community.hashi_vault.vault_write lookup – 对 HashiCorp Vault 执行写入操作

注意

此查找插件是 community.hashi_vault 集合（版本 6.2.0）的一部分。

如果您正在使用 ansible 包，您可能已经安装了此集合。它不包含在 ansible-core 中。要检查它是否已安装，请运行 ansible-galaxy collection list。

要安装它，请使用：ansible-galaxy collection install community.hashi_vault。您需要其他要求才能使用此查找插件，有关详细信息，请参阅要求。

要在 playbook 中使用它，请指定：community.hashi_vault.vault_write。

community.hashi_vault 2.4.0 新增

概要 

对 HashiCorp Vault 中的给定路径执行通用写入操作，返回任何输出。

要求 

以下要求需要在执行此查找的本地控制节点上满足。

hvac (Python 库)
有关详细的要求，请参阅集合要求页面。

术语 

参数	注释
术语字符串 / 必需	要写入的 Vault 路径。

这描述了查找的关键字参数。这些是以下示例中的值 key1=value1、key2=value2 等：lookup('community.hashi_vault.vault_write', key1=value1, key2=value2, ...) 和 query('community.hashi_vault.vault_write', key1=value1, key2=value2, ...)

参数	注释
auth_method 字符串	要使用的身份验证方法。 `none` 身份验证方法已在集合版本 `1.2.0` 中添加。 `cert` 身份验证方法已在集合版本 `1.4.0` 中添加。 `aws_iam_login` 在集合版本 `2.1.0` 中重命名为 `aws_iam`，并在 `3.0.0` 中删除。 `azure` 身份验证方法已在集合版本 `3.2.0` 中添加。选项 `"token"` ← (默认) `"userpass"` `"ldap"` `"approle"` `"aws_iam"` `"azure"` `"jwt"` `"cert"` `"none"` 配置 INI 条目 [hashi_vault_collection] auth_method = token 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_AUTH_METHOD` 在 community.hashi_vault 0.2.0 中添加变量：ansible_hashi_vault_auth_method 在 community.hashi_vault 1.2.0 中添加
aws_access_key 别名: aws_access_key_id 字符串	要使用的 AWS 访问密钥。配置环境变量：`EC2_ACCESS_KEY` 环境变量：`AWS_ACCESS_KEY` 环境变量：`AWS_ACCESS_KEY_ID`
aws_iam_server_id 字符串在 community.hashi_vault 0.2.0 中添加	如果指定，则将该值设置为 `X-Vault-AWS-IAM-Server-ID` 标头的一部分，作为 `GetCallerIdentity` 请求的一部分。配置 INI 条目 [hashi_vault_collection] aws_iam_server_id = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_AWS_IAM_SERVER_ID`
aws_profile 别名：boto_profile 字符串	AWS 配置文件配置环境变量：`AWS_DEFAULT_PROFILE` 环境变量：`AWS_PROFILE`
aws_secret_key 别名：aws_secret_access_key 字符串	与访问密钥对应的 AWS 密钥。配置环境变量：`EC2_SECRET_KEY` 环境变量：`AWS_SECRET_KEY` 环境变量：`AWS_SECRET_ACCESS_KEY`
aws_security_token 字符串	如果使用临时访问密钥和密钥，则为 AWS 安全令牌。配置环境变量：`EC2_SECURITY_TOKEN` 环境变量：`AWS_SESSION_TOKEN` 环境变量：`AWS_SECURITY_TOKEN`
azure_client_id 字符串在 community.hashi_vault 3.2.0 中添加	Azure AD 服务主体或托管标识的客户端 ID（也称为应用程序 ID）。应为 UUID。如果未指定，将使用系统分配的托管标识。配置 INI 条目 [hashi_vault_collection] azure_client_id = VALUE 环境变量：`ANSIBLE_HASHI_VAULT_AZURE_CLIENT_ID` 变量：ansible_hashi_vault_azure_client_id
azure_client_secret 字符串在 community.hashi_vault 3.2.0 中添加	Azure AD 服务主体的客户端密钥。配置环境变量：`ANSIBLE_HASHI_VAULT_AZURE_CLIENT_SECRET` 变量：ansible_hashi_vault_azure_client_secret
azure_resource 字符串在 community.hashi_vault 3.2.0 中添加	在 Azure Active Directory 中注册的应用程序的资源 URL。通常不应更改为默认值。默认： `"https://management.azure.com/"` 配置 INI 条目 [hashi_vault_collection] azure_resource = https://management.azure.com/ 环境变量：`ANSIBLE_HASHI_VAULT_AZURE_RESOURCE` 变量：ansible_hashi_vault_azure_resource
azure_tenant_id 字符串在 community.hashi_vault 3.2.0 中添加	服务主体的 Azure Active Directory 租户 ID（也称为目录 ID）。应为 UUID。当使用服务主体向 Vault 进行身份验证时是必需的，例如，当同时指定 azure_client_id 和 azure_client_secret 时是必需的。当使用托管标识向 Vault 进行身份验证时是可选的。配置 INI 条目 [hashi_vault_collection] azure_tenant_id = VALUE 环境变量：`ANSIBLE_HASHI_VAULT_AZURE_TENANT_ID` 变量：ansible_hashi_vault_azure_tenant_id
