle_id

- name: Retrieve an approle role ID (token via direct dict access)
  community.hashi_vault.vault_read:
    url: https://vault:8201
    auth_method: token
    token: '{{ login_data.login.auth.client_token }}'
    path: auth/approle/role/role-name/role-id
  register: approle_id

返回值

常见返回值已在此处 记录,以下是此模块特有的字段

描述

login

字典

针对给定身份验证方法的登录结果。

返回:成功

auth

字典

登录响应的 auth 成员。

返回:成功

client_token

字符串

包含登录操作提供的令牌(或 _auth_method=token_ 时的输入令牌)。

返回:成功

data

字典

登录响应的 data 成员。

返回:成功,如果可用

作者

  • Brian Scholer (@briantist)