community.hashi_vault.vault_database_role_create 模块 – 创建或更新 (动态) 角色定义

注意

此模块是 community.hashi_vault 集合 (版本 6.2.0) 的一部分。

如果您使用的是 ansible 包，则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装，请运行 ansible-galaxy collection list。

要安装它，请使用：ansible-galaxy collection install community.hashi_vault。您需要其他需求才能使用此模块，请参阅需求以了解详细信息。

要在 playbook 中使用它，请指定：community.hashi_vault.vault_database_role_create。

community.hashi_vault 6.2.0 中的新增功能

概要 

创建或更新动态角色定义.

需求 

在执行此模块的主机上需要以下需求。

hvac (Python 库)
有关详细需求，请参阅集合需求页面。

参数 

参数	注释
auth_method 字符串	要使用的身份验证方法。 `none` 身份验证方法在集合版本 `1.2.0` 中添加。 `cert` 身份验证方法在集合版本 `1.4.0` 中添加。 `aws_iam_login` 在集合版本 `2.1.0` 中重命名为 `aws_iam`，并在 `3.0.0` 中移除。 `azure` 身份验证方法在集合版本 `3.2.0` 中添加。选项 `"token"` ← (默认) `"userpass"` `"ldap"` `"approle"` `"aws_iam"` `"azure"` `"jwt"` `"cert"` `"none"`
aws_access_key 别名：aws_access_key_id 字符串	要使用的 AWS 访问密钥。
aws_iam_server_id 字符串在 community.hashi_vault 0.2.0 中添加	如果指定，则设置 `X-Vault-AWS-IAM-Server-ID` 头的值，作为 `GetCallerIdentity` 请求的一部分。
aws_profile 别名：boto_profile 字符串	AWS 配置文件
aws_secret_key 别名：aws_secret_access_key 字符串	与访问密钥对应的 AWS 密钥。
aws_security_token 字符串	如果使用临时访问密钥和密钥，则为 AWS 安全令牌。
azure_client_id 字符串在 community.hashi_vault 3.2.0 中添加	Azure AD 服务主体或托管身份的客户端 ID（也称为应用程序 ID）。应为 UUID。如果未指定，将使用系统分配的托管身份。
azure_client_secret 字符串在 community.hashi_vault 3.2.0 中添加	Azure AD 服务主体的客户端密钥。
azure_resource 字符串在 community.hashi_vault 3.2.0 中添加	在 Azure Active Directory 中注册的应用程序的资源 URL。通常不应更改默认值。默认值： `"https://management.azure.com/"`
azure_tenant_id 字符串在 community.hashi_vault 3.2.0 中添加	服务主体的 Azure Active Directory 租户 ID（也称为目录 ID）。应为 UUID。使用服务主体对 Vault 进行身份验证时需要，例如，当同时指定了 azure_client_id 和 azure_client_secret 时需要。使用托管身份对 Vault 进行身份验证时可选。
ca_cert 别名：cacert 字符串	要用于身份验证的证书路径。如果未通过任何其他方式指定，则将使用 `VAULT_CACERT` 环境变量。
cert_auth_private_key 路径在 community.hashi_vault 1.4.0 中添加	对于 `cert` 身份验证，使用 PEM 格式的私钥文件进行身份验证的路径。
cert_auth_public_key 路径在 community.hashi_vault 1.4.0 中添加	对于 `cert` 身份验证，使用 PEM 格式的证书文件进行身份验证的路径。
connection_name 字符串 / 必需	应在其中创建角色的连接名称。
creation_statements 列表 / 元素=字符串 / 必需	指定执行以创建和配置用户的数据库语句。
default_ttl 整数	角色的默认 TTL。默认值： `3600`
engine_mount_point 字符串	秘密后端挂载的路径。
jwt 字符串	要用于 JWT 身份验证到 Vault 的 JSON Web 令牌 (JWT)。
max_ttl 整数	角色的最大 TTL。默认值： `86400`
mount_point 字符串	Vault 挂载点。如果未指定，则使用给定身份验证方法的默认挂载点。不适用于令牌身份验证。
namespace 字符串	存放密钥的 Vault 命名空间。此选项需要 HVAC 0.7.0+ 和 Vault 0.11+。或者，可以通过在身份验证挂载点和/或密钥路径前添加命名空间来实现（例如 `mynamespace/secret/mysecret`）。如果设置了环境变量 `VAULT_NAMESPACE`，则其值将在所有指定namespace的方法中最后使用。
password 字符串	身份验证密码。
proxies 任意在 community.hashi_vault 1.1.0 中添加	用于访问 Vault 服务的代理的 URL。可以是字符串或字典。如果是字典，请提供方案（例如 `http` 或 `https`）作为键，并提供 URL 作为值。如果是字符串，请提供一个将用作 `http` 和 `https` 方案代理的单个 URL。可以解释为字典的字符串将转换为字典（参见示例）。您可以为 HTTP 和 HTTPS 资源指定不同的代理。如果未指定，则使用 Requests 库中的环境变量。
region 字符串	要为其创建连接的 AWS 区域。
renew_statements 列表 / 元素=字符串	指定要执行以更新用户的数据库语句。
retries 任意在 community.hashi_vault 1.3.0 中添加	允许根据 urllib3 库中的 Retry 类重试错误。此集合定义了重试与 Vault 连接的推荐默认值。此选项可以指定为正数（整数）或字典。如果未指定此选项或数字为 `0`，则禁用重试。数字设置重试的总数，并使用集合默认值进行其他设置。字典值直接用于初始化 `Retry` 类，因此可用于完全自定义重试。有关重试的详细信息，请参阅集合用户指南。
retry_action 字符串在 community.hashi_vault 1.3.0 中添加	控制是否以及如何显示retries的消息。如果未重试请求，则此选项无效。选项 `"忽略"` `"警告"` ← (默认)
revocation_statements 列表 / 元素=字符串	指定要执行以撤销用户的数据库语句。
role_id 字符串	Vault 角色 ID 或名称。用于 `approle`、`aws_iam`、`azure` 和 `cert` 身份验证方法。对于 `cert` 身份验证，如果未提供role_id，则默认行为是尝试所有证书角色并返回任何一个匹配的角色。对于 `azure` 身份验证，需要role_id。
role_name 字符串 / 必需	应创建的角色的名称。
rollback_statements 列表 / 元素=字符串	指定在发生错误时要执行以回滚创建操作的数据库语句。
secret_id 字符串	用于 Vault AppRole 身份验证的密钥 ID。
timeout 整数在 community.hashi_vault 1.3.0 中添加	设置连接超时（秒）。如果未设置，则使用 `hvac` 库的默认值。
token 字符串	Vault 令牌。令牌可以显式指定，通过列出的 [env] 变量指定，也可以通过 `VAULT_TOKEN` 环境变量指定。如果没有通过显式方式或环境变量提供令牌，则插件将检查令牌文件，由token_path和token_file确定。令牌加载顺序（先找到先赢）为 `token param -> ansible var -> ANSIBLE_HASHI_VAULT_TOKEN -> VAULT_TOKEN -> token file`。
token_file 字符串	如果未指定令牌，将尝试从token_path中的此文件读取令牌。默认值： `".vault-token"`
token_path 字符串	如果未指定令牌，将尝试从此路径读取token_file。
token_validate 布尔值在 community.hashi_vault 0.2.0 中添加	对于令牌身份验证，将执行 `lookup-self` 操作以确定令牌的有效性后再使用它。如果您的令牌没有 `lookup-self` 功能，请禁用。选项 `false` ← (默认) `true`
url 字符串	Vault 服务的 URL。如果未通过任何其他方式指定，则将使用 `VAULT_ADDR` 环境变量的值。如果 `VAULT_ADDR` 也未定义，则会引发错误。
username 字符串	身份验证用户名。
validate_certs 布尔值	控制 SSL 证书的验证，大多数情况下，只有在使用自签名证书时才需要关闭。如果设置了 `VAULT_SKIP_VERIFY` 且未显式提供validate_certs，则将填充 `VAULT_SKIP_VERIFY` 的反值。如果未设置validate_certs或 `VAULT_SKIP_VERIFY`，则默认为 `true`。选项 `false` `true`