ca_cert 别名：cacert 字符串	用于身份验证的证书的路径。如果未通过任何其他方式指定，将使用 `VAULT_CACERT` 环境变量。配置 INI 条目 [hashi_vault_collection] ca_cert = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_CA_CERT` 在 community.hashi_vault 1.2.0 中添加变量：ansible_hashi_vault_ca_cert 在 community.hashi_vault 1.2.0 中添加
cert_auth_private_key 路径在 community.hashi_vault 1.4.0 中添加	对于 `cert` 身份验证，用于身份验证的私钥文件路径，采用 PEM 格式。配置 INI 条目 [hashi_vault_collection] cert_auth_private_key = VALUE 环境变量：`ANSIBLE_HASHI_VAULT_CERT_AUTH_PRIVATE_KEY` 变量：ansible_hashi_vault_cert_auth_private_key 在 community.hashi_vault 6.2.0 中添加
cert_auth_public_key 路径在 community.hashi_vault 1.4.0 中添加	对于 `cert` 身份验证，用于身份验证的证书文件路径，采用 PEM 格式。配置 INI 条目 [hashi_vault_collection] cert_auth_public_key = VALUE 环境变量：`ANSIBLE_HASHI_VAULT_CERT_AUTH_PUBLIC_KEY` 变量：ansible_hashi_vault_cert_auth_public_key 在 community.hashi_vault 6.2.0 中添加
data 字典	要序列化为 JSON 然后作为请求正文发送的字典。如果字典包含名为 `path` 或 `wrap_ttl` 的键，则调用将失败，出现 `hvac<1.2`。默认： `{}`
jwt 字符串	用于 JWT 向 Vault 身份验证的 JSON Web 令牌 (JWT)。配置环境变量：`ANSIBLE_HASHI_VAULT_JWT`
mount_point 字符串	Vault 挂载点。如果未指定，则使用给定身份验证方法的默认挂载点。不适用于令牌身份验证。配置 INI 条目 [hashi_vault_collection] mount_point = VALUE 在 community.hashi_vault 1.5.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_MOUNT_POINT` 在 community.hashi_vault 1.5.0 中添加变量：ansible_hashi_vault_mount_point 在 community.hashi_vault 1.5.0 中添加
namespace 字符串	机密所在的 Vault 命名空间。此选项需要 HVAC 0.7.0+ 和 Vault 0.11+。可选地，可以通过使用命名空间作为身份验证挂载点和/或机密路径的前缀来实现（例如 `mynamespace/secret/mysecret`）。如果设置了环境变量 `VAULT_NAMESPACE`，则其值将用作指定 namespace 的所有方式中的最后一个。配置 INI 条目 [hashi_vault_collection] namespace = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_NAMESPACE` 在 community.hashi_vault 0.2.0 中添加变量：ansible_hashi_vault_namespace 在 community.hashi_vault 1.2.0 中添加
password 字符串	身份验证密码。配置环境变量：`ANSIBLE_HASHI_VAULT_PASSWORD` 在 community.hashi_vault 1.2.0 中添加变量：ansible_hashi_vault_password 在 community.hashi_vault 1.2.0 中添加
proxies 任何在 community.hashi_vault 1.1.0 中添加	用于访问 Vault 服务的代理的 URL。它可以是字符串或字典。如果它是字典，请提供方案（例如 `http` 或 `https`）作为键，并将 URL 作为值。如果它是字符串，请提供一个将用作 `http` 和 `https` 方案的代理的单个 URL。可以解释为字典的字符串将转换为字典（请参阅示例）。您可以为 HTTP 和 HTTPS 资源指定不同的代理。如果未指定，则使用Requests 库中的环境变量。配置 INI 条目 [hashi_vault_collection] proxies = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_PROXIES` 变量：ansible_hashi_vault_proxies 在 community.hashi_vault 1.2.0 中添加
region 字符串	要为其创建连接的 AWS 区域。配置环境变量：`EC2_REGION` 环境变量：`AWS_REGION`
retries 任何在 community.hashi_vault 1.3.0 中添加	允许根据 urllib3 库中的 Retry 类在错误时重试。此集合定义了重试与 Vault 连接的建议默认值。此选项可以指定为正数（整数）或字典。如果未指定此选项或该数字为 `0`，则禁用重试。数字设置重试总次数，并使用集合默认值进行其他设置。字典值直接用于初始化 `Retry` 类，因此可用于完全自定义重试。有关重试的详细信息，请参阅集合用户指南。配置 INI 条目 [hashi_vault_collection] retries = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_RETRIES` 变量：ansible_hashi_vault_retries
retry_action 字符串在 community.hashi_vault 1.3.0 中添加	控制是否以及如何显示关于 retries 的消息。如果未重试请求，则此操作无效。选项 `"ignore"` `"warn"` ← (默认) 配置 INI 条目 [hashi_vault_collection] retry_action = warn 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_RETRY_ACTION` 变量：ansible_hashi_vault_retry_action
role_id 字符串	Vault 角色 ID 或名称。用于 `approle`、`aws_iam`、`azure` 和 `cert` 身份验证方法。对于 `cert` 身份验证，如果没有提供 role_id，则默认行为是尝试所有证书角色并返回任何匹配的角色。对于 `azure` 身份验证，role_id 是必需的。配置 INI 条目 [hashi_vault_collection] role_id = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_ROLE_ID` 在 community.hashi_vault 0.2.0 中添加变量：ansible_hashi_vault_role_id 在 community.hashi_vault 1.2.0 中添加
secret_id 字符串	用于 Vault AppRole 身份验证的 Secret ID。配置环境变量：`ANSIBLE_HASHI_VAULT_SECRET_ID` 在 community.hashi_vault 0.2.0 中添加变量：ansible_hashi_vault_secret_id 在 community.hashi_vault 1.2.0 中添加
timeout 整数在 community.hashi_vault 1.3.0 中添加	设置连接超时时间，单位为秒。如果未设置，则使用 `hvac` 库的默认值。配置 INI 条目 [hashi_vault_collection] timeout = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_TIMEOUT` 变量：ansible_hashi_vault_timeout
token 字符串	Vault 令牌。令牌可以通过显式指定、通过列出的[env]变量以及 `VAULT_TOKEN` 环境变量指定。如果未显式提供令牌或通过环境变量提供令牌，则插件将检查由 token_path 和 token_file 确定的令牌文件。令牌加载的顺序（先找到的优先）是 `token 参数 -> ansible 变量 -> ANSIBLE_HASHI_VAULT_TOKEN -> VAULT_TOKEN -> 令牌文件`。配置环境变量：`ANSIBLE_HASHI_VAULT_TOKEN` 在 community.hashi_vault 0.2.0 中添加变量：ansible_hashi_vault_token 在 community.hashi_vault 1.2.0 中添加
token_file 字符串	如果未指定令牌，将尝试从 token_path 中的此文件读取令牌。默认值： `".vault-token"` 配置 INI 条目 [hashi_vault_collection] token_file = .vault-token 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_TOKEN_FILE` 在 community.hashi_vault 0.2.0 中添加变量：ansible_hashi_vault_token_file 在 community.hashi_vault 1.2.0 中添加
token_path 字符串	如果未指定令牌，将尝试从此路径读取 token_file。配置 INI 条目 [hashi_vault_collection] token_path = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_TOKEN_PATH` 在 community.hashi_vault 0.2.0 中添加变量：ansible_hashi_vault_token_path 在 community.hashi_vault 1.2.0 中添加
token_validate 布尔值在 community.hashi_vault 0.2.0 中添加	对于令牌认证，将执行 `lookup-self` 操作以在使用令牌之前确定其有效性。如果您的令牌不具备 `lookup-self` 能力，请禁用此项。选项 `false` ←（默认值） `true` 配置 INI 条目 [hashi_vault_collection] token_validate = false 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_TOKEN_VALIDATE` 变量：ansible_hashi_vault_token_validate 在 community.hashi_vault 1.2.0 中添加
url 字符串	Vault 服务的 URL。如果未通过其他任何方式指定，将使用 `VAULT_ADDR` 环境变量的值。如果 `VAULT_ADDR` 也未定义，则会引发错误。配置 INI 条目 [hashi_vault_collection] url = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_ADDR` 在 community.hashi_vault 0.2.0 中添加变量：ansible_hashi_vault_url 在 community.hashi_vault 1.2.0 中添加变量：ansible_hashi_vault_addr 在 community.hashi_vault 1.2.0 中添加
username 字符串	身份验证用户名。配置环境变量：`ANSIBLE_HASHI_VAULT_USERNAME` 在 community.hashi_vault 1.2.0 中添加变量：ansible_hashi_vault_username 在 community.hashi_vault 1.2.0 中添加
validate_certs 布尔值	控制 SSL 证书的验证和校验，通常只有在使用自签名证书时才需要关闭此项。如果设置了 `VAULT_SKIP_VERIFY` 且未显式提供 validate_certs，则会使用其相反的值。如果未设置 validate_certs 或 `VAULT_SKIP_VERIFY`，则默认值为 `true`。选项 `false` `true` 配置变量：ansible_hashi_vault_validate_certs 在 community.hashi_vault 1.2.0 中添加
wrap_ttl 字符串	指定响应包装令牌创建的持续时间。例如，`15s`、`20m`、`25h`。配置变量：ansible_hashi_vault_wrap_ttl