属性 

属性	支持	描述
action_group	操作组： community.hashi_vault.vault	在 `module_defaults` 中使用 `group/community.hashi_vault.vault` 设置此模块的默认值。
check_mode	支持：部分在检查模式下，将返回示例响应，但在 Hashicorp Vault 中不会执行角色创建。	可以在 `check_mode` 中运行并返回更改状态预测，而无需修改目标。

备注 

注意

此模块始终报告 changed 状态，因为它无法保证幂等性。
在操作已知不会更改状态的情况下，使用 changed_when 进行控制。

示例 

- name: Generate creation statement
  ansible.builtin.set_fact:
    creation_statements = [
        "CREATE ROLE \"{{name}}\" WITH LOGIN PASSWORD '{{password}}' VALID UNTIL '{{expiration}}';",
        "GRANT SELECT ON ALL TABLES IN SCHEMA public TO \"{{name}}\";"
    ]

- name: Create / update Role with the default mount point
  community.hashi_vault.vault_database_role_create:
    url: https://vault:8201
    auth_method: userpass
    username: '{{ user }}'
    password: '{{ passwd }}'
    connection_name: SomeConnection
    role_name: SomeRole
    db_username: '{{ db_username}}'
    creation_statements: '{{ creation_statements }}'
  register: result

- name: Display the result of the operation
  ansible.builtin.debug:
    msg: "{{ result }}"

- name: Create / update Role with a custom mount point
  community.hashi_vault.vault_database_role_create:
    url: https://vault:8201
    auth_method: userpass
    username: '{{ user }}'
    password: '{{ passwd }}'
    engine_mount_point: db1
    connection_name: SomeConnection
    role_name: SomeRole
    db_username: '{{ db_username}}'
    creation_statements: '{{ creation_statements }}'
  register: result

- name: Display the result of the operation
  ansible.builtin.debug:
    msg: "{{ result }}"

作者

Martin Chmielewski (@M4rt1nCh)