注释 

注意

当关键字参数和位置参数一起使用时，位置参数必须列在关键字参数之前：lookup('community.hashi_vault.vault_write', term1, term2, key1=value1, key2=value2) 和 query('community.hashi_vault.vault_write', term1, term2, key1=value1, key2=value2)
vault_write 是一个通用插件，用于执行尚未有专用插件的操作。如果存在特定的插件，则应使用该插件。
在绝大多数情况下，最好使用 community.hashi_vault.vault_write 模块将写入操作作为任务执行。
在需要在模板中直接使用值的情况下可以使用查找，但是存在无意中多次执行写入的风险。
查找最适合用于直接操作输入数据并返回值的端点，而不会更改 Vault 中的状态。
有关详细信息，请参见查找指南。

另请参阅 

另请参阅

community.hashi_vault.vault_write: 对 HashiCorp Vault 执行写入操作。
community.hashi_vault.vault_kv2_write: 对 HashiCorp Vault 中的 KVv2 密钥执行写入操作。
community.hashi_vault.vault_read 查找: community.hashi_vault.vault_read 查找插件的官方文档。
community.hashi_vault.vault_read: 对 HashiCorp Vault 执行读取操作。
community.hashi_vault 查找指南: 有关在 community.hashi_vault 中使用查找的指导。

示例 

# These examples show some uses that might work well as a lookup.
# For most uses, the vault_write module should be used.

- name: Retrieve and display random data
  vars:
    data:
      format: hex
    num_bytes: 64
  ansible.builtin.debug:
    msg: "{{ lookup('community.hashi_vault.vault_write', 'sys/tools/random/' ~ num_bytes, data=data) }}"

- name: Hash some data and display the hash
  vars:
    input: |
      Lorem ipsum dolor sit amet, consectetur adipiscing elit.
      Pellentesque posuere dui a ipsum dapibus, et placerat nibh bibendum.
    data:
      input: '{{ input | b64encode }}'
    hash_algo: sha2-256
  ansible.builtin.debug:
    msg: "The hash is {{ lookup('community.hashi_vault.vault_write', 'sys/tools/hash/' ~ hash_algo, data=data) }}"


# In this next example, the Ansible controller's token does not have permission to read the secrets we need.
# It does have permission to generate new secret IDs for an approle which has permission to read the secrets,
# however the approle is configured to:
# 1) allow a maximum of 1 use per secret ID
# 2) restrict the IPs allowed to use login using the approle to those of the remote hosts
#
# Normally, the fact that a new secret ID would be generated on every loop iteration would not be desirable,
# but here it's quite convenient.

- name: Retrieve secrets from the remote host with one-time-use approle creds
  vars:
    role_id: "{{ lookup('community.hashi_vault.vault_read', 'auth/approle/role/role-name/role-id') }}"
    secret_id: "{{ lookup('community.hashi_vault.vault_write', 'auth/approle/role/role-name/secret-id') }}"
  community.hashi_vault.vault_read:
    auth_method: approle
    role_id: '{{ role_id }}'
    secret_id: '{{ secret_id }}'
    path: '{{ item }}'
  register: secret_data
  loop:
    - secret/data/secret1
    - secret/data/app/deploy-key
    - secret/data/access-codes/self-destruct


# This time we have a secret values on the controller, and we need to run a command the remote host,
# that is expecting to a use single-use token as input, so we need to use wrapping to send the data.

- name: Run a command that needs wrapped secrets
  vars:
    secrets:
      secret1: '{{ my_secret_1 }}'
      secret2: '{{ second_secret }}'
    wrapped: "{{ lookup('community.hashi_vault.vault_write', 'sys/wrapping/wrap', data=secrets) }}"
  ansible.builtin.command: 'vault unwrap {{ wrapped }}'

返回值 

键	描述
返回值列表 / 元素=字典	针对给定路径进行写入操作的原始结果。返回：成功

作者

Brian Scholer (@briantist)

提示

每个条目类型的配置条目都有优先级顺序（从低到高）。例如，列表中较低的变量将覆盖列表中较高的变量。

community.hashi_vault.vault_write lookup – 对 HashiCorp Vault 执行写入操作

概要 

要求 

术语 

关键字参数 

注释 

另请参阅 

示例 

返回值 

作者

集合链